Cuando se utiliza la optimización de VMware en el entorno, las plantillas predeterminadas se configuran para desactivar Windows Security Center. La optimización de VMware envía este comando al centro de seguridad para desactivarlo:
Set-Service ‘wscsvc’ -startuptype “disabled”.
Cuando el cliente de MOVE envía una API al Windows Security Center para registrarse con ella, se produce un error en el registro porque el servicio
wscsvc está desactivada.
Una vez iniciado el servicio, una aplicación registrada debe llamar a la
UpdateStatus función para actualizar el estado de la protección en tiempo real. Si esta acción no se completa en 60 segundos del inicio del servicio,
Antivirus de Microsoft defender comienza a asegurarse de que el usuario está protegido.
Si ejecuta
mvadm Estado en
cmd como administrador, vería que el cliente está correctamente conectado a la
SISTEMAS. A continuación se ofrece un ejemplo de una buena conexión con el
SISTEMAS:
C:\WINDOWS\system32>mvadm status
Scan Configuration: Enabled
On Access Scan: Enabled
On Demand Scan: Disabled
On Demand Scan State: Not Running
Driver Status: Driver is loaded
Primary Server: 192.168.1.55:9053 [Active]
Secondary Server: NONE:9053 [Not Configured]
SVA Manager: 192.168.1.54:8080 [Configured]
Lo
mvagent.log registra los siguientes errores:
S.7924.6780: INTEGRADO: WSC. cpp: 841: integración de WSC: esperando SERVICE_NOTIFY_RUNNING.
L.7924.3920: ADVERTENCIA:: ivmc_machine. c: 2762: no se ha establecido la dirección del servidor secundario.
L.0004.1944: ADVERTENCIA:: utl_rt. c:109: la información del proceso es nula para el identificador de proc 0x4
L.0004.1944: ADVERTENCIA:: fsh_winnt. c: 255: no se ha podido obtener información del proceso de (sistema)
L.0004.6960: INTEGRADO: kumsg_kernel. c: 716: no se ha podido enviar el mensaje al usuario... STATUS_TIMEOUT
L.0004.6960: INTEGRADO: kumsg_kernel. c: 716: no se ha podido enviar el mensaje al usuario... STATUS_TIMEOUT
S.7924.6780: :: WSC. cpp: 692: Integración de WSC: no se ha podido actualizar MOVE estado de AV con Vista SP1 o una versión posterior de WSC (0x8000000a).
S.7924.6780: :: WSC. cpp: 868: integración de WSC: no se ha podido establecer [Vista SP1 o posterior] Estado de AV en "Disabled" (0x8000000a)
Aunque la
MOVE el cliente puede conectarse correctamente a los sistemas operativos. no se registra con
Windows Security Center. Por lo tanto, el sistema operativo permite
Windows Defender. En este caso, un
EICAR el archivo de prueba se detecta, pero se controla mediante defender y no McAfee MOVE como cabría esperar.