排查Microsoft Defender for Endpoint载入问题
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Windows Server 2012 R2
- Windows Server 2016
- Microsoft Defender XDR
希望体验 Defender for Endpoint? 注册免费试用版。
如果遇到问题,可能需要对Microsoft Defender for Endpoint载入过程进行故障排除。 本页提供了详细的步骤,用于排查使用某个部署工具进行部署时可能发生的载入问题,以及设备上可能发生的常见错误。
在开始排查加入工具的问题之前,请务必检查是否满足将设备载入服务的最低要求。 了解将设备载入服务所需的许可、硬件和软件要求。
排查加入工具的问题
如果已完成载入过程,并且一小时后未在 “设备”列表中 看到设备,则可能表示存在载入或连接问题。
排查使用 组策略 进行部署时的载入问题
使用 组策略 的部署是通过在设备上运行载入脚本来完成的。 组策略控制台不指示部署是否成功。
如果已完成载入过程,并且一小时后未在“设备”列表中看到设备,则可以在设备上检查脚本输出。 有关详细信息,请参阅 使用脚本进行部署时对载入进行故障排除。
如果脚本成功完成,请参阅 排查设备上的载入问题 ,了解可能发生的其他错误。
排查使用 Microsoft Endpoint Configuration Manager 进行部署时的载入问题
使用以下版本的 Configuration Manager 载入设备时:
- Microsoft Endpoint Configuration Manager
- System Center 2012 配置管理器
- System Center 2012 R2 Configuration Manager
使用上述版本的 Configuration Manager 的部署是通过在设备上运行载入脚本来完成的。 可以在 Configuration Manager 控制台中跟踪部署。
如果部署失败,可以在设备上检查脚本的输出。
如果载入已成功完成,但设备在一小时后未显示在 “设备”列表中 ,请参阅 排查设备上的载入问题 ,了解可能发生的其他错误。
排查使用脚本进行部署时的载入问题
检查设备上的脚本结果:
单击“开始”,键入事件查看器,然后按 Enter。
转到 Windows 日志>应用程序。
从 WDATPOnboarding 事件源中查找事件。
如果脚本失败且事件出错,则可以检查下表中的事件 ID,以帮助排查问题。
注意
以下事件 ID 仅特定于载入脚本。
| 事件 ID | 错误类型 | 解决方法步骤 |
|---|---|---|
5 |
已找到卸载数据,但无法删除 | 检查对注册表的权限,特别是 |
10 |
无法将载入数据写入注册表 | 检查对注册表的权限,特别是 验证脚本是否已以管理员身份运行。 |
15 |
无法启动 SENSE 服务 | 检查服务运行状况 (sc query sense 命令) 。 请确保它不处于中间状态 (“Pending_Stopped”、“Pending_Running”) ,并尝试使用管理员权限) (再次运行脚本。 如果设备运行的是 Windows 10 版本 1607 并运行 命令 |
15 |
无法启动 SENSE 服务 | 如果错误消息为:系统错误 577 或错误 1058,则需要启用Microsoft Defender防病毒 ELAM 驱动程序,请参阅确保策略未禁用Microsoft Defender防病毒以获取说明。 |
30 |
脚本未能等待服务开始运行 | 该服务可能需要更多时间来启动,或者在尝试启动时遇到错误。 有关与 SENSE 相关的事件和错误的详细信息,请参阅 使用事件查看器查看事件和错误。 |
35 |
脚本找不到所需的载入状态注册表值 | 首次启动 SENSE 服务时,它会将载入状态写入注册表位置 脚本在几秒钟后找不到它。 可以手动测试它,并检查它是否存在。 有关与 SENSE 相关的事件和错误的详细信息,请参阅 使用事件查看器查看事件和错误。 |
40 |
SENSE 服务载入状态未设置为 1 | SENSE 服务未能正确载入。 有关与 SENSE 相关的事件和错误的详细信息,请参阅 使用事件查看器查看事件和错误。 |
65 |
权限不足 | 使用管理员权限再次运行脚本。 |
70 |
