Antivirus rimossi e ancora visibili nel SecurityCenter di Windows
La ricerca dei prodotti antivirus installati è tipicamente eseguita interrogando, con o senza script, il Security Center di Microsoft Windows, valutandone anche lo stato attraverso il codice di esecuzione.
Il contenuto visualizzato è talvolta errato, nel senso che la visualizzazione presenta dei prodotti dismessi da tempo o non sono presenti quelli nuovi, questa situazione rende necessario levare di torno gli antivirus rimossi e rendere visibili quelli installati.
I nuovi prodotti si visualizzano solo se eseguono la registrazione con il Security Center, un’azione compiuta ormai da tutti, fatta eccezione per gli antivirus che consentono in modo diretto di disabilitare la registrazione.
Una nota importante è costituita dal fatto che la funzionalità del Security Center non è presente nei server; pertanto, qualsiasi azione che esegue query in quello spazio si risolve con un fallimento.
Abbiamo diversi monitor automatizzati negli RMM, che interrogano il Security Center con un cmdlet di Powershell.
Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct
L’output del cmdlet fornisce diverse informazioni per gestire allarmi e reazioni automatiche; tuttavia, quando si presentano dei vecchi prodotti la situazione si fa caotica e porta alla generazione di allarmi inattesi.
Le informazioni ottenute da questi “database” non sono esattamente in realtime, ma fanno riferimento ad informazioni scritte nei registri o in altri file di sistema, questo implica che una procedura di disinstallazione imprecisa possa lasciare in giro delle scorie.
Per riportare la situazione alla normalità abbiamo individuato due vie, che non sono le uniche, per ripulire la situazione: una da eseguire su un terminale CMD o Powershell del computer e una molto estrema, eseguibile anche via script, che opera sulle chiavi dei registri.
La procedura di lusso
Questa procedura necessita dell’accesso al desktop del computer interessato e sicuramente ripulisce tutto quanto deve essere ripulito.
Per prima cosa serve l’elenco degli antivirus riportati nel Security Center, dove sono visualizzati solo i prodotti registrati nel sistema, compresi quelli registrati e disinstallati che sono quelli di interesse.
- Aprire una shell CMD con i permessi di amministratore
- Eseguire la seguente stringa per avere la lista dei prodotti registrati nel Security Center
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct get * /value
Interrogazione database WMI degli antivirus
- Salvare l’IstanceGuid dei prodotti rimossi dal sistema.
- Eseguire il comando WBEMTEST (Windows Management Instrumentation Tester)
Windows Managment Instrumentation Tester (WBMEMTEST)
- Premere il bottone Connetti
- Nella finestra aperta compilare il campo Spazio dei nomi con il valore root/SecurityCenter2 e premere il bottone Connetti
Acceso al database WMI
- Nella finestra iniziale è possibile ora premere il bottone Query, dove deve essere inserita la stringa SELECT * from Antivirusproduct e premuto il bottone Applica.
Identificativi dei prodotti antivirus registrati
- Viene visualizzata una schermata contenente tutti gli IstanceGuid, nella lista deve essere individuato il valore relativo al prodotto rimosso e dopo averlo selezionato va premuto il bottone Elimina.
La procedura violenta
Quando si opera con sistemi di automazione si cerca di non accedere al desktop del computer remoto; quindi, si cerca pertanto una soluzione che permetta di agire da uno script o da un terminale a caratteri in background.
Le informazioni relativi alla registrazione degli antivirus sono salvate nei registri al percorso
\\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Provider\Av
In questo percorso sono presenti le IstanceGuid degli antivirus registrati e ottenute con il comando
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct get * /value
Per rimuovere dal Security Center l’antivirus non installato, sarà sufficiente cancellare la chiave con il nome della IstanceGuid, non serve riavviare il computer.
Concludendo
È sempre più frequente che Microsoft Windows ci riservi delle sorprese fastidiose; tuttavia, per come è concepito è frequentemente possibile trovare una soluzione che non sia quella di formattare il computer, una soluzione sempre più suggerita da diversi smanettoni.
Nel 90% dei casi ogni informazione legata ai prodotti e a diverse configurazioni è conservata nei registri di sistema, il punto fondamentale è quindi individuare queste informazioni e valutare se la loro modifica possa causare dei problemi irrecuperabili, compiuta questa valutazione il resto è comprendere come interagire con queste chiavi.
Per maggiori informazioni sull’uso e la realizzazione degli script di automazione leggi questo articolo e contattaci senza impegno.
I componenti distribuiti sono forniti senza alcuna garanzia. Non vi sono garanzie che il software soddisfi le vostre esigenze o sia esente da errori. In nessun caso gli sviluppatori saranno responsabili per eventuali danni.
I componenti proposti sono stati collaudati nel modo più esaustivo possibile e sono utilizzati in modo regolare in ambienti di produzione, durante il loro utilizzo non si sono verificate anomalie di funzionamento.
Articoli recenti
- ShellBag – un viaggio allucinante nei ricordi di Windows
- La donazione di sangue nei cani: importanza, modalità e compatibilità
- Il Manto del Cane: Un Viaggio alla Scoperta della Sua Pelle e del Suo Pelo
- Proteggi il tuo cane dal caldo: prevenzione e riconoscimento della disidratazione
- Monitoraggio e Verifica delle Configurazioni di Rete: Una Soluzione Efficace con PowerShell e Datto RMM
Archivi
Prossimi eventi
Iscriviti alla nostra Newsletter
Un progetto parallelo ambientato nella Tuscia Sutrina: piante da giardino locali, tecniche di coltivazione, storia e leggende del territorio, racconti fantasy a tema. Botanica, cultura e tradizioni in un unico spazio.
A volte basta una breve pausa per ritrovare la concentrazione: qualche minuto tra verde e fantasia può aiutare a tornare al lavoro con nuove idee.
Visita il sito