Grundsätzlich erfolgt die Eintragung in der WMI durch Installation der Software. Sollte dies nicht funktioniert haben und eine Neuinstallation bringt ebenfalls nicht das gewünschte Ergebnis, so ist der Softwarehersteller zu kontaktieren.

Der normalerweise interessanteste WMI-Namespace ist der Namespace "root\cimv2", in diesem enthalten sind alle relevanten Daten für das Betriebssystem, wie beispielsweise der noch verfügbare Festplattenspeicherplatz (unter Win32_LogicalDisk). Beachte bitte, dass der Sensor "WMI-Query" derzeit bei der Namensraumeingabe nur "cimv2" benötigt und Du "root\" weglassen solltest, sofern es Fehler gibt. 

Wenn Du Dir einmal die WMI selbst ansehen möchtest, kannst Du hierzu einen WMI-Explorer verwenden, wie beispielsweise den WMI-Explorer, den Du unter anderem hier herunterladen kannst:

https://cloud.server-eye.de/s/NXCZx3Pt46T2cqX

Wie du diese Abfragen mit der PowerShell durchführst findest du weiter unten. 


Um die verfügbaren Namespaces zu sehen klicke einfach auf "Action" und "Connect to", hier kannst Du den aktuell aufgelisteten Namensraum sehen. Solltest Du einen anderen Namensraum einsehen wollen, so klicke einfach auf das blaue Buchsymbol dahinter. 


Ein praktisches Fallbeispiel (für Nicht-Server-Systeme)


Der Sensor "Antivirus Status" erhält seine Daten beispielsweise aus der WMI. Hier liest er Informationen wie Produktname, Status und Speicherort aus. 


Mit dem WMI Explorer

Diese Daten kannst Du überprüfen, indem Du im oben verlinkten WMI Explorer "Connect to host/namespace" auswählst. 





Windows verwendet in den Versionen ab inklusive Vista den Namensraum "SECURITYCENTER2". Wähle diesen Namensraum aus und klicke auf "Ok". 




Nun kannst Du in der Tabelle "AntiVirusProduct" unter "Instances" die installierten Produkte finden. 




Wenn Du eines der Produkte auswählst kannst Du den Produktstatuswert und den Namen des Produktes herausfinden. 


Sollte hier etwas fehlen hilft meist eine Neuinstallation des jeweiligen Produktes. Sollte auch durch eine Neuinstallation der Eintrag in der WMI fehlen, so wende Dich bitte an den Hersteller des Antivirenproduktes.


Achtung: Wenn Du einen doppelten Eintrag findest, wende Dich bitte an den Hersteller Deines Antiviren-Produkts. 


Mit der PowerShell

Du kannst das Fallbeispiel auch mit der PowerShell nachstellen. 

Beachte: Starte bitte die PowerShell als Administrator. SecurityCenter2 ist nur als Administrator abrufbar. 

Um die Antivirenprodukte abzufragen benutze folgenden PowerShell-Befehl: 


Get-CimInstance -Query 'Select * from Antivirusproduct' -Namespace 'root\SecurityCenter2'

Der folgende Aufruf entfernt Einträge aus dem Windows SecurityCenter2, die nicht Windows Defender sind. Diesen Aufruf bitte nur verwenden, wenn keine weitere Antiviren-Software installiert ist und eventuell übrig gebliebene Einträge bereinigt werden müssen, da bestehende Installationen unter Umständen hiermit beschädigt werden: 

Get-CimInstance -Query 'Select * from Antivirusproduct' -Namespace 'root\SecurityCenter2' | Where-Object {$_.displayName -notlike "*Defender*"} | Remove-CimInstance

Hierbei werden dann alle Antivirenprodukte mit allen Statusinformationen entfernt, die gefunden werden.



Ergänzung zum Sensor "Gesundheitstatus für Avira" 

Die Antiviren-Lösung von Avira trägt sich nicht nur an dem besprochenen Punkt in die WMI ein. Der Sensor "Gesundheitstatus für Avira" greift in der WMI auf einen anderen Punkt zu. Verwende hier den Namensraum "Root/CIMV2/Application" und überprüfe, ob hier das Objekt "Avira_AntiVir" vorhanden ist. 

Wenn dieses Objekt nicht vorhanden ist, so hilft auch hier eine Neuinstallation. 


Überzählige Antivirenlösung entfernen

Wie du einen überflüssigen Antivirus-Eintrag entfernen kannst findest du in diesem KB-Artikel: WMI Einträge über die PowerShell löschen ( Inaktives AV/FW Produkt )


Dies kann beispielsweise passieren, wenn eine Antivirenlösung deinstalliert wird - dabei kann passieren, dass Teile in der WMI zurück bleiben und somit zu einem falschen Status führen.