卸载脚本适用于其他组织 | 获取将 SENSE 服务载入到的正确组织的卸载脚本。 |
使用 Microsoft Intune 排查载入问题
可以使用Microsoft Intune检查错误代码并尝试排查问题的原因。
如果在 Intune 中配置了策略,并且这些策略未在设备上传播,则可能需要配置自动 MDM 注册。
使用下表了解载入时出现问题的可能原因:
- Microsoft Intune错误代码和 OMA-URIs 表
- 不合规表的已知问题
- 移动设备管理 (MDM) 事件日志表
如果事件日志和故障排除步骤均不起作用,请从门户的 “设备管理 ”部分下载本地脚本,并在提升的命令提示符下运行它。
Microsoft Intune错误代码和 OMA-URIs
| 错误代码十六进制 | 错误代码 Dec | Error Description | OMA-URI | 可能的原因和故障排除步骤 |
|---|---|---|---|---|
| 0x87D1FDE8 | -2016281112 | 修正失败 | 载入 卸载 |
可能的原因: 在错误的 Blob 上载入或卸载失败:错误的签名或缺少 PreviousOrgIds 字段。 故障排除步骤: 查看 设备事件日志中的“查看代理载入错误 ”部分中的事件 ID。 检查下表中的 MDM 事件日志,或按照在 Windows 中诊断 MDM 故障中的说明进行操作。 |
| 载入 卸载 SampleSharing |
可能的原因:Microsoft Defender for Endpoint策略注册表项不存在,或者 OMA DM 客户端没有向其写入的权限。 故障排除步骤: 确保存在以下注册表项: 如果不存在,请打开提升的命令并添加密钥。 |
|||
| SenseIsRunning OnboardingState OrgId |
可能的原因: 尝试通过只读属性进行修正。 载入失败。 故障排除步骤: 查看 排查设备上的载入问题中的故障排除步骤。 检查下表中的 MDM 事件日志,或按照在 Windows 中诊断 MDM 故障中的说明进行操作。 |
|||
| 全部 | 可能的原因:尝试在不支持的 SKU/平台上部署Microsoft Defender for Endpoint,尤其是全息 SKU。 当前支持的平台: 企业版、教育版和专业版。 不支持服务器。 |
|||
| 0x87D101A9 | -2016345687 | SyncML (425) :请求的命令失败,因为发件人对收件人 (ACL) 没有足够的访问控制权限。 | 全部 | 可能的原因:尝试在不支持的 SKU/平台上部署Microsoft Defender for Endpoint,尤其是全息 SKU。 当前支持的平台: 企业版、教育版和专业版。 |
不合规的已知问题
下表提供了有关不合规问题以及如何解决这些问题的信息。
| 情况 | 症状 | 可能的原因和故障排除步骤 |
|---|---|---|
1 |
设备符合 SenseIsRunning OMA-URI。 但 OrgId、Onboarding 和 OnboardingState OMA-URI 不符合。 | 可能的原因: 检查用户在 Windows 安装或升级后是否通过了 OOBE。 在 OOBE 载入期间无法完成,但 SENSE 已在运行。 故障排除步骤: 等待 OOBE 完成。 |
2 |
设备符合 OrgId、Onboarding 和 OnboardingState OMA-URI,但 SenseIsRunning OMA-URI 不符合。 | 可能的原因: Sense 服务的启动类型设置为“延迟启动”。 有时,这会导致Microsoft Intune服务器在系统启动时发生 DM 会话时,将 SenseIsRunning 报告为不符合设备。 故障排除步骤: 此问题应在 24 小时内自动修复。 |
3 |
设备不符合 | 故障排除步骤: 确保载入和卸载策略不会同时部署在同一设备上。 |
移动设备管理 (MDM) 事件日志
查看 MDM 事件日志,排查载入期间可能出现的问题:
日志名称:Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider
频道名称:管理员
| ID | Severity | 事件描述 | 故障排除步骤 |
|---|---|---|---|
