排查迁移到 Microsoft Defender for Endpoint 时出现的问题
适用于:
本文为从非 Microsoft Endpoint Protection 解决方案迁移到Microsoft Defender for Endpoint时遇到问题的安全管理员提供故障排除信息。
windows Server 上卸载Microsoft Defender防病毒
迁移到 Defender for Endpoint 时,从活动模式下的非 Microsoft 防病毒/反恶意软件保护开始。 在安装过程中,在被动模式下配置Microsoft Defender防病毒。 有时,非 Microsoft 防病毒/反恶意软件解决方案可能会阻止Microsoft Defender防病毒在 Windows Server 上运行。 事实上,它看起来像Microsoft Defender防病毒已从 Windows Server 中删除。
若要解决此问题,请执行以下步骤:
将Microsoft Defender for Endpoint添加到排除列表
| 操作系统 | 排除项 |
|---|---|
|
Windows 11 Windows 10版本 1803 或更高版本 (请参阅Windows 10版本信息) Windows 10版本 1703 或 1709(已安装KB4493441) |
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exeC:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
|
Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 版本 1803 |
在 Windows Server 2012 R2 和运行新式统一解决方案的Windows Server 2016,在使用 KB5005292 更新 Sense EDR 组件后,需要以下排除项:C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
|
Windows 8.1 Windows 7 Windows Server 2008 R2 SP1 |
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe注意:监视主机临时文件 6\45 可以是不同的编号子文件夹。 C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exeC:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe |
重要
最佳做法是使组织的设备和终结点保持最新。 确保获取Microsoft Defender for Endpoint和Microsoft Defender防病毒的最新更新,并使组织的操作系统和生产力应用保持最新。
手动将Microsoft Defender防病毒设置为被动模式
在 Windows Server 2022、Windows Server 2019、Windows Server 版本 1803 或更高版本、Windows Server 2016或 Windows Server 2012 R2 上,必须手动将 Microsoft Defender 防病毒设置为被动模式。 此操作有助于防止在服务器上安装多个防病毒产品而导致的问题。 可以使用 PowerShell、组策略或注册表项将Microsoft Defender防病毒设置为被动模式。
可以通过设置以下注册表项将Microsoft Defender防病毒设置为被动模式:
路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
名称:ForceDefenderPassiveMode
类型: REG_DWORD
值:1
注意
若要在运行 Windows Server 2016 和 Windows Server 2012 R2 的终结点上运行被动模式,必须使用载入 Windows 服务器中的说明载入这些终结点。
有关详细信息,请参阅 Windows 中的Microsoft Defender防病毒。
Microsoft Defender防病毒似乎停滞在被动模式下
如果Microsoft Defender防病毒停滞在被动模式下,请按照以下步骤手动将其设置为主动模式:
在 Windows 设备上,以管理员身份打开注册表编辑器。
转到
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection。设置或定义名为
ForceDefenderPassiveMode的REG_DWORD条目,并将其值设置为0。重新启动设备。
重要
如果在执行此过程后仍无法将Microsoft Defender防病毒设置为活动模式,请联系支持人员。
在 Windows Server 2016 上重新启用Microsoft Defender防病毒时遇到问题
如果在 Windows Server 2016 上使用非 Microsoft 防病毒/反恶意软件解决方案,则现有解决方案可能需要禁用或卸载Microsoft Defender防病毒。 可以使用恶意软件防护 Command-Line 实用工具在Windows Server 2016上重新启用Microsoft Defender防病毒。
以服务器上的本地管理员身份打开命令提示符。
运行以下命令:
MpCmdRun.exe -wdenable重启设备。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。