Behandeln von Problemen mit dem Microsoft Endpoint DLP-Onboarding

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Windows Server 2012 R2
• Windows Server 2016
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn Probleme auftreten, müssen Sie möglicherweise eine Problembehandlung für den Microsoft Defender für Endpunkt-Onboardingprozess durchführen. Auf dieser Seite finden Sie ausführliche Schritte zur Behandlung von Onboardingproblemen, die bei der Bereitstellung mit einem der Bereitstellungstools auftreten können, sowie häufige Fehler, die auf den Geräten auftreten können.

Bevor Sie mit der Behandlung von Problemen mit Onboardingtools beginnen, ist es wichtig zu überprüfen, ob die Mindestanforderungen für das Onboarding von Geräten in die Dienste erfüllt sind. Erfahren Sie mehr über die Lizenzierungs-, Hardware- und Softwareanforderungen für das Onboarding von Geräten in den Dienst.

Tipp

Als Ergänzung zu diesem Artikel lesen Sie unseren Microsoft Defender für Endpunkt-Einrichtungsleitfaden , um bewährte Methoden zu überprüfen und wichtige Tools wie die Verringerung der Angriffsfläche und den Schutz der nächsten Generation zu erfahren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden für die automatisierte Einrichtung von Defender für Endpunkt zugreifen.

Behandeln von Problemen mit Onboardingtools

Wenn Sie den Onboardingprozess abgeschlossen haben und nach einer Stunde keine Geräte in der Geräteliste angezeigt werden, deutet dies möglicherweise auf ein Onboarding- oder Konnektivitätsproblem hin.

Problembehandlung beim Onboarding bei der Bereitstellung mit Einer Gruppenrichtlinie

Die Bereitstellung mit Einer Gruppenrichtlinie erfolgt durch Ausführen des Onboardingskripts auf den Geräten. Die Gruppenrichtlinienkonsole gibt nicht an, ob die Bereitstellung erfolgreich war.

Wenn Sie den Onboardingprozess abgeschlossen haben und nach einer Stunde keine Geräte in der Geräteliste angezeigt werden, können Sie die Ausgabe des Skripts auf den Geräten überprüfen. Weitere Informationen finden Sie unter Problembehandlung beim Onboarding bei der Bereitstellung mit einem Skript.

Wenn das Skript erfolgreich abgeschlossen wurde, finden Sie unter Behandeln von Onboardingproblemen auf den Geräten weitere Fehler, die auftreten können.

Behandeln von Onboardingproblemen bei der Bereitstellung mit Microsoft Endpoint Configuration Manager

Beim Onboarding von Geräten mit den folgenden Versionen von Configuration Manager:

• Microsoft Endpoint Configuration Manager
• System Center 2012 Configuration Manager
• System Center 2012 R2 Configuration Manager

Die Bereitstellung mit den oben genannten Versionen von Configuration Manager erfolgt durch Ausführen des Onboardingskripts auf den Geräten. Sie können die Bereitstellung in der Configuration Manager-Konsole nachverfolgen.

Wenn die Bereitstellung fehlschlägt, können Sie die Ausgabe des Skripts auf den Geräten überprüfen.

Wenn das Onboarding erfolgreich abgeschlossen wurde, die Geräte aber nach einer Stunde nicht in der Geräteliste angezeigt werden, finden Sie weitere Fehler unter Behandeln von Onboardingproblemen auf dem Gerät .

Problembehandlung beim Onboarding bei der Bereitstellung mit einem Skript

Überprüfen Sie das Ergebnis des Skripts auf dem Gerät:

1. Klicken Sie auf Start, geben Sie Ereignisanzeige ein, und drücken Sie die EINGABETASTE.

2. Wechseln Sie zu Windows-Protokollanwendung>.

3. Suchen Sie aus der WDATPOnboarding-Ereignisquelle nach einem Ereignis.

Wenn das Skript fehlschlägt und das Ereignis ein Fehler ist, können Sie die Ereignis-ID in der folgenden Tabelle überprüfen, um das Problem zu beheben.

Hinweis

Die folgenden Ereignis-IDs sind nur für das Onboardingskript spezifisch.

Ereignis-ID	Fehlertyp	Lösungsschritte
5	Offboarding von Daten wurde gefunden, konnte aber nicht gelöscht werden	Überprüfen Sie die Berechtigungen für die Registrierung, insbesondere HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.
10	Onboardingdaten konnten nicht in die Registrierung geschrieben werden	Überprüfen Sie die Berechtigungen für die Registrierung, insbesondere HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection. Vergewissern Sie sich, dass das Skript als Administrator ausgeführt wurde.
15	Fehler beim Starten des SENSE-Diensts	Überprüfen Sie die Dienstintegrität (sc query sense Befehl). Stellen Sie sicher, dass es sich nicht in einem Zwischenzustand ("Pending_Stopped", "Pending_Running") befindet, und versuchen Sie erneut, das Skript (mit Administratorrechten) auszuführen. Wenn auf dem Gerät Windows 10, Version 1607, ausgeführt wird und der Befehl sc query sense zurückgibt START_PENDING, starten Sie das Gerät neu. Wenn das Problem durch einen Neustart des Geräts nicht behoben wird, führen Sie ein Upgrade auf KB4015217 durch, und versuchen Sie das Onboarding erneut.
15	Fehler beim Starten des SENSE-Diensts	Wenn die Fehlermeldung lautet: Systemfehler 577 oder Fehler 1058 ist aufgetreten, müssen Sie den Microsoft Defender Antivirus ELAM-Treiber aktivieren. Anweisungen finden Sie unter Sicherstellen, dass Microsoft Defender Antivirus nicht durch eine Richtlinie deaktiviert ist .
30	Das Skript konnte nicht warten, bis die Ausführung des Diensts gestartet wurde.	Der Start des Diensts hätte mehr Zeit in Anspruch genommen, oder beim Starten sind Fehler aufgetreten. Weitere Informationen zu Ereignissen und Fehlern im Zusammenhang mit SENSE finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.
35	Das Skript konnte den erforderlichen Registrierungswert für den Onboardingstatus nicht finden.	Wenn der SENSE-Dienst zum ersten Mal gestartet wird, schreibt er den Onboardingstatus in den Registrierungsspeicherort. HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status. Das Skript konnte es nach einigen Sekunden nicht finden. Sie können es manuell testen und überprüfen, ob es vorhanden ist. Weitere Informationen zu Ereignissen und Fehlern im Zusammenhang mit SENSE finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.
40	Der Onboardingstatus des SENSE-Diensts ist nicht auf 1 festgelegt.	Fehler beim ordnungsgemäßen Onboarding des SENSE-Diensts. Weitere Informationen zu Ereignissen und Fehlern im Zusammenhang mit SENSE finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.
65	Unzureichende Berechtigungen	Führen Sie das Skript erneut mit Administratorrechten aus.
70	Offboarding-Skript ist für eine andere Organisation	Rufen Sie ein Offboardingskript für die richtige Organisation ab, in die der SENSE-Dienst integriert ist.

Behandeln von Onboardingproblemen mit Microsoft Intune

Sie können Microsoft Intune verwenden, um Fehlercodes zu überprüfen und zu versuchen, die Ursache des Problems zu beheben.

Wenn Sie Richtlinien in Intune konfiguriert haben und diese nicht auf Geräten weitergegeben werden, müssen Sie möglicherweise die automatische MDM-Registrierung konfigurieren.

Verwenden Sie die folgenden Tabellen, um die möglichen Ursachen von Problemen beim Onboarding zu verstehen:

• Microsoft Intune-Fehlercodes und OMA-URIs Tabelle
• Bekannte Probleme bei der Nichtkonformitätstabelle
• Tabelle der Mdm-Ereignisprotokolle (Mobile Device Management, Verwaltung mobiler Geräte)

Wenn keines der Ereignisprotokolle und Problembehandlungsschritte funktioniert, laden Sie das lokale Skript aus dem Abschnitt Geräteverwaltung des Portals herunter, und führen Sie es in einer Eingabeaufforderung mit erhöhten Rechten aus.

Microsoft Intune-Fehlercodes und OMA-URIs

Fehlercode hex	Fehlercode Dec	Fehlerbeschreibung	OMA-URI	Mögliche Ursachen und Schritte zur Problembehandlung
0x87D1FDE8	-2016281112	Fehler bei der Wartung	Onboarding Offboarding	Mögliche Ursache: Fehler beim Onboarding oder Offboarding bei einem falschen Blob: falsche Signatur oder fehlende PreviousOrgIds-Felder. Schritte zur Problembehandlung: Überprüfen Sie die Ereignis-IDs im Abschnitt Anzeigen von Agent-Onboardingfehlern im Geräteereignisprotokoll . Überprüfen Sie die MDM-Ereignisprotokolle in der folgenden Tabelle, oder befolgen Sie die Anweisungen unter Diagnostizieren von MDM-Fehlern in Windows.
			Onboarding Offboarding SampleSharing	Mögliche Ursache: Der Microsoft Defender für Endpunkt-Richtlinienregistrierungsschlüssel ist nicht vorhanden, oder der OMA DM-Client verfügt nicht über die Berechtigung zum Schreiben. Schritte zur Problembehandlung: Stellen Sie sicher, dass der folgende Registrierungsschlüssel vorhanden ist: