Wie kann manuell geprüft werden, ob in der WMI die korrekten Werte stehen? Oder auch: Wo finde ich die F-Secure WMI-Werte?


Lösung:

Hier ist es nun nötig, die Einträge in der WMI zu prüfen. F-Secure verwendet hierbei einen eigenen Namensraum in der WMI. Im Folgenden erfährst du, wie du mit der PowerShell und anschließend alternativ mit einem WMI-Browser auf die Daten zugreifen kannst. 


Mittels PowerShell:

Führe auf der entsprechenden Maschine bitte folgende PowerShell-Abfragen durch: 

  • Get-CimInstance -Query "SELECT * FROM AvDefinition" -Namespace root/FSecure 
    • Hier liest der Sensor "UpdateTime" aus.
  • Get-CimInstance -Query "SELECT * FROM AntiVirus" -Namespace root/FSecure  
    • Hier liest der Sensor "AvDefinitionsUpdateTime" aus. 
  • Get-CimInstance -Query "SELECT DeepGuard,RealTimeScanning FROM AntiVirus" -Namespace root/FSecure  
    • Damit kannst du prüfen, ob die beiden Prüftechniken Tiefenwächter (Deepguard) und der Echtzeitscanner (RealTimeScanning) aktiv sind. Sind sie es nicht kannst du den Status hier finden. 
    • Dabei werden "DeepGuard" und "RealTimeScanning" gelesen, der Status "Enabled" zeigt an, dass jeweils dieser Scanner aktiv ist. 
  • (optional: Get-CimInstance -Query "SELECT * FROM Firewall" -Namespace root/FSecure )  
    • Liest Enabled, SecurityLevel und Version aus



Mittels WMI Browser 

Diese Einträge lassen sich etwas komplizierter finden als bei anderen Produkten, da F-Secure einen eigenen WMI-Namensraum verwendet. Für einen möglichst einfachen Einstieg findest du hier in diesem KB-Artikel den WMI-Explorer: WMI Eintrag kontrollieren (mit Fallbeispiel "Antivirus Status"-Sensor) Wenn du den WMI-Explorer geladen hast machen wir hier weiter. 


Du hast den WMI-Explorer geladen oder eine andere Möglichkeit beispielsweise über PowerShell, um auf die WMI zuzugreifen? Dann machen wir weiter, auf Basis des WMI-Browsers: 

  • Wähle unter "Action -> Connect to host/namespace..." den Namensraum "F-Secure". Klicke dazu das Buch im Dialogfenster an, wähle F-Secure aus und klicke dann auf OK: 
  • Du erhältst dann eine Tabelle mit den möglichen WMI-Klassen. Um zu prüfen, welche Einträge vorhanden sind verwenden wir aber jetzt WMI-Abfragen. Die WMI-Abfragen kannst du neben Query eingeben:
  • Dies Abfragen sind wie folgt: 
    • SELECT * FROM AvDefinition
      • Hier liest der Sensor "UpdateTime" aus.
    • SELECT * FROM AntiVirus
      • Hier liest der Sensor "AvDefinitionsUpdateTime" aus. 
    • SELECT DeepGuard,RealTimeScanning FROM AntiVirus
      • Damit kannst du prüfen, ob die beiden Prüftechniken Tiefenwächter (Deepguard) und der Echtzeitscanner (RealTimeScanning) aktiv sind. Sind sie es nicht kannst du den Status hier finden. 
      • Dabei werden "DeepGuard" und "RealTimeScanning" gelesen, der Status "Enabled" zeigt an, dass jeweils dieser Scanner aktiv ist. 
    • (optional: SELECT * FROM Firewall
      • Liest Enabled, SecurityLevel und Version aus)

Fazit

Damit kannst du problemlos nachvollziehen, ob die Daten in der WMI enthalten sind. Es ist ein bekanntes Problem, dass die Daten in seltenen Fällen nicht vorhanden sind - in diesem Fall kann dir der Support von F-Secure weiterhelfen. Wenn du weitere Fragen hast wende dich gerne an den Server-Eye-Support, wir können dir weitere Informationen dazu geben.