| 1819 | 错误 | Microsoft Defender for Endpoint CSP:未能设置节点的值。 NodeId: (%1) ,TokenName: (%2) ,结果: (%3) 。 | 下载 Windows 10 1607 的累积更新。 |
排查设备上的载入问题
如果使用的部署工具未指示载入过程中出现错误,但设备在一小时内仍未出现在设备列表中,请完成以下验证主题以检查Microsoft Defender for Endpoint代理是否出错。
在设备事件日志中查看代理载入错误
单击“开始”,键入事件查看器,然后按 Enter。
在“事件查看器 (本地) ”窗格中,展开“应用程序和服务日志>”“Microsoft>Windows>SENSE”。
注意
SENSE 是用于引用支持Microsoft Defender for Endpoint的行为传感器的内部名称。
选择“ 操作 ”以加载日志。
在 “操作 ”窗格中,单击“ 筛选当前日志”。
在“ 筛选器 ”选项卡上 的“事件级别”下, 选择“ 严重”、“ 警告”和“ 错误”,然后单击“ 确定”。
可指示问题的事件显示在 “操作 ”窗格中。 可以尝试根据下表中的解决方案对其进行故障排除:
事件 ID 邮件 解决方法步骤 5Microsoft Defender for Endpoint服务未能连接到变量中的服务器 确保设备具有 Internet 访问权限。 6Microsoft Defender for Endpoint服务未载入,并且未找到任何载入参数。 失败代码: 变量 再次运行载入脚本。 7Microsoft Defender for Endpoint服务无法读取载入参数。 失败代码: 变量 确保设备具有 Internet 访问权限,然后再次运行整个载入过程。 9Microsoft Defender for Endpoint服务无法更改其启动类型。 失败代码:变量 如果在载入期间发生该事件,请重新启动并重新尝试运行载入脚本。 有关详细信息,请参阅 再次运行载入脚本。
如果事件在卸载期间发生,请联系支持人员。10Microsoft Defender for Endpoint服务无法保留载入信息。 失败代码:变量 如果在载入期间发生该事件,请重新尝试运行载入脚本。 有关详细信息,请参阅 再次运行载入脚本。
如果问题仍然存在,请联系支持人员。15Microsoft Defender for Endpoint无法使用 URL 启动命令通道: 变量 确保设备具有 Internet 访问权限。 17Microsoft Defender for Endpoint服务无法更改连接的用户体验和遥测服务位置。 失败代码:变量 再次运行载入脚本。 如果问题仍然存在,请联系支持人员。 25Microsoft Defender for Endpoint服务未能重置注册表中的运行状况状态。 失败代码: 变量 请联系支持人员。 27未能在 Windows Defender 中启用Microsoft Defender for Endpoint模式。 载入过程失败。 失败代码:变量 请联系支持人员。 29无法读取卸载参数。 错误类型: %1,错误代码: %2,说明: %3 确保设备可以访问 Internet,然后再次运行整个卸载过程。 30无法在 Microsoft Defender for Endpoint 中禁用 $ (build.sense.productDisplayName) 模式。 失败代码: %1 请联系支持人员。 32$ (build.sense.productDisplayName) 服务在卸载过程后未能请求停止自身。 失败代码: %1 验证服务启动类型是否为手动并重新启动设备。 55未能创建安全 ETW 自动记录器。 失败代码: %1 重新启动设备。 63更新外部服务的启动类型。 名称: %1,实际启动类型: %2,预期启动类型: %3,退出代码: %4 确定导致上述服务的启动类型发生更改的原因。 如果退出代码不是 0,请手动将启动类型修复为预期的启动类型。 64启动已停止的外部服务。 名称: %1,退出代码: %2 如果事件不断重新出现,请联系支持人员。 68服务的启动类型意外。 服务名称: %1,实际启动类型: %2,预期启动类型: %3 确定导致开始类型更改的原因。 修复了提及的服务启动类型。 69服务已停止。 服务名称: %1 启动上述服务。 如果问题仍然存在,请联系支持人员。
设备上的其他组件Microsoft Defender for Endpoint代理依赖于这些组件才能正常工作。 如果Microsoft Defender for Endpoint代理事件日志中没有与载入相关的错误,请继续执行以下步骤,以确保正确配置其他组件。
