securitycenter
Antivirus rimossi e ancora visibili nel SecurityCenter di Windows
La ricerca dei prodotti antivirus installati è tipicamente eseguita interrogando, con o senza script, il Security Center di Microsoft Windows, valutandone anche lo stato attraverso il codice di esecuzione.
Il contenuto visualizzato è talvolta errato, nel senso che la visualizzazione presenta dei prodotti dismessi da tempo o non sono presenti quelli nuovi, questa situazione rende necessario levare di torno gli antivirus rimossi e rendere visibili quelli installati.
I nuovi prodotti si visualizzano solo se eseguono la registrazione con il Security Center, un’azione compiuta ormai da tutti, fatta eccezione per gli antivirus che consentono in modo diretto di disabilitare la registrazione.
Una nota importante è costituita dal fatto che la funzionalità del Security Center non è presente nei server; pertanto, qualsiasi azione che esegue query in quello spazio si risolve con un fallimento.
Abbiamo diversi monitor automatizzati negli RMM, che interrogano il Security Center con un cmdlet di Powershell.
Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct
L’output del cmdlet fornisce diverse informazioni per gestire allarmi e reazioni automatiche; tuttavia, quando si presentano dei vecchi prodotti la situazione si fa caotica e porta alla generazione di allarmi inattesi.
Le informazioni ottenute da questi “database” non sono esattamente in realtime, ma fanno riferimento ad informazioni scritte nei registri o in altri file di sistema, questo implica che una procedura di disinstallazione imprecisa possa lasciare in giro delle scorie.
Per riportare la situazione alla normalità abbiamo individuato due… Continua a leggere