SCCM 2012 — Endpoint Protection и множество процессов msseces.exe

imageПри использовании Endpoint Protection (SCEP) из состава System Center 2012 Configuration Manager (SCCM) на терминальных серверах можно заметить то, что в конфигурации по-умолчанию SCEP устроен так, что в каждой пользовательской сессии запускается процесс msseces.exe (Microsoft Security Client User Interface), отображающий в частности иконку в области уведомлений (трее).

image

Помимо того, что происходит нерациональное потребление системных ресурсов есть ещё и проблема того, что пользователям доступен графический интерфейс антивируса, в частности такие волшебные функции как запуск сканирования по требованию.

В текущей реализации SCEP мне не удалось найти возможности отключения пользовательского интерфейса программы через настройки политик клиента SCCM или политик Endpoint Protection. Но можно попробовать воспользоваться методом отключения автозагрузки выше обозначенного программного модуля, например через системную утилиту msconfig

image

Эта процедура по сути отключает использование параметра реестра MSC в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

После перезагрузки сервера процесс msseces.exe больше не будет запускаться в каждой пользовательской сессии и соответственно исчезнет значок SCEP из области уведомлений. Если же администратору сервера потребуется получить доступ к UI, то можно воспользоваться ручным запуском исполняемого файла
%ProgramFiles%Microsoft Security Clientmsseces.exe

Эксперименты с EICAR показали что функциональность самого основного процесса MsMpEng.exe не страдает после отключения msseces.exe из автозагрузки.

Всего комментариев: 5 Комментировать

  1. Genady /

    а можно ли так-же избавиться от SCNotification.exe он то-же у каждого пользователя терминала ….

    1. Алексей Максимов /

      SCNotification.exe это один из процессов самого клиента SCCM. И мне не известно методов его отключения.

  2. mcpclubminsk /

    Во первых спасибо за статью, долго не мог вспомнить где я ее видел, еле нашел.

    Во-вторых, то же самое можно сделать в Antimalware Policy, задав номер политики меньший чем предыдущие и задеплоить прямым правилом( сделать коллекцию RDSH) куда будут включаться автоматом все нужные серверы. Там галочка есть advanced>disable client user interface.

    1. Алексей Максимов / Автор записи

      Обратите внимание на то, о какой версии написана заметка и когда она была написана.

      1. mcpclubminsk /

        Я и не ставил целью открыть вам глаза, написал больше для тех кто зайдет сюда и прочтет не посмотрев на дату. И кстати disable client user interface кажись уже был в 2012

Добавить комментарий