确保已启用诊断数据服务
注意
在 Windows 10 内部版本 1809 及更高版本中,Defender for Endpoint EDR 服务不再直接依赖于 DiagTrack 服务。 如果此服务未运行,仍可以上传 EDR 网络证据。
如果设备未正确报告,则可能需要检查 Windows 诊断数据服务设置为自动启动并在设备上运行。 该服务可能已被其他程序或用户配置更改所禁用。
首先,应检查服务设置为在 Windows 启动时自动启动,然后应检查该服务当前正在运行 (,并在它未) 时启动它。
确保服务设置为启动
使用命令行检查 Windows 诊断数据服务启动类型:
在设备上打开提升的命令行提示符:
a. 单击“ 开始”,键入 cmd,然后按 Enter。
b. 右键单击“命令提示符”,然后选择“以管理员身份运行”。
输入以下命令,然后按 Enter:
sc qc diagtrack如果已启用该服务,则结果应如以下屏幕截图所示:
START_TYPE如果 未设置为AUTO_START,则需要将服务设置为自动启动。
使用命令行将 Windows 诊断数据服务设置为自动启动:
在设备上打开提升的命令行提示符:
a. 单击“ 开始”,键入 cmd,然后按 Enter。
b. 右键单击“命令提示符”,然后选择“以管理员身份运行”。
输入以下命令,然后按 Enter:
sc config diagtrack start=auto将显示一条成功消息。 输入以下命令验证更改,然后按 Enter:
sc qc diagtrack启动服务。 在命令提示符中,键入以下命令,然后按 Enter:
sc start diagtrack
确保设备具有 Internet 连接
Microsoft Defender for Endpoint 感官方案需要 Microsoft Windows HTTP (WinHTTP) 报告感官数据,并与 Microsoft Defender for Endpoint 服务进行通信。
WinHTTP 独立于 Internet 浏览代理设置和其他用户上下文应用程序,必须能够检测特定环境中可用的代理服务器。
若要确保传感器具有服务连接,请按照验证客户端连接Microsoft Defender for Endpoint服务 URL 主题中所述的步骤进行操作。
如果验证失败,并且你的环境正在使用代理连接到 Internet,请按照 配置代理和 Internet 连接设置 主题中所述的步骤进行操作。
确保策略未禁用Microsoft Defender防病毒
重要
以下内容仅适用于尚未收到 2020 年 8 月 (版本 4.18.2007.8) 更新Microsoft Defender防病毒的设备。
此更新可确保无法通过系统策略在客户端设备上关闭Microsoft Defender防病毒。
问题:Microsoft Defender for Endpoint服务在载入后无法启动。
症状:载入成功完成,但在尝试启动服务时会看到错误 577 或错误 1058。
解决方案:如果设备正在运行第三方反恶意软件客户端,Microsoft Defender for Endpoint代理需要启用提前启动反恶意软件 (ELAM) 驱动程序。 必须确保系统策略未将其关闭。
根据用于实现策略的工具,需要验证是否已清除以下Windows Defender策略:
- DisableAntiSpyware
- DisableAntiVirus
例如,在组策略中,不应有类似以下值的条目:
<Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key><Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>
重要
从 disableAntiSpyware 2020 年 8 月 (版本 4.18.2007.8) 更新为 Microsoft Defender 防病毒,所有Windows 10设备上都将忽略此设置。
清除策略后,再次运行载入步骤。
还可以检查以前的注册表项值,以验证策略是否已禁用,方法是打开注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender。
注意
(
wdboot、wdnissvcwdfilterwdnisdrv和windefend) 的所有Windows Defender服务都应处于默认状态。 不支持更改这些服务的启动,可能会强制你重新创建系统映像。 和WdFilter的示例默认配置WdBoot:<Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key><Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
如果Microsoft Defender防病毒处于被动模式,则这些驱动程序设置为手动 (
0) 。
解决载入问题
注意
以下故障排除指南仅适用于 Windows Server 2016 及早期版本的 Windows Server。
如果在载入服务器时遇到问题,请完成以下验证步骤以解决可能的问题。
可能还需要检查以下内容:
检查任务管理器的“进程”选项卡中是否运行Microsoft Defender for Endpoint服务。 例如:
检查事件查看器>应用程序和服务日志>操作管理器,以查看是否存在任何错误。
在“服务”中,检查 Microsoft Monitoring Agent 是否在服务器上运行。 例如,
在 Microsoft Monitoring Agent>Azure Log Analytics (OMS) 中,检查工作区并验证状态是否正在运行。
检查以查看设备是否反映在门户中的 “设备”列表中 。
确认新生成的设备的加入
在新建的设备上部署但未完成载入时,可能存在一些实例。
以下步骤为以下方案提供了指导:
- 载入包部署到新生成的设备
- 传感器无法启动,因为尚未完成 OOBE) 或第一次用户登录 (现成体验
- 在最终用户执行首次登录之前关闭或重启设备
- 在此方案中,即使已部署载入包,SENSE 服务也不会自动启动
注意
在 OOBE 之后的用户登录不再需要 SENSE 服务在以下或更高版本的 Windows 上启动:Windows 10 版本 1809 或 Windows Server 2019,或 Windows Server 2022(2021 年 4 月 22 日更新汇总)。 Windows 10版本 1909,其中包含 2021 年 4 月更新汇总。 Windows 10版本 2004/20H2,2021 年 4 月 28 日更新汇总。
注意
以下步骤仅在使用 Microsoft Endpoint Configuration Manager 时才适用。 有关使用 Microsoft Endpoint Configuration Manager 加入的详细信息,请参阅 Microsoft Defender for Endpoint。
在 Microsoft Endpoint Configuration Manager 中创建应用程序。
选择 “手动指定应用程序信息”。
指定有关应用程序的信息,然后选择“ 下一步”。
指定有关软件中心的信息,然后选择“ 下一步”。
在 “部署类型 ”中,选择“ 添加”。
选择 “手动指定部署类型信息”,然后选择“ 下一步”。
指定有关部署类型的信息,然后选择“ 下一步”。
在 “内容>安装程序” 中,指定命令:
net start sense。
在 “检测方法”中,选择“ 配置规则以检测此部署类型是否存在”,然后选择“ 添加子句”。
指定以下检测规则详细信息,然后选择“ 确定”:
在 “检测方法 ”中,选择“ 下一步”。
在 “用户体验”中,指定以下信息,然后选择“ 下一步”:
在 “要求”中,选择“ 下一步”。
在 “依赖项”中,选择“ 下一步”。
在 “摘要”中,选择“ 下一步”。
在 “完成”中,选择“ 关闭”。
在 “部署类型”中,选择“ 下一步”。
在 “摘要”中,选择“ 下一步”。
然后显示状态:
在 “完成”中,选择“ 关闭”。
现在可以通过右键单击应用并选择“部署”来 部署应用程序。
在“ 常规 ”中,选择“ 自动分发依赖项的内容 ”和“ 浏览”。
在 “内容 ”中,选择“ 下一步”。
在 “部署设置”中,选择“ 下一步”。
在 “计划” 中,选择“在 可用时间后尽快”,然后选择“ 下一步”。
在 “用户体验”中,选择“ 在截止时间或维护时段内提交更改, (需要重启) ,然后选择” 下一步”。
在 “警报 ”中,选择“ 下一步”。
在 “摘要”中,选择“ 下一步”。
然后,状态会显示
在 “完成”中,选择“ 关闭”。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