Del via

Fejlfinding af problemer ved overførsel til Microsoft Defender for Endpoint

  • Artikel

Gælder for:

Denne artikel indeholder fejlfindingsoplysninger for sikkerhedsadministratorer, der oplever problemer, når de flytter fra en løsning til beskyttelse af slutpunkter, der ikke er fra Microsoft, til Microsoft Defender for Endpoint.

Microsoft Defender Antivirus fjernes på Windows Server

Når du migrerer til Defender for Endpoint, starter du med din ikke-Microsoft antivirus-/antimalwarebeskyttelse i aktiv tilstand. Som en del af konfigurationsprocessen konfigurerer du Microsoft Defender Antivirus i passiv tilstand. Nogle gange kan din ikke-Microsoft-antivirus-/antimalwareløsning forhindre Microsoft Defender Antivirus i at køre på Windows Server. Faktisk kan det se ud som Microsoft Defender Antivirus er blevet fjernet fra Windows Server.

Du kan løse problemet ved at benytte følgende fremgangsmåde:

  1. Føj Microsoft Defender for Endpoint til listen over undtagelser.
  2. Angiv Microsoft Defender Antivirus til passiv tilstand manuelt.

Føj Microsoft Defender for Endpoint til listen over undtagelser

Operativsystem Udeladelser
Windows 11

Windows 10 version 1803 eller nyere (se Windows 10 udgivelsesoplysninger)

Windows 10, version 1703 eller 1709, hvor KB4493441 er installeret		 C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, version 1803		 På Windows Server 2012 R2 og Windows Server 2016, der kører den moderne, samlede løsning, er følgende undtagelser påkrævet, når du har opdateret Assistent EDR-komponenten ved hjælp af KB5005292:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1		 C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

BEMÆRK! Overvågning af midlertidige værtsfiler 6\45 kan være forskellige nummererede undermapper.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Vigtigt!

Som bedste praksis skal du holde organisationens enheder og slutpunkter opdateret. Sørg for at hente de nyeste opdateringer til Microsoft Defender for Endpoint og Microsoft Defender Antivirus, og hold organisationens operativsystemer og produktivitetsapps opdateret.

Angiv Microsoft Defender Antivirus til passiv tilstand manuelt

På Windows Server 2022, Windows Server 2019, Windows Server, version 1803 eller nyere, Windows Server 2016 eller Windows Server 2012 R2 skal du angive Microsoft Defender Antivirus til passiv tilstand manuelt. Denne handling hjælper med at forhindre problemer, der skyldes, at flere antivirusprogrammer er installeret på en server. Du kan angive Microsoft Defender Antivirus til passiv tilstand ved hjælp af PowerShell, Gruppepolitik eller en registreringsdatabasenøgle.

Du kan angive Microsoft Defender Antivirus til passiv tilstand ved at angive følgende registreringsdatabasenøgle:

Sti: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Navn: ForceDefenderPassiveMode

Type: REG_DWORD

Værdi: 1

Bemærk!

Hvis passiv tilstand skal fungere på slutpunkter, der kører Windows Server 2016 og Windows Server 2012 R2, skal disse slutpunkter onboardes ved hjælp af vejledningen på onboarde Windows-servere.

Du kan få flere oplysninger under Microsoft Defender Antivirus i Windows.

Microsoft Defender Antivirus ser ud til at sidde fast i passiv tilstand

Hvis Microsoft Defender Antivirus sidder fast i passiv tilstand, skal du indstille den til aktiv tilstand manuelt ved at følge disse trin:

  1. Åbn Registreringsdatabase Editor som administrator på din Windows-enhed.

  2. Gå til Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  3. Angiv eller definer en REG_DWORD post, der kaldes ForceDefenderPassiveMode, og angiv dens værdi til 0.

  4. Genstart enheden.

Vigtigt!

Hvis du stadig har problemer med at indstille Microsoft Defender Antivirus til aktiv tilstand efter at have fulgt denne procedure, skal du kontakte support.

Jeg har problemer med at aktivere Microsoft Defender Antivirus igen på Windows Server 2016

Hvis du bruger en ikke-Microsoft-antivirus-/antimalwareløsning på Windows Server 2016, kan din eksisterende løsning have krævet, at Microsoft Defender Antivirus deaktiveres eller fjernes. Du kan bruge Command-Line Utility til at aktivere Microsoft Defender Antivirus igen på Windows Server 2016.

  1. Åbn Kommandoprompt som lokal administrator på serveren.

  2. Kør følgende kommando: MpCmdRun.exe -wdenable

  3. Genstart enheden.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.