Hai bisogno di rimuovere CrowdStrike Falcon Sensor da un PC Windows 11 ma non hai il maintenance token? Questa guida pratico‑operativa spiega perché appare il blocco, illustra quattro tecniche testate per superarlo in sicurezza e ti indica come verificare che il sensore sia davvero sparito, proteggendo il sistema dopo la disinstallazione.
Perché CrowdStrike richiede un maintenance token
Da Falcon Sensor 6.x in avanti CrowdStrike ha introdotto un codice di manutenzione univoco che impedisce la rimozione non autorizzata dell’agente. L’obiettivo è proteggere i dispositivi aziendali da utenti malintenzionati e attacchi ransomware. Il token viene generato nel portale dell’amministratore e cambia ogni 24 ore; se non puoi ottenerlo, occorre un percorso alternativo con diritti locali di amministratore.
Prerequisiti e cautele
- Backup del registro di sistema: prima di modificare chiavi o servizi esporta l’hive
HKLM
o crea un punto di ripristino. - Account amministratore: le procedure agiscono su servizi e cartelle protette; servono privilegi elevati.
- Policy aziendale: su computer gestiti contatta l’IT per evitare violazioni di sicurezza o compliance.
- Protezione sostitutiva: disattivare un EDR senza sostituirlo espone il sistema; pianifica in anticipo l’antivirus successivo.
Panoramica delle soluzioni
# | Tecnica | Passaggi essenziali | Quando usarla |
---|---|---|---|
A | Modalità provvisoria + registro + CSUninstallTool | 1. Avvio in Safe Mode / Networking. 2. In regedit impostare START=4 per CSAgent e CSFalconService , quindi eliminarne le chiavi.3. Cancellare HKLM\System\CrowdStrike e le cartelle C:\Program Files\CrowdStrike e C:\ProgramData\CrowdStrike .4. Riavvio normale. 5. Prompt amministrativo: CSUninstallTool.exe /quiet ; verificare che sc query csagent dia errore 1060. | Metodo confermato efficiente quando manca il token ma si dispone di privilegi amministrativi. |
B | Forzare l’uninstall da CMD | 1. Prompt “Esegui come amministratore”. 2. cd "C:\Program Files\CrowdStrike" 3. CSUninstallTool.exe -repair -uninstall 4. Se viene richiesto il token, passare al metodo A o C. | Tentativo rapido: funziona solo su release meno recenti o se il token non è stato attivato. |
C | Assistenza ufficiale CrowdStrike | Aprire un ticket, fornire il CID e chiedere la generazione del token o la disinstallazione remota. | Scelta consigliata su PC aziendali o quando non si hanno diritti sul registro. |
D | Ripristino / Reset di Windows | Impostazioni → Sistema → Ripristino → Reimposta il PC (elimina tutto). | Ultima risorsa se nessuna tecnica precedente è praticabile. |
Istruzioni dettagliate
Metodo A – Modalità provvisoria, registro e CSUninstallTool
Questa procedura in cinque fasi rimuove completamente servizi, driver e file residenti:
- Avvio in Safe Mode
Impostazioni → Sistema → Ripristino → Riavvio avanzato, quindi Risoluzione dei problemi → Opzioni avanzate → Impostazioni di avvio. Premi per “Abilita modalità provvisoria con rete”. - Disattivazione servizi
Apriregedit.exe
e vai a:HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSAgent HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\CSFalconService
In entrambe impostaStart
su4
(Disabled). Salva ed esci. - Pulizia chiavi e cartelle
Sempre da Regedit elimina la chiaveHKEYLOCALMACHINE\System\CrowdStrike
.
Poi in Esplora file, mostra elementi nascosti e cancella:C:\Program Files\CrowdStrike
eC:\ProgramData\CrowdStrike
. - Riavvio in modalità normale
- Esecuzione CSUninstallTool
Nel prompt amministrativo:cd "C:\Program Files\CrowdStrike" CSUninstallTool.exe /quiet
Al termine:sc query csagent
Se ricevi “[SC] EnumQueryServicesStatus: OpenService FAILED 1060
”, il servizio non esiste più: rimozione riuscita.
Metodo B – Tentativo rapido via linea di comando
Alcune installazioni più vecchie non abilitano il controllo del maintenance token. In tal caso:
cd "C:\Program Files\CrowdStrike"
CSUninstallTool.exe -repair -uninstall
Se appare comunque la richiesta di token, interrompi e passa al metodo A (sconsigliato insistere: rischio di lock).
Metodo C – Richiesta token all’assistenza
Gli amministratori di tenant CrowdStrike possono:
- Accedere al portale Falcon.
- Navigare in Host Setup and Management → Maintenance Tokens.
- Generare un token temporaneo valido 24 ore.
- Fornirlo all’utente o eseguire Remote Device Control per disinstallare da console.
È la via meno invasiva, conforme alle best practice e tracciata nei log.
Metodo D – Reimposta il PC
Un Reset this PC con eliminazione di app e dati rimuove qualunque EDR ma richiede un backup completo. Dopo il reset è consigliato Windows Update immediato e l’impostazione di un nuovo prodotto di sicurezza.
Verifica della completa rimozione
- Servizi:
sc query csagent
deve restituire errore 1060. - Driver: in Gestione dispositivi → Visualizza → Mostra dispositivi nascosti → Driver non plug & play non deve comparire
CrowdStrike
. - Registro: la chiave
HKLM\System\CrowdStrike
non deve esistere. - Cartelle: “CrowdStrike” non deve figurare in
Program Files
né inProgramData
. - Event Viewer: assenza di eventi CrowdStrike negli ultimi boot.
Risoluzione problemi comuni
Messaggio | Possibile causa | Soluzione |
---|---|---|
“The maintenance token is invalid” | Token scaduto (24 h) o non coincide col tenant | Rigenera dal portale Falcon, riavvia uninstall |
Errore 5 “Access denied” sul servizio | Prompt non elevato | Chiudi e riapri CMD “Esegui come amministratore” |
Cartelle non cancellabili | Driver ancora in esecuzione | Controlla che Start=4 sia applicato, ripeti riavvio |
Protezione post‑rimozione
Senza Falcon il sistema è scoperto. Se si tratta di un PC personale puoi:
- Riattivare Microsoft Defender dalle Impostazioni di sicurezza.
- Installare un antivirus alternativo (Defender rimane disattivato quando è rilevato un prodotto di terze parti).
- Eseguire una scansione offline per assicurarti che non vi siano minacce latenti che avevano tentato di disabilitare l’EDR.
In ambito aziendale, l’IT dovrebbe distribuire immediatamente un nuovo agente EDR o procedere alla re‑enrollment di CrowdStrike.
Domande frequenti
Il metodo in modalità provvisoria è legale?
Sì, se possiedi o gestisci il dispositivo. Modificare il registro di PC aziendali senza permesso può infrangere policy interne.
Posso usare software di terze parti per forzare l’uninstall?
Sconsigliato: molti tool automatizzati non riconoscono i driver di sicurezza e lasciano residui che impediscono reinstallazioni future.
È possibile recuperare il token dal sistema locale?
No. Il maintenance token è generato dal cloud, non è memorizzato in chiaro sul dispositivo.
Quanto tempo serve per la procedura completa?
Metodo A richiede circa 15–20 minuti, escluso il backup; il reset del PC può superare un’ora a seconda dell’hardware.
Conclusione
Il maintenance token protegge CrowdStrike Falcon Sensor da rimozioni non autorizzate, ma in alcuni scenari è necessario procedere comunque alla disinstallazione. Con i passaggi dettagliati del metodo A puoi eliminare in sicurezza servizi, driver e file anche quando il token non è disponibile. Ricorda però di ristabilire subito un livello di difesa adeguato: un sistema privo di EDR è un bersaglio molto più facile per malware e attori malevoli.