[9.100-8][QUESTION]On access checking

Neither UAC nor the firewall would make difference to on-access scanning. 

Can you now get into the on-access settings or are they still grayed out?

Can you complete the checks listed earlier?

On the new W8 64 PC, the on access is still greyed out.
I will go through all the requested steps tonight my time.

Ian

Changed tamper protection for all PCs and was able to enable on demand scanning. Still leaves a question about it not being enabled by default on installation even though the installation shows it as being enabled?

Are we talking about on-access or on-demand scanning here?  Different things.

To recap the problem (as I see it): The endpoint reports to the UTM that on-access is enabled but locally the OS/Sophos shield reports on-access is disabled.  In trying to get to the on-access settings (locally on the W8 computer) to confirm what is enabled the options appear grayed out and hence have so far hindered resolving the main problem.

One thing you should know in tackling this problem: Tamper protection and/or the fact that SAV is not probably installed could be causing the grayed out menu options.  Equally you might have a problem with the GUI allowing the logged on account access (i.e., back to not being properly added to the 'SophosAdministrator' group from earlier in this thread).  Hence there are a few hurdles to clear (regarding getting to the settings screen) so you can see if on-access is enabled or not.

To recap what the test is:  After an installation (and probably add a reboot to make sure all is OK) can you get to (and this is where I think you're stuck at the moment) the following screen and see what is enabled:

enable_on-access_scanning.png

If opening the settings is really causing a problem then I suggest opening:

C:\ProgramData\Sophos\Sophos Anti-Virus\machine.xml

...and checking what the following section in the XML file says:


-
-

true
true
true
true
false    
false

Hi,
no config.xml file on the W8 PC.

You are correct I was typing the wrong thing, should have been on access. Since disabled tamper protection on the UTM, ticked the on access box on bot installations and re-eabled tamper protection the W8 and W7 PCs have stopped complaining about on access being disabled.
I have added my userid to the w8 on access group.

At this stage all seems to be working okay and I now have information on how to fix future installations.

Thank you

Ian

Hi,
no config.xml file on the W8 PC.

Ian

Oops!  Meant to say 'machine.xml'.  Now changed.

I am glad I am a mind reader, you really meant to add another layer in the file structure of config.
My machine.xml file doesn't look anything like the example you posted.

I will log on from the PC and copy the section into a post.

Ian

I expect I should uninstall EP and then install it running as admin.

Laptop is back to complaining about on access being disabled.

Anyway, here is the extract from thje machine.xml on hte W8 64 PC.

                
                    
                        truetruetruetruefalsefalse
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                    
                    
                        
                            truefalsetruefalse
                            
                            ApplicationControl0PuaDetection1BehaviourSuspicious0
                        
                    
                    
                        
                            falsefalse
                            falsefalse
                    
                    
                        
                    
                
            

        
            
                
                    
                        
                            
                            
                        
                    
                    
                        
                            101101101101101101101101101101
                            
                                
                            
                        
                    
                
            

Hope this helps.

Ian

Laptop is back to complaining about on access being disabled.

Anyway, here is the extract from thje machine.xml on hte W8 64 PC.

                
                    
                        truetruetruetruefalsefalse
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                            
                        
                    
                    
                        
                    
                    
                        
                            truefalsetruefalse
                            
                            ApplicationControl0PuaDetection1BehaviourSuspicious0
                        
                    
                    
                        
                            falsefalse
                            falsefalse
                    
                    
                        
                    
                
            

        
            
                
                    
                        
                            
                            
                        
                    
                    
                        
                            101101101101101101101101101101
                            
                                
                            
                        
                    
                
            

Hope this helps.

Ian

Laptop is back to complaining about on access being disabled.

Just to confirm: Where exactly is it 'complaining'?  Do you have a screenshot that shows the issue?

The screen error clears when ever you try to capture it. The log shows lots of stopping and starting, currently on access scanning is running.

I will keep an eye on it and see if I can identify an action that causes it to stop.
Are the code lines of any use?

Ian

Doing some analysis of the log it looks like every time there is an update on access scanning is disabled for about 1 second and that puts up an error message which is what I am seeing.

Ian