排查迁移到 Microsoft Defender for Endpoint 时出现的问题
适用于:
本文为从非Microsoft终结点保护解决方案迁移到Microsoft Defender for Endpoint时遇到问题的安全管理员提供故障排除信息。
Windows Server上卸载了Microsoft Defender防病毒
迁移到 Defender for Endpoint 时,从活动模式下的非Microsoft防病毒/反恶意软件保护开始。 在安装过程中,在被动模式下配置Microsoft Defender防病毒。 有时,非Microsoft防病毒/反恶意软件解决方案可能会阻止Microsoft Defender防病毒在Windows Server上运行。 事实上,它看起来像Microsoft Defender防病毒已从Windows Server中删除。
若要解决此问题,请执行以下步骤:
将Microsoft Defender for Endpoint添加到排除列表
| 操作系统 | 排除项 |
|---|---|
|
Windows 11 Windows 10版本 1803 或更高版本 (请参阅Windows 10版本信息) Windows 10版本 1703 或 1709(已安装KB4493441) |
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exeC:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
| Windows Server 2025 (从 2025 年 2 月开始,并在未来几周内推出) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server版本 1803 |
在 Windows Server 2012 R2 和运行新式统一解决方案的Windows Server 2016,在使用 KB5005292 更新 Sense EDR 组件后,需要以下排除项:C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
|
Windows 8.1 Windows 7 Windows Server 2008 R2 SP1 |
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe注意:监视主机临时文件 6\45 可以是不同的编号子文件夹。 C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exeC:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe |
重要
最佳做法是使组织的设备和终结点保持最新。 确保获取Microsoft Defender for Endpoint和Microsoft Defender防病毒的最新更新,并使组织的作系统和生产力应用保持最新。
手动将Microsoft Defender防病毒设置为被动模式
提示
如果你计划将 windows Server 的Microsoft Defender防病毒保持被动模式,则需要在ForceDefenderPassiveMode载入设备以Microsoft Defender for Endpoint之前设置此设置。
在 Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server、版本 1803 或更高版本、Windows Server 2016或 Windows Server 2012 R2 上,必须设置手动将防病毒Microsoft Defender到被动模式。 此作有助于防止在服务器上安装多个防病毒产品而导致的问题。 可以使用注册表项将Microsoft Defender防病毒设置为被动模式。
可以通过设置以下注册表项将Microsoft Defender防病毒设置为被动模式:
路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
名称:ForceDefenderPassiveMode
类型: REG_DWORD
值:1
注意
若要在运行 Windows Server 2016 和 Windows Server 2012 R2 的终结点上运行被动模式,必须使用载入 Windows 服务器中的说明载入这些终结点。
有关详细信息,请参阅 Windows 中的Microsoft Defender防病毒。
Microsoft Defender防病毒似乎停滞在被动模式下
如果Microsoft Defender防病毒停滞在被动模式下,请按照以下步骤手动将其设置为主动模式:
在 Windows 设备上,以管理员身份打开注册表编辑器。
转到
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection。设置或定义名为
ForceDefenderPassiveMode的REG_DWORD条目,并将其值设置为0。重新启动设备。
重要
如果在执行此过程后仍无法将Microsoft Defender防病毒设置为活动模式,请联系支持人员。
在 Windows Server 2016 上重新启用Microsoft Defender防病毒时遇到问题
如果在 Windows Server 2016 上使用非Microsoft防病毒/反恶意软件解决方案,则现有解决方案可能需要禁用或卸载Microsoft Defender防病毒。 可以使用恶意软件防护 Command-Line 实用工具在Windows Server 2016上重新启用Microsoft Defender防病毒。
以服务器上的本地管理员身份打开命令提示符。
运行以下命令:
MpCmdRun.exe -wdenable重启设备。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。