Rozwiązywanie problemów podczas migracji do Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Ten artykuł zawiera informacje dotyczące rozwiązywania problemów dla administratorów zabezpieczeń, którzy mają problemy podczas przechodzenia z rozwiązania ochrony punktów końcowych innych niż Firma Microsoft do Ochrona punktu końcowego w usłudze Microsoft Defender.
Microsoft Defender program antywirusowy jest odinstalowywany w systemie Windows Server
Podczas migracji do usługi Defender for Endpoint rozpoczynasz od ochrony przed oprogramowaniem antywirusowym/ochroną przed złośliwym kodem firmy Microsoft w trybie aktywnym. W ramach procesu konfiguracji skonfigurujesz program antywirusowy Microsoft Defender w trybie pasywnym. Czasami oprogramowanie antywirusowe/chroniące przed złośliwym kodem firmy innej niż Microsoft może uniemożliwiać działanie programu antywirusowego Microsoft Defender w systemie Windows Server. W rzeczywistości może to wyglądać tak, jakby program antywirusowy Microsoft Defender został usunięty z systemu Windows Server.
Aby rozwiązać ten problem, wykonaj następujące kroki:
- Dodaj Ochrona punktu końcowego w usłudze Microsoft Defender do listy wykluczeń.
- Ręcznie ustaw Microsoft Defender program antywirusowy na tryb pasywny.
Dodawanie Ochrona punktu końcowego w usłudze Microsoft Defender do listy wykluczeń
| OS | Wykluczenia |
|---|---|
| Windows 11 Windows 10, wersja 1803 lub nowsza (zobacz informacje o wersji Windows 10) Windows 10, wersja 1703 lub 1709 z zainstalowanym KB4493441 |
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exeC:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
| Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server, wersja 1803 |
W Windows Server 2012 R2 i Windows Server 2016 uruchamiania nowoczesnego, ujednoliconego rozwiązania wymagane są następujące wykluczenia po zaktualizowaniu składnika Sense EDR przy użyciu KB5005292:C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
| Windows 8.1 Windows 7 Windows Server 2008 R2 z dodatkiem SP1 |
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exeUWAGA: Monitorowanie plików tymczasowych hosta 6\45 może być różnymi podfolderami numerowanymi. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exeC:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe |
Ważna
Najlepszym rozwiązaniem jest aktualizowanie urządzeń i punktów końcowych organizacji. Upewnij się, że masz najnowsze aktualizacje dotyczące oprogramowania antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender oraz aktualizuj systemy operacyjne i aplikacje zwiększające produktywność w organizacji.
Ręczne ustawianie trybu pasywnego programu antywirusowego Microsoft Defender
W systemie Windows Server 2022, Windows Server 2019, Windows Server, wersji 1803 lub nowszej, Windows Server 2016 lub Windows Server 2012 R2 należy ręcznie ustawić Microsoft Defender Program antywirusowy na tryb pasywny. Ta akcja pomaga zapobiegać problemom spowodowanym przez zainstalowanie wielu produktów antywirusowych na serwerze. Program antywirusowy Microsoft Defender można ustawić na tryb pasywny przy użyciu programu PowerShell, zasady grupy lub klucza rejestru.
Program antywirusowy Microsoft Defender można ustawić na tryb pasywny, ustawiając następujący klucz rejestru:
Ścieżka: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Nazwa: ForceDefenderPassiveMode
Typu: REG_DWORD
Wartość: 1
Uwaga
Aby tryb pasywny działał w punktach końcowych z systemem Windows Server 2016 i Windows Server 2012 R2, te punkty końcowe muszą zostać dołączone przy użyciu instrukcji w temacie Dołączanie serwerów z systemem Windows.
Aby uzyskać więcej informacji, zobacz Microsoft Defender Antivirus in Windows (Program antywirusowy Microsoft Defender w systemie Windows).
Microsoft Defender Program antywirusowy wydaje się być zablokowany w trybie pasywnym
Jeśli program antywirusowy Microsoft Defender jest zablokowany w trybie pasywnym, ustaw go na tryb aktywny ręcznie, wykonując następujące kroki:
Na urządzeniu z systemem Windows otwórz Redaktor rejestru jako administrator.
Przejdź do
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.Ustaw lub zdefiniuj wpis REG_DWORD o nazwie
ForceDefenderPassiveModei ustaw jego wartość na0.Uruchom ponownie urządzenie.
Ważna
Jeśli po wykonaniu tej procedury nadal występują problemy z ustawieniem Microsoft Defender program antywirusowy w tryb aktywny, skontaktuj się z pomocą techniczną.
Mam problem z ponownym włączeniem programu antywirusowego Microsoft Defender na Windows Server 2016
Jeśli używasz w Windows Server 2016 rozwiązania antywirusowego/chroniącego przed złośliwym kodem firmy innej niż Microsoft, istniejące rozwiązanie może wymagać wyłączenia lub odinstalowania programu antywirusowego Microsoft Defender. Za pomocą narzędzia Command-Line ochrony przed złośliwym oprogramowaniem można ponownie włączyć program antywirusowy Microsoft Defender na Windows Server 2016.
Jako administrator lokalny na serwerze otwórz wiersz polecenia.
Uruchom następujące polecenie:
MpCmdRun.exe -wdenableUruchom urządzenie ponownie.
Zobacz też
Microsoft Defender zgodność programu antywirusowego z innymi produktami zabezpieczającymi
Narzędzia i metody dołączania dla urządzeń z systemem Windows w usłudze Defender for Endpoint
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla