排查迁移到 Microsoft Defender for Endpoint 时出现的问题

适用于:

本文为从非Microsoft终结点保护解决方案迁移到Microsoft Defender for Endpoint时遇到问题的安全管理员提供故障排除信息。

Windows Server上卸载了Microsoft Defender防病毒

迁移到 Defender for Endpoint 时,从活动模式下的非Microsoft防病毒/反恶意软件保护开始。 在安装过程中,在被动模式下配置Microsoft Defender防病毒。 有时,非Microsoft防病毒/反恶意软件解决方案可能会阻止Microsoft Defender防病毒在Windows Server上运行。 事实上,它看起来像Microsoft Defender防病毒已从Windows Server中删除。

若要解决此问题,请执行以下步骤:

  1. 将Microsoft Defender for Endpoint添加到排除列表
  2. 手动将Microsoft Defender防病毒设置为被动模式

将Microsoft Defender for Endpoint添加到排除列表

操作系统 排除项
Windows 11

Windows 10版本 1803 或更高版本 (请参阅Windows 10版本信息)

Windows 10版本 1703 或 1709(已安装KB4493441
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

Windows Server 2025 (从 2025 年 2 月开始,并在未来几周内推出)
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server版本 1803
在 Windows Server 2012 R2 和运行新式统一解决方案的Windows Server 2016,在使用 KB5005292 更新 Sense EDR 组件后,需要以下排除项:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

注意:监视主机临时文件 6\45 可以是不同的编号子文件夹。

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

重要

最佳做法是使组织的设备和终结点保持最新。 确保获取Microsoft Defender for Endpoint和Microsoft Defender防病毒的最新更新,并使组织的作系统和生产力应用保持最新。

手动将Microsoft Defender防病毒设置为被动模式

提示

如果你计划将 windows Server 的Microsoft Defender防病毒保持被动模式,则需要在ForceDefenderPassiveMode载入设备以Microsoft Defender for Endpoint之前设置此设置。

在 Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server、版本 1803 或更高版本、Windows Server 2016或 Windows Server 2012 R2 上,必须设置手动将防病毒Microsoft Defender到被动模式。 此作有助于防止在服务器上安装多个防病毒产品而导致的问题。 可以使用注册表项将Microsoft Defender防病毒设置为被动模式。

可以通过设置以下注册表项将Microsoft Defender防病毒设置为被动模式:

路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

名称:ForceDefenderPassiveMode

类型: REG_DWORD

值:1

注意

若要在运行 Windows Server 2016 和 Windows Server 2012 R2 的终结点上运行被动模式,必须使用载入 Windows 服务器中的说明载入这些终结点。

有关详细信息,请参阅 Windows 中的Microsoft Defender防病毒

Microsoft Defender防病毒似乎停滞在被动模式下

如果Microsoft Defender防病毒停滞在被动模式下,请按照以下步骤手动将其设置为主动模式:

  1. 在 Windows 设备上,以管理员身份打开注册表编辑器。

  2. 转到 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

  3. 设置或定义名为 ForceDefenderPassiveMode的REG_DWORD条目,并将其值设置为 0

  4. 重新启动设备。

重要

如果在执行此过程后仍无法将Microsoft Defender防病毒设置为活动模式,请联系支持人员

在 Windows Server 2016 上重新启用Microsoft Defender防病毒时遇到问题

如果在 Windows Server 2016 上使用非Microsoft防病毒/反恶意软件解决方案,则现有解决方案可能需要禁用或卸载Microsoft Defender防病毒。 可以使用恶意软件防护 Command-Line 实用工具在Windows Server 2016上重新启用Microsoft Defender防病毒。

  1. 以服务器上的本地管理员身份打开命令提示符。

  2. 运行以下命令:MpCmdRun.exe -wdenable

  3. 重启设备。

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区