Quando a otimização de VMware é usada no ambiente, os modelos padrão são configurados para desativar o Windows Security Center. A otimização do VMware envia esse comando para a central de segurança para desativá-lo:
Set-Service ‘wscsvc’ -startuptype “disabled”.
Quando o cliente do MOVE envia uma API ao Windows Security Center para se registrar nele, o registro falha porque o serviço
wscsvc está desativado.
Depois que o serviço for iniciado, um aplicativo registrado deverá chamar o
UpdateStatus função para atualizar o estado da proteção em tempo real. Se esta ação não for concluída dentro de 60 segundos do início do serviço,
Microsoft Defender Antivirus começa a garantir que o usuário está protegido.
Se você executar
mvadm status em
cmd como administrador, você verá que o cliente está conectado corretamente ao
ERRO. Veja a seguir um exemplo de uma boa conexão com o
ERRO:
C:\WINDOWS\system32>mvadm status
Scan Configuration: Enabled
On Access Scan: Enabled
On Demand Scan: Disabled
On Demand Scan State: Not Running
Driver Status: Driver is loaded
Primary Server: 192.168.1.55:9053 [Active]
Secondary Server: NONE:9053 [Not Configured]
SVA Manager: 192.168.1.54:8080 [Configured]
O
mvagent.log registra os erros abaixo:
I.7924.6780: SISTEMA: WSC. cpp: 841: integração com a WSC: aguardando SERVICE_NOTIFY_RUNNING.
F.7924.3920: ADVERTÊNCIA: ivmc_machine. c: 2762: endereço do servidor secundário não definido.
F.0004.1944: ADVERTÊNCIA: utl_rt. c:109: as informações do processo são nulas para o identificador de proc 0x4
F.0004.1944: ADVERTÊNCIA: fsh_winnt. c: 255: falha ao obter informações de processo de (sistema)
F.0004.6960: SISTEMA: kumsg_kernel. c: 716: falha ao enviar mensagem ao usuário... STATUS_TIMEOUT
F.0004.6960: SISTEMA: kumsg_kernel. c: 716: falha ao enviar mensagem ao usuário... STATUS_TIMEOUT
I.7924.6780: ERRO: WSC. cpp: 692: Integração com a WSC: falha ao atualizar MOVE status do AV com o Vista SP1 ou posterior WSC (0x8000000a).
I.7924.6780: ERRO: WSC. cpp: 868: integração com a WSC: falha ao definir o estado AV do [Vista SP1 ou posterior] como "desativado" (0x8000000a)
Mesmo que o
MOVE o cliente é capaz de se conectar com êxito ao OSS, falha ao se registrar no
Centro de segurança do Windows. Portanto, o sistema operacional permite
Windows Defender. Nesse cenário, um
EICAR a arquivo de teste é detectada, mas é tratada pelo defender e nãa McAfee MOVE da maneira esperada.