Rozwiązywanie problemów podczas migracji do Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Ten artykuł zawiera informacje dotyczące rozwiązywania problemów dla administratorów zabezpieczeń, którzy mają problemy podczas przechodzenia z rozwiązania ochrony punktów końcowych innych niż Firma Microsoft do Ochrona punktu końcowego w usłudze Microsoft Defender.

Microsoft Defender program antywirusowy jest odinstalowywany w systemie Windows Server

Podczas migracji do usługi Defender for Endpoint rozpoczynasz od ochrony przed oprogramowaniem antywirusowym/ochroną przed złośliwym kodem firmy Microsoft w trybie aktywnym. W ramach procesu konfiguracji skonfigurujesz program antywirusowy Microsoft Defender w trybie pasywnym. Czasami oprogramowanie antywirusowe/chroniące przed złośliwym kodem firmy innej niż Microsoft może uniemożliwiać działanie programu antywirusowego Microsoft Defender w systemie Windows Server. W rzeczywistości może to wyglądać tak, jakby program antywirusowy Microsoft Defender został usunięty z systemu Windows Server.

Aby rozwiązać ten problem, wykonaj następujące kroki:

1. Dodaj Ochrona punktu końcowego w usłudze Microsoft Defender do listy wykluczeń.
2. Ręcznie ustaw Microsoft Defender program antywirusowy na tryb pasywny.

Dodawanie Ochrona punktu końcowego w usłudze Microsoft Defender do listy wykluczeń

OS	Wykluczenia
Windows 11 Windows 10, wersja 1803 lub nowsza (zobacz informacje o wersji Windows 10) Windows 10, wersja 1703 lub 1709 z zainstalowanym KB4493441	C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server, wersja 1803	W Windows Server 2012 R2 i Windows Server 2016 uruchamiania nowoczesnego, ujednoliconego rozwiązania wymagane są następujące wykluczenia po zaktualizowaniu składnika Sense EDR przy użyciu KB5005292: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows 8.1 Windows 7 Windows Server 2008 R2 z dodatkiem SP1	C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe UWAGA: Monitorowanie plików tymczasowych hosta 6\45 może być różnymi podfolderami numerowanymi. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Ważna

Najlepszym rozwiązaniem jest aktualizowanie urządzeń i punktów końcowych organizacji. Upewnij się, że masz najnowsze aktualizacje dotyczące oprogramowania antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender oraz aktualizuj systemy operacyjne i aplikacje zwiększające produktywność w organizacji.

Ręczne ustawianie trybu pasywnego programu antywirusowego Microsoft Defender

W systemie Windows Server 2022, Windows Server 2019, Windows Server, wersji 1803 lub nowszej, Windows Server 2016 lub Windows Server 2012 R2 należy ręcznie ustawić Microsoft Defender Program antywirusowy na tryb pasywny. Ta akcja pomaga zapobiegać problemom spowodowanym przez zainstalowanie wielu produktów antywirusowych na serwerze. Program antywirusowy Microsoft Defender można ustawić na tryb pasywny przy użyciu programu PowerShell, zasady grupy lub klucza rejestru.

Program antywirusowy Microsoft Defender można ustawić na tryb pasywny, ustawiając następujący klucz rejestru:

Ścieżka: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Nazwa: ForceDefenderPassiveMode

Typu: REG_DWORD

Wartość: 1

Uwaga

Aby tryb pasywny działał w punktach końcowych z systemem Windows Server 2016 i Windows Server 2012 R2, te punkty końcowe muszą zostać dołączone przy użyciu instrukcji w temacie Dołączanie serwerów z systemem Windows.

Aby uzyskać więcej informacji, zobacz Microsoft Defender Antivirus in Windows (Program antywirusowy Microsoft Defender w systemie Windows).

Microsoft Defender Program antywirusowy wydaje się być zablokowany w trybie pasywnym

Jeśli program antywirusowy Microsoft Defender jest zablokowany w trybie pasywnym, ustaw go na tryb aktywny ręcznie, wykonując następujące kroki:

1. Na urządzeniu z systemem Windows otwórz Redaktor rejestru jako administrator.

2. Przejdź do Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

3. Ustaw lub zdefiniuj wpis REG_DWORD o nazwie ForceDefenderPassiveModei ustaw jego wartość na 0.

4. Uruchom ponownie urządzenie.

Ważna

Jeśli po wykonaniu tej procedury nadal występują problemy z ustawieniem Microsoft Defender program antywirusowy w tryb aktywny, skontaktuj się z pomocą techniczną.

Mam problem z ponownym włączeniem programu antywirusowego Microsoft Defender na Windows Server 2016

Jeśli używasz w Windows Server 2016 rozwiązania antywirusowego/chroniącego przed złośliwym kodem firmy innej niż Microsoft, istniejące rozwiązanie może wymagać wyłączenia lub odinstalowania programu antywirusowego Microsoft Defender. Za pomocą narzędzia Command-Line ochrony przed złośliwym oprogramowaniem można ponownie włączyć program antywirusowy Microsoft Defender na Windows Server 2016.

1. Jako administrator lokalny na serwerze otwórz wiersz polecenia.

2. Uruchom następujące polecenie: MpCmdRun.exe -wdenable

3. Uruchom urządzenie ponownie.

Zobacz też

• Microsoft Defender zgodność programu antywirusowego z innymi produktami zabezpieczającymi

• Narzędzia i metody dołączania dla urządzeń z systemem Windows w usłudze Defender for Endpoint

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.