新增功能 McAfee Management Service (彩信)
SystemCore 15.4 或更高版本,安装在较新版本的 endpoint 产品上,添加 Windows 服务, McAfee Management Service。
MMS 将 Windows 服务控制管理器(SCM)替换为多个 15.4 与核心相关的安全服务的服务控制管理器。MMS 服务列在 SCM 管理单元中,作为
McAfee Service Controller。
Windows服务依赖项
- MMS 取决于 Microsoft加密服务。 CryptSvc提供密钥管理服务和受信任的证书验证服务。SystemCore 驱动程序依赖于这些功能来验证安全身份验证。默认的 Windows 设置 CryptSvc 为自动启动。不要禁用它或将其设置为延迟的启动。
- MMS 取决于 Microsoft模式电源服务。 当禁用 Microsoft 电源服务或将其设置为延迟启动时,SystemCore 驱动程序可能无法管理与电源相关的属性和事件。MMS 会向电源服务注册,以提供有关电源相关属性更改的回叫事件信息。 Power Service Windows设置为 自动启动 。 不要禁用它或将其设置为延迟的启动。系统电源管理事件包括系统电源状态更改、设备或系统的操作模式或电源设置的值。 由于这些事件可影响应用程序和可安装驱动程序的操作,因此系统会通过广播每个事件的通知来通知所有应用程序和可安装驱动程序。
其他 SysCore 窗口服务依赖项
- NetSetupSvc - NetSetupSvc 是依赖于此服务的 NDIS Firecore 驱动程序。网络设置服务管理网络驱动程序的安装,并且允许配置低级别的网络设置。 如果该服务停止,则正在安装的任何驱动程序都可以取消。
有关 Windows 电源管理的详细信息,请参阅此
Windows 电源管理文章。
重要说明: 如果更改默认 Windows 服务设置,则主要服务可能无法正常运行。请谨慎更改
启动类型 或
登录为 配置为自动启动的服务设置。
有关 Windows 服务更改的详细信息,请参阅 "
威胁和对策手册:系统服务"。
MMS 作为服务
MMS 的目标是降低恶意软件关闭Microsoft禁用的 SCM 托管服务的安全风险。 MMS 而不是 SCM 管理核心安全服务。自我保护功能使得它们较少受到恶意软件攻击和安全漏洞的攻击。
MMS 是一个 Windows SCM 托管的服务,因此,在 Windows SCM 中列出为
McAfee Service Controller (服务名称:
mfemms )。
锁定 API 可防止服务被关闭或禁用。MMS 管理的服务不依赖于 MMS。因此,如果 MMS 停止响应,托管服务会继续运行而不中断。 MMS 还包含自我保护监视程序,并会在意外停止的极少事件中自动重新启动。
检查与端点相关的服务的状态
我们设计的 MMS 与 Windows SCM 尽可能相似。因此,用于管理服务的相同概念也适用。 启动、停止、依赖项和命令。行参数适用于 MMS 管理的所有服务。
要查询在 MMS 下运行的服务,请执行以下步骤。您可以将该
mmsinfo 实用工具与以下命令。行开关搭配使用,以收集有关 MMS 托管服务的信息:
mmsinfo.exe -start [short name of service]
mmsinfo.exe -query [short name of service]
mmsinfo.exe -qc [short name of service]
mmsinfo.exe -enum (enumerates all managed endpoint services)
mmsinfo.exe -enumdepend [short name of service]
- 使用 mmsinfo 工具导入 ENS 设置后,请重新启动操作系统。在 SystemCore 中找到了该工具 常用文件 目录。
- 打开管理员命令提示符。
- 要枚举并列出所有托管端点服务,请运行以下命令。:
c:\Program Files\Common Files\McAfee\SystemCore>mmsinfo -enum
注意: 如果 MMS 托管的服务无法启动或停止,请查看启动或停止操作失败的原因。通常,失败与配置错误或服务依赖关系失败有关。 MMS 将事件记录到 Windows 系统事件日志 。 您可以按
McAfee Service Controller 查看何时成功启动或停止特定的 MMS 托管服务。您也可以查看它们何时无法启动或停止。
在 SCM 表中列出防火墙核心服务
SCM 管理单元中列出的防火墙(FW)核心服务显示为手动启动类型。此条目与 MMS 所管理的 FW 核心服务无关。此条目仍存在于 SCM 中,用于支持旧的旧版托管产品,可能仍需要在旧的 SCM 托管模型下使用此服务。通常,如果您仅运行主机 IPS 8.0 补丁6或更高版本,则服务状态为空白(未启动)。
