[2.0][CLOSED] Real-time protection disabled

Hi lp,

at the moment the users can change the endpoint settings without any restrictions, so it is possible that the users disabled realtime scanning themselves. To lock the settings on the endpoint you have to enable tamper protection (Settings - Administration - Enable Tamper Protection).
Could you look on the machines directly if realtime scanning is actually disabled? 
That's also the only way to verify if it is actually enabled at the moment, but I think that should be improved somehow.
It is also intended for a future beta update that policies are automatically reapplied if an endpoint is recognized as non compliant and only if that fails, the non compliant event will be shown.

Thanks, where would I find if it has been disabled on the local machine? I can't see anything related to real time protection in the Endpoint window.

That's because it is named On-Access scanning on the endpoint [:)]
I attached a screenshot were you can see the exact location of the status (right click the sophos icon in system tray).

Well that's a sneaky trick! :-)

Thanks for the info, we all appear to have it enabled, and I am 100% certain none of us disabled it manually. Presumably something is disabling it at times. I'll keep an eye on it and now at least I know how to re-enable it. (Might you consider consistent terminology?)

Thanks for all the help.

Also I noticed on my own Sophos on my laptop – that it gives a high warning – that Real time protection is disabled, and yet on the Sophos icon in the taskbar there is no indication of anything amiss – normally with an AV if anything is wrong it is indicated on the shield for that particular AV.
The only thing I have found is that the application control was unticked.

So for the average business owner – who may have deployed this to their staff they are not going to know why a particular error is being reported as the ‘real time protection’ error does not indicate what part of the Sophos configuration is not working or has been disabled, as looking through the Sophos configuration – there isn’t an actual ‘real time protection’ setting.

I realize that this is probably just terminology however, this is the one thing that non-technical business owners get really turned off about, is the ability to be able to decode a warning and translate that into easily actionable changes to say a staff computer and resolve the issue. Once they have to start to get involved and ringing support to understand an error or warning is often too much and becomes a frustrating experience.

Hi,
 the real problem is that on the endpoint the function is called "on-access scanning" (just read my last post). It is good that you, as customers, complain about that, because I already criticized the different naming a while ago and no one really bothered.
There are several indications from the client that on-access(realtime) scanning is disabled.
1. If it gets disabled a message pops up immediately
2. The Sophos icon in the system tray show a yellow warning triangle
3. If you hover over tray Icon its says "on access scanning disabled"

There's also the report section that's being implemented at the moment, were you can see more detailed information about your endpoints, users etc.

One of the users this happened to over the last few days was me, there was no indicator (or if there was it did not remain long enough for me to return to my desk etc), and no pop up message (unless it popped up while I was away from the computer). 

I agree entirely with foxpc123, making it easy to decipher the warning messages is vital.

The disabling of this feature was actually on my own laptop and I can confirm as well that the Sophos shield was perfectly normal. 

As a quick test I have just disabled this and can see that you are correct performing this manually does bring up the warning - so it looks as though with this occurrence that whatever is happening circumvents this check.

I have rolled the Sophos out to a number of other end-points so will have to monitor whether other clients report the same thing. I did notice that my machine had detections - which had been cleaned up - so whether this is relevant to this investigation I'm not sure.

Hi everyone,

I'm one of the people in Sophos looking at this issue. Anyone who'd like to help, could you do the following please...

a) identify a machine for which you've received the "real time protection disabled" emails but you don't think real time protection (aka on access scanning) *has* been turned off
b) Run SDU (linky) on that machine
c) Send me the details of the emails you got about that machine (e.g. export them to text) 
d) Zip it all up and send it to me (I ticked the "let other users mail me" box; if it is bigger than 10 Mb, we'll need to use FTP - let me know if the latter is needed and we'll find credentials for those who don't already have some.

Many thanks,

MariaH

Hi Mariah,

I am still seeing lots of these errors, and I know that my customers are not disabling this as they wouldn't know how to find it to be able to do this. I suspect that this is something associated with boot time, if the machine is restarted for example. I will go through the client list and see if I can identify one to send you some more information.
Thanks
Mike