Wie kann ich feststellen, ob ein Antivirus-Produkt Server Fehler installiert ist

Wie kann ich feststellen, ob ein Antivirus-Produkt Server Fehler installiert ist

Da Sie von 15.000 Hosts im Gespräch sind, aus dem Netzwerk jeder von ihnen die Abfrage wird sehr ineffizient.

The Right Thing ™ dann zu tun ist, einen Watchdog zu haben, auf jedem Host laufen die entsprechende Software, um sicherzustellen, installiert und ausgeführt wird. Dieser Watchdog könnte ein Stück Software als Dienst ausgeführt, ein geplantes Skript oder auch Hardware-basierte, wenn Sie so etwas wie Intel vPro verwenden.

Um zu überprüfen, ob ein AV-Software installiert ist, können Sie den folgenden Powershell-Befehl verwenden könnte –

Beachten Sie, dass Sie am Ende einen Filter Argument haben, die Sie anpassen können, um sicherzustellen, dass Sie auf dem richtigen Produkt suchen.

Nach ein wenig mit dem wie Operator spielen, sollten Sie die Antivirus-Beschreibung und kleinere Variationen hier und da zu nageln können. Beachten Sie, dass mein Beispiel oben (alles mit dem Wort "Antivirus") Ist ziemlich simpel. Sie sollten stattdessen suchen Sie nach bestimmten Mustern Ihre zugelassenen Antivirus-Software passend (z "Trend Micro Antivirus%")

Auf jeden Fall wird der Befehl über eine Sammlung von installierten Produkte zurück, die Ihre Filter-Anweisung entsprechen. Von hier aus können Sie testen, ob $ avSoftware.Count größer als Null ist, in welchem ​​Fall Sie Antivirus-Software installiert haben. Das folgende Beispiel listet alle installierten Antiviren-Software –

Anstatt nur eine Nachricht Druck zu sagen, dass kein AV gefunden wurde, sollte man natürlich etwas tun, nützlicher, z.B.

  • Benachrichtigen Sie einen Admin
  • Installieren Sie einen AV aus dem Netz

Sie haben auch gesagt, wenn Sie möchten die Version des installierten AV zu erhalten. Um das zu tun, können Sie die Eigenschaft Version des Win32_Process verwenden. Lassen Sie uns die obigen Code wie folgt ändern, um auch die Versionsnummern für die installierte Software drucken –

Wie für die Version der installierten Virendefinitionsdateien, würden Sie auf jeden spezifischen AV-WMI-Schnittstelle angewiesen. Sie werden der Dokumentation des Herstellers für das konsultieren.

Eine weitere Sache, sich zu erinnern. Es ist wahrscheinlich wissen nicht genug, dass der Host-AV installiert ist, wenn der AV nicht läuft. Nach der Überprüfung dem AV installiert ist, sollten Sie seinen Prozess stellen Sie sicher, ausgeführt wird. Um das zu tun, müssen Sie wissen, was der entsprechende Prozess für jede Ihrer AV-Software ist und suchen sie wie folgt –

Das obige Beispiel sieht für den Spybot-Prozess (nicht genau AV, aber Sie bekommen das Bild), die aufgerufen wird, "TeaTimer.exe". Ändern Sie es stattdessen für Ihren Prozess zu suchen.

Nun, all das heißt, wenn Sie mit Tausenden von Hosts wie das zu tun sind, sollten Sie vielleicht in einigen Management-Tool investieren (z LANdesk, Microsoft System Center oder Ebene Plattformen). Diese Instrumente würden Ihr Leben viel einfacher machen.

In unserem Fall mit rund 100 Computern, ist es einfach genug für ein Powershell-Skript auf dem Server durch alle Computer zu gehen, und diese Dateien verketten, und schauen nur für diejenigen, die nicht die Zeichenfolge hatte "Virus gefunden count (0)" in ihnen. Natürlich, wenn diese Datei und Ausdruck nicht da ist, stimmt etwas nicht: AV nicht vor kurzem laufen, Virus gefunden, AV nicht installiert, etc. Sie müssen wahrscheinlich etwas mehr Phantasie es zu vergrößern.

Aber gibt es nicht Enterprise-Versionen von AV, die alles für Sie statt meiner armen Mannes Version zu tun?

beantwortet 26 Mai ’09 um 22:48 Uhr

In den aktuellen Versionen von Windows (XP SP3 +, Vista, Win 7) Sie den gleichen WMI-Anbieter, die Windows-Sicherheitscenter verwendet abfragen kann wissen, ob ein Antivirus-Produkt installiert und up-to-date.

Hier ein Beispiel:

Es werden allerdings nicht alle Antiviren-Produkte wird einen WMI-Anbieter registrieren, aber ich vermute, die meisten der populären werden. Außerdem ist es nicht klar, ob diese offiziell von Microsoft unterstützt wird, so dass es in zukünftigen Versionen entfernt gehen könnten.

Man könnte es in Kombination mit den anderen WMI Vorschläge versuchen hier, fallen die installierten Produkte zurück Scannen, wenn die dies nicht funktioniert.

Nicht sicher, wie praktisch das ist, 15.000 Hosts gegeben, aber wenn Sie eine Liste der Maschinen haben Sie wollen in einer Textdatei zu überprüfen, können Sie die Deinstallation Schlüssel in der Registrierung abgefragt und die Ergebnisse analysieren.

Text-Datei mit einem Computernamen pro Zeile namens computers.txt:

Beispiel genannt batch.bat:

Ich weiß, das ist vielleicht ein bisschen der Informationsflut in Text, aber es können Sie die Ergebnisse für jedes A / V-Software, die Sie suchen zu analysieren, ohne den Registrierungseintrag zu wissen, jeder Deinstallationsinformationen des Produktes in enthalten ist.

Sie können dies auch maßgeschneiderte für bestimmte Produktregistrierungseinträge, die Registry-Abfrage für das spezifische Produkt der Registrierungsschlüssel zu ersetzen.

Wir beantworten Ihre Fragen wiederum

Ich würde ein Skript schreiben, auf jedem System zu lief. Sie werden die Deinstallationsregistrierungsschlüssel abfragen. Sie werden durch die einzelnen Unterschlüssel zu suchen. WMI Verwendung ist die beste Methode in diesem Fall. In diesem Schlüssel, werden Sie den Namen des Produkts und der Version zu sehen. Sehen Sie dieses Beispiel für Scripting.

Ich tun würde, Versuch und Irrtum, aber im Fall der Trend, ich kann mir vorstellen, würden sie ihre Definition-Version in der Registry unter HKEY_LOCAL_MACHINE \ Software \ Trendmicro oder in einer Config oder INI-Datei in ihrem lokalen Verzeichnis.

Das wäre nur für diese Version von AV-Software berücksichtigen. Sie werden feststellen, dass für mehrere Versionen zu tun haben.

beantwortet 26 Mai ’09 um 21:00 Uhr

Deine Antwort

2016 Stapel von Exchange, Inc

Quelle: serverfault.com

Read more

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

achtzehn − vier =