Disinstallare CrowdStrike Falcon Sensor senza maintenance token su Windows 11

Hai bisogno di rimuovere CrowdStrike Falcon Sensor da un PC Windows 11 ma non hai il maintenance token? Questa guida pratico‑operativa spiega perché appare il blocco, illustra quattro tecniche testate per superarlo in sicurezza e ti indica come verificare che il sensore sia davvero sparito, proteggendo il sistema dopo la disinstallazione.

Indice

Perché CrowdStrike richiede un maintenance token

Da Falcon Sensor 6.x in avanti CrowdStrike ha introdotto un codice di manutenzione univoco che impedisce la rimozione non autorizzata dell’agente. L’obiettivo è proteggere i dispositivi aziendali da utenti malintenzionati e attacchi ransomware. Il token viene generato nel portale dell’amministratore e cambia ogni 24 ore; se non puoi ottenerlo, occorre un percorso alternativo con diritti locali di amministratore.

Prerequisiti e cautele

  • Backup del registro di sistema: prima di modificare chiavi o servizi esporta l’hive HKLM o crea un punto di ripristino.
  • Account amministratore: le procedure agiscono su servizi e cartelle protette; servono privilegi elevati.
  • Policy aziendale: su computer gestiti contatta l’IT per evitare violazioni di sicurezza o compliance.
  • Protezione sostitutiva: disattivare un EDR senza sostituirlo espone il sistema; pianifica in anticipo l’antivirus successivo.

Panoramica delle soluzioni

#TecnicaPassaggi essenzialiQuando usarla
AModalità provvisoria + registro + CSUninstallTool1. Avvio in Safe Mode / Networking.
2. In regedit impostare START=4 per CSAgent e CSFalconService, quindi eliminarne le chiavi.
3. Cancellare HKLM\System\CrowdStrike e le cartelle C:\Program Files\CrowdStrike e C:\ProgramData\CrowdStrike.
4. Riavvio normale.
5. Prompt amministrativo: CSUninstallTool.exe /quiet; verificare che sc query csagent dia errore 1060.
Metodo confermato efficiente quando manca il token ma si dispone di privilegi amministrativi.
BForzare l’uninstall da CMD1. Prompt “Esegui come amministratore”.
2. cd "C:\Program Files\CrowdStrike"
3. CSUninstallTool.exe -repair -uninstall
4. Se viene richiesto il token, passare al metodo A o C.
Tentativo rapido: funziona solo su release meno recenti o se il token non è stato attivato.
CAssistenza ufficiale CrowdStrikeAprire un ticket, fornire il CID e chiedere la generazione del token o la disinstallazione remota.Scelta consigliata su PC aziendali o quando non si hanno diritti sul registro.
DRipristino / Reset di WindowsImpostazioni → Sistema → Ripristino → Reimposta il PC (elimina tutto).Ultima risorsa se nessuna tecnica precedente è praticabile.

Istruzioni dettagliate

Metodo A – Modalità provvisoria, registro e CSUninstallTool

Questa procedura in cinque fasi rimuove completamente servizi, driver e file residenti:

  1. Avvio in Safe Mode
    Impostazioni → Sistema → Ripristino → Riavvio avanzato, quindi Risoluzione dei problemi → Opzioni avanzate → Impostazioni di avvio. Premi  per “Abilita modalità provvisoria con rete”.
  2. Disattivazione servizi
    Apri regedit.exe e vai a:
    HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSAgent HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSFalconService In entrambe imposta Start su 4 (Disabled). Salva ed esci.
  3. Pulizia chiavi e cartelle
    Sempre da Regedit elimina la chiave HKEYLOCALMACHINE\System\CrowdStrike.
    Poi in Esplora file, mostra elementi nascosti e cancella:
    C:\Program Files\CrowdStrike e C:\ProgramData\CrowdStrike.
  4. Riavvio in modalità normale
  5. Esecuzione CSUninstallTool
    Nel prompt amministrativo: cd "C:\Program Files\CrowdStrike" CSUninstallTool.exe /quiet Al termine: sc query csagent Se ricevi “[SC] EnumQueryServicesStatus: OpenService FAILED 1060”, il servizio non esiste più: rimozione riuscita.

Metodo B – Tentativo rapido via linea di comando

Alcune installazioni più vecchie non abilitano il controllo del maintenance token. In tal caso:

cd "C:\Program Files\CrowdStrike"
CSUninstallTool.exe -repair -uninstall

Se appare comunque la richiesta di token, interrompi e passa al metodo A (sconsigliato insistere: rischio di lock).

Metodo C – Richiesta token all’assistenza

Gli amministratori di tenant CrowdStrike possono:

  1. Accedere al portale Falcon.
  2. Navigare in Host Setup and Management → Maintenance Tokens.
  3. Generare un token temporaneo valido 24 ore.
  4. Fornirlo all’utente o eseguire Remote Device Control per disinstallare da console.

È la via meno invasiva, conforme alle best practice e tracciata nei log.

Metodo D – Reimposta il PC

Un Reset this PC con eliminazione di app e dati rimuove qualunque EDR ma richiede un backup completo. Dopo il reset è consigliato Windows Update immediato e l’impostazione di un nuovo prodotto di sicurezza.

Verifica della completa rimozione

  • Servizi: sc query csagent deve restituire errore 1060.
  • Driver: in Gestione dispositivi → Visualizza → Mostra dispositivi nascosti → Driver non plug & play non deve comparire CrowdStrike.
  • Registro: la chiave HKLM\System\CrowdStrike non deve esistere.
  • Cartelle: “CrowdStrike” non deve figurare in Program Files né in ProgramData.
  • Event Viewer: assenza di eventi CrowdStrike negli ultimi boot.

Risoluzione problemi comuni

MessaggioPossibile causaSoluzione
The maintenance token is invalidToken scaduto (24 h) o non coincide col tenantRigenera dal portale Falcon, riavvia uninstall
Errore 5 “Access denied” sul servizioPrompt non elevatoChiudi e riapri CMD “Esegui come amministratore”
Cartelle non cancellabiliDriver ancora in esecuzioneControlla che Start=4 sia applicato, ripeti riavvio

Protezione post‑rimozione

Senza Falcon il sistema è scoperto. Se si tratta di un PC personale puoi:

  • Riattivare Microsoft Defender dalle Impostazioni di sicurezza.
  • Installare un antivirus alternativo (Defender rimane disattivato quando è rilevato un prodotto di terze parti).
  • Eseguire una scansione offline per assicurarti che non vi siano minacce latenti che avevano tentato di disabilitare l’EDR.

In ambito aziendale, l’IT dovrebbe distribuire immediatamente un nuovo agente EDR o procedere alla re‑enrollment di CrowdStrike.

Domande frequenti

Il metodo in modalità provvisoria è legale?

Sì, se possiedi o gestisci il dispositivo. Modificare il registro di PC aziendali senza permesso può infrangere policy interne.

Posso usare software di terze parti per forzare l’uninstall?

Sconsigliato: molti tool automatizzati non riconoscono i driver di sicurezza e lasciano residui che impediscono reinstallazioni future.

È possibile recuperare il token dal sistema locale?

No. Il maintenance token è generato dal cloud, non è memorizzato in chiaro sul dispositivo.

Quanto tempo serve per la procedura completa?

Metodo A richiede circa 15–20 minuti, escluso il backup; il reset del PC può superare un’ora a seconda dell’hardware.

Conclusione

Il maintenance token protegge CrowdStrike Falcon Sensor da rimozioni non autorizzate, ma in alcuni scenari è necessario procedere comunque alla disinstallazione. Con i passaggi dettagliati del metodo A puoi eliminare in sicurezza servizi, driver e file anche quando il token non è disponibile. Ricorda però di ristabilire subito un livello di difesa adeguato: un sistema privo di EDR è un bersaglio molto più facile per malware e attori malevoli.

Indice