Windows 7: El sistema PerfMon y la prueba de seguridad

Aunque es posible que obtenga un mensaje de advertencia erróneo respecto de la ausencia de una solución antivirus, puede ajustar PerfMon para que entregue informes con precisión.

Fisnik Hasani

El Monitor de confiabilidad y rendimiento (PerfMon) fue introducido en Windows Vista. Este fue uno de los Microsoft Management Console (MMC) complemento componentes nuevos que fue verdaderamente útil. Este complemento está todavía presente en Windows 7 en una versión ligeramente modificada, sin embargo, su función principal sigue siendo la misma.

Durante mi tiempo en el Foro de respuestas de Microsoft, había muchos puestos que aborda el problema generador de informe de salud de monitor de rendimiento, especialmente cuando el informe se indica que el centro de seguridad no había grabado un producto antivirus. En este artículo, podrá analizar y explicar este problema y ayudarle con una resolución.

El informe de salud del sistema de monitor de rendimiento

PerfMon genera un informe de salud del sistema completo mediante la recopilación de un montón de información del sistema (véase figura 1), incluyendo:

• Configuración de software, que comprueba de OS, centro de seguridad, servicios del sistema y datos sobre programas de inicio.
• Configuración de hardware, que comprueba los discos, sistema, calificación desktop (evaluación de la experiencia de Windows), BIOS, dispositivos, procesos de sesión interactiva, ha iniciado la sesión de los usuarios y cuentas de usuario.
• CPU, que incluye controles e información sobre el procesador, CPU tipo de unidad, CPU interrupciones, servicios y sistema.
• La red, que incluye controles e información sobre el tráfico entrante y saliente, versión TCP, interfaz, IP y el Protocolo de datagrama de usuario (UDP).
• Disco, que incluye controles e información sobre archivos hot (los causantes de más discos IOs), disco de ruptura, disco físico y rendimiento de NTFS.
• Memoria, que incluye controles e información sobre el proceso y contadores.

Figura 1 la fiabilidad y el Monitor de rendimiento en Windows 7 recopila datos y genera informes.

PerfMon reúne y comprueba la información recopilada y genera un informe. A continuación, se puede analizar el informe y determinar si el sistema tiene problemas — y, si es así, son lo que las posibles soluciones. Herramientas integradas como esta ayuda mucho a largo plazo. Prestar especial atención a si el centro de seguridad registra un producto antivirus.

Hay un problema pequeño (y a veces muy común) que aparece en el informe que a veces puede ser engañoso. Centro de acción en Windows 7 a veces los informes que el antivirus es encontrado y actualizada, pero el informe de salud establece el centro de seguridad no ha registrado el producto antivirus (véase figura 2).

Figura 2 APerfMon informe afirmando que no podía grabar el centro de seguridad de un producto antivirus.

¿Cómo ocurre esta discrepancia? Hay dos factores diferentes en el trabajo. Estos dos factores son fáciles de explicar. Tiene que ver con cómo PerfMon recopila los datos del centro de seguridad.

PerfMon recoge información sobre el sistema de ayuda de Windows Management Instrumentation (WMI) y algunos datos del registro. El informe que genera voluntad claramente afirmar que el centro de seguridad no ha registrado un producto antivirus, porque a menudo comprueba el camino equivocado de la raíz de WMI.

Hay dos rutas de raíz de WMI disponibles en Windows Vista y Windows 7. Algunos de los cambios de API en el centro de seguridad de Windows en Windows 7 (que de hecho, se ha convertido en el centro de acción) han afectado la consultas WMI y rutas de raíz.

Aquí es el antiguo camino de raíz de WMI (tal como aparece en Windows XP):

\\Hostname\ROOT\SecurityCenter:AntiVirusProduct

Aquí está la nueva ruta de acceso raíz de WMI:

\\Hostname\ROOT\SecurityCenter2:AntiVirusProduct

Si PerfMon comprueba el camino equivocado de la raíz de WMI en Windows Vista y Windows 7, esto puede resultar en la excepción de código de programa o valor de propiedad de objeto nulo. Que causa PerfMon afirmar que el centro de seguridad no ha registrado un producto antivirus.

Una forma rápida de comprobar esto es utilizar algún código de C# y las referencias de System.Management de Microsoft.NET Framework. Estos incluyen algunas clases útiles para tener acceso a WMI. La imagen se hace más brillante cuando se puede seleccionar entre dos rutas de raíz de WMI. A continuación, también puede ver lo que está provocando esta información falsa para aparecer en el informe de salud PerfMon.

Antes de pasar al segundo factor, mirar los dos cuadros de diálogo de propiedad diferentes que representan los datos de AntivirusProduct en la ROOT\SecurityCenter & ROOT\SecurityCenter2 (véase figura 3).

Figura 3 el primer cuadro de diálogo de propiedades de AntivirusProduct incluye propiedades realmente almacenadas bajo el antiguo sendero de raíz WMI

Problemas de antivirus

El segundo factor realmente no está causado por PerfMon comprobación en el camino equivocado de la raíz de WMI. Realmente se trata con productos antivirus de Microsoft y de terceros. Muchos programas antivirus no utilizan WMI para almacenar detalles sobre sus antivirus. Sin embargo, algunos lo hacen.

Debido a los cambios de API en el centro de seguridad, muchas empresas antivirus comenzaron a almacenar sus datos WMI en la nueva ruta. Es mejor que almacenan datos en las dos rutas: a continuación, puede evitar el mensaje de error falso: "El centro de seguridad no ha registrado un producto antivirus".

Este problema puede ser relativamente fácil de solucionar. Sin embargo, hay un par de cosas que hay que hacer. La primera solución es hacer que su empresa antivirus de terceros escribe la nueva ruta raíz de WMI. La segunda solución es enviar comentarios a Microsoft y pedir a la empresa para enviar un parche para Windows que elimina el antiguo camino de raíz de WMI y sobrescribe la copia anterior de perfmon.exe en el directorio %SYSTEMROOT%\System32.

No hay otra solución posible, también. Las empresas antivirus pueden almacenar datos en ambas rutas de raíz de WMI, para evitar el problema de información falsa en el informe de salud PerfMon (véase figura 4).

Figura 4 la primera ruta de raíz de WMI es antiguo, y el segundo es nuevo.

Después de guardar el objeto recién creado en el antiguo camino de raíz de WMI, los falsos informes desde el informe de salud del monitor de rendimiento se ha ido (véase figura 5), lo que significa que la cuestión se resuelva.

Figura 5 después de crear un nuevo objeto en la antigua ruta de WMI-root, PerfMon encontró la información y se informó con precisión.

Como puede ver, esto es una cuestión simple, pero puede ser compleja para arreglar. Los usuarios manualmente crear objetos en la antigua ruta de WMI-root. Abordar esto puede requerir que los usuarios tienen conocimientos informáticos buena y estar íntimamente familiarizado con Windows. También hay que garantizar que las empresas antivirus están tomando acción y modificar su software para utilizar ambas rutas de raíz de WMI.

**Fisnik Hasani**es el fundador de ITknowledge24.com, un recurso para profesionales de TI y Microsoft MVP 2011 - seguridad del consumidor, colaborador de la comunidad de Microsoft. Visite su sitio Web en itknowledge24.com y seguir en Twitter en Twitter.com/ITknowledge24.

Contenido relacionado

• Opciones de línea de comandos para un acceso más rápido a los datos de rendimiento
• Tomando el pulso del servidor
• Geek de todas las operaciones: supervisión de servidores con System Center Essentials 2010