排查迁移到 Microsoft Defender for Endpoint 时出现的问题

适用于:

本文为从非 Microsoft Endpoint Protection 解决方案迁移到Microsoft Defender for Endpoint时遇到问题的安全管理员提供故障排除信息。

windows Server 上卸载Microsoft Defender防病毒

迁移到 Defender for Endpoint 时,从活动模式下的非 Microsoft 防病毒/反恶意软件保护开始。 在安装过程中,在被动模式下配置Microsoft Defender防病毒。 有时,非 Microsoft 防病毒/反恶意软件解决方案可能会阻止Microsoft Defender防病毒在 Windows Server 上运行。 事实上,它看起来像Microsoft Defender防病毒已从 Windows Server 中删除。

若要解决此问题,请执行以下步骤:

  1. 将Microsoft Defender for Endpoint添加到排除列表
  2. 手动将Microsoft Defender防病毒设置为被动模式

将Microsoft Defender for Endpoint添加到排除列表

操作系统 排除项
Windows 11

Windows 10版本 1803 或更高版本 (请参阅Windows 10版本信息)

Windows 10版本 1703 或 1709(已安装KB4493441
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 版本 1803
在 Windows Server 2012 R2 和运行新式统一解决方案的Windows Server 2016,在使用 KB5005292 更新 Sense EDR 组件后,需要以下排除项:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

注意:监视主机临时文件 6\45 可以是不同的编号子文件夹。

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

重要

最佳做法是使组织的设备和终结点保持最新。 确保获取Microsoft Defender for Endpoint和Microsoft Defender防病毒的最新更新,并使组织的操作系统和生产力应用保持最新。

手动将Microsoft Defender防病毒设置为被动模式

在 Windows Server 2022、Windows Server 2019、Windows Server 版本 1803 或更高版本、Windows Server 2016或 Windows Server 2012 R2 上,必须手动将 Microsoft Defender 防病毒设置为被动模式。 此操作有助于防止在服务器上安装多个防病毒产品而导致的问题。 可以使用 PowerShell、组策略或注册表项将Microsoft Defender防病毒设置为被动模式。

可以通过设置以下注册表项将Microsoft Defender防病毒设置为被动模式:

路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

名称:ForceDefenderPassiveMode

类型: REG_DWORD

值:1

注意

若要在运行 Windows Server 2016 和 Windows Server 2012 R2 的终结点上运行被动模式,必须使用载入 Windows 服务器中的说明载入这些终结点。

有关详细信息,请参阅 Windows 中的Microsoft Defender防病毒

Microsoft Defender防病毒似乎停滞在被动模式下

如果Microsoft Defender防病毒停滞在被动模式下,请按照以下步骤手动将其设置为主动模式:

  1. 在 Windows 设备上,以管理员身份打开注册表编辑器。

  2. 转到 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

  3. 设置或定义名为 ForceDefenderPassiveMode的REG_DWORD条目,并将其值设置为 0

  4. 重新启动设备。

重要

如果在执行此过程后仍无法将Microsoft Defender防病毒设置为活动模式,请联系支持人员

在 Windows Server 2016 上重新启用Microsoft Defender防病毒时遇到问题

如果在 Windows Server 2016 上使用非 Microsoft 防病毒/反恶意软件解决方案,则现有解决方案可能需要禁用或卸载Microsoft Defender防病毒。 可以使用恶意软件防护 Command-Line 实用工具在Windows Server 2016上重新启用Microsoft Defender防病毒。

  1. 以服务器上的本地管理员身份打开命令提示符。

  2. 运行以下命令:MpCmdRun.exe -wdenable

  3. 重启设备。

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区