Partilhar via


Resolver problemas ao migrar para o Microsoft Defender para Endpoint

Aplica-se a:

Este artigo fornece informações de resolução de problemas para administradores de segurança que estão a ter problemas ao passar de uma solução de proteção de pontos finais não Microsoft para Microsoft Defender para Endpoint.

Microsoft Defender o Antivírus está a ser desinstalado no Windows Server

Quando migra para o Defender para Endpoint, começa com a proteção antivírus/antimalware não Microsoft no modo ativo. Como parte do processo de configuração, configura Microsoft Defender Antivírus no modo passivo. Ocasionalmente, a sua solução antivírus/antimalware que não seja da Microsoft pode impedir a execução do Antivírus Microsoft Defender no Windows Server. Na verdade, pode parecer que Microsoft Defender Antivírus foi removido do Windows Server.

Para resolver este problema, siga os seguintes passos:

  1. Adicione Microsoft Defender para Endpoint à lista de exclusão.
  2. Defina Microsoft Defender Antivírus como modo passivo manualmente.

Adicionar Microsoft Defender para Endpoint à lista de exclusão

SO Exclusões
Windows 11

Windows 10, versão 1803 ou posterior (Consulte Windows 10 informações de versão)

Windows 10, versão 1703 ou 1709 com KB4493441 instalada
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, versão 1803
No Windows Server 2012 R2 e Windows Server 2016 a executar a solução moderna e unificada, são necessárias as seguintes exclusões após atualizar o componente Sense EDR com KB5005292:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

NOTA: a monitorização dos Ficheiros Temporários do Anfitrião 6\45 pode ser uma subpasta numerada diferente.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Importante

Como melhor prática, mantenha os dispositivos e pontos finais da sua organização atualizados. Certifique-se de que obtém as atualizações mais recentes do antivírus Microsoft Defender para Endpoint e Microsoft Defender e mantém os sistemas operativos e as aplicações de produtividade da sua organização atualizados.

Definir Microsoft Defender Antivírus como modo passivo manualmente

No Windows Server 2022, Windows Server 2019, Windows Server, versão 1803 ou mais recente, Windows Server 2016 ou Windows Server 2012 R2, tem de definir Microsoft Defender Antivírus para o modo passivo manualmente. Esta ação ajuda a evitar problemas causados por vários produtos antivírus instalados num servidor. Pode definir Microsoft Defender Antivírus para o modo passivo com o PowerShell, Política de Grupo ou uma chave de registo.

Pode definir Microsoft Defender Antivírus como modo passivo ao definir a seguinte chave de registo:

Caminho: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Nome: ForceDefenderPassiveMode

Tipo: REG_DWORD

Valor: 1

Nota

Para que o modo passivo funcione em pontos finais em execução Windows Server 2016 e Windows Server 2012 R2, esses pontos finais têm de ser integrados através das instruções em Integrar servidores Windows.

Para obter mais informações, consulte Microsoft Defender Antivírus no Windows.

Microsoft Defender Antivírus parece estar bloqueado no modo passivo

Se Microsoft Defender Antivírus estiver bloqueado no modo passivo, defina-o como modo ativo manualmente ao seguir estes passos:

  1. No seu dispositivo Windows, abra a Revisor de Registo como administrador.

  2. Aceda a Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  3. Defina ou defina uma entrada de REG_DWORD denominada ForceDefenderPassiveModee defina o respetivo valor como 0.

  4. Reinicie o dispositivo.

Importante

Se continuar a ter problemas ao definir Microsoft Defender Antivírus para o modo ativo após seguir este procedimento, contacte o suporte.

Estou a ter problemas ao reativar Microsoft Defender Antivírus no Windows Server 2016

Se estiver a utilizar uma solução antivírus/antimalware não Microsoft no Windows Server 2016, a solução existente poderá ter exigido Microsoft Defender Antivírus seja desativado ou desinstalado. Pode utilizar o Utilitário de Command-Line proteção contra software maligno para reativar Microsoft Defender Antivírus no Windows Server 2016.

  1. Como administrador local no servidor, abra a Linha de Comandos.

  2. Execute o seguinte comando: MpCmdRun.exe -wdenable

  3. Reinicie o dispositivo.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.