IT Blögg Alles rund um einen IT Nerd ~1 Min. Lesezeit
McAfee ist ein bekannter Virenschutz, welcher leider sehr verschwenderisch mit Systemressourcen umgeht.
Trotzdem ist es ein guter Schutz vor Viren und allerlei Mistfiechern auf dem Rechner.
Musste man also auf einer langsamen Kiste ein VMWare Image kurzzeitig öffnen oder einfach die laufende Prüfung abbrechen weil man gerade in einem sehr wichtigen Arbeit ist, gab es die Möglichkeit mit
net stop mcshield
den Dienst zu stoppen. Falls ein Autostart eingerichtet war, kam der Dienst nach einer gewissen Zeit hoch automatisch wieder hoch, anderenfalls musste man ihn wieder starten. In dieser Zeit ist jeglicher Schutz komplett abgeschaltet und der Rechner setzt sich einem hohen Risiko einer Infektion aus. Daher ist es sehr ratsam den Rechner solange vom Netz zu trennen, um wenigsten eine Infektion vom Internet zu unterbinden.
Seit der Version 8.5i vom VirusScan kann der McShield Task nicht mehr über den Taskmanager oder die Services gestoppt werden. Ein Schutz wurde implementiert, wo sogar lokalen Administratoren das Stoppen des Dienstes untersagt.
Wenn man es trotzdem versucht, gibt es solche oder ähnliche Fehlermeldungen wie „Unable to stop McAfee Services – Access denied“:
Dieser Schutz wird in der Konfiguration unter „Prevent McAfee services from being stopped“ gehandelt.
Der Schutz soll dazu da sein, das Viren die McAfee Prozesse stoppen und sich trotzdem Viren einnisten können. Welcher Schwachsinn. Es ist da, damit die User welche lokale Adminrechte haben nicht den Service stoppen können und damit gegebenenfalls eine extrem hohe Sicherheitslücke im System aufmachen.
Wie einfach es ist dies auszuhebeln ist, zeigt dass jeder Virus der durch die Option nicht ins System kommt, auch sonst nicht rein gekommen wäre.
Öffnet man in der Registry folgenden Pfad
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore
und setzt „LockDownEnabled“ auf 0 ist der ganze Schutz dahin und die Services können wieder abgeschossen oder beendet werden. Damit man nicht selbst in der Registry fummeln muss, hier das REG-File zum importieren: LockDownEnabled.reg
Dieses Setting wird höchst wahrscheinlich durch einen ePolicy Orchestrator Server(ePO) nach einer gewissen Zeit überschieben. Ein ePO-Server ist meinst in Firmen angesiedelt um die Konfiguration und Überwachung auf den Clients zu verteilen.
Als Warnung möchte ich nochmals auf den Weg mitgeben, dass ein deaktivierter Virenschutz KEINEN Schutz darstellt und man sich damit einem erheblichen Risiko aussetzt.
Weiterhin ist das Aushebeln von Schutzmechanismen in Firmen strafbar und darf daher nur im privaten Umfeld zum Einsatz kommen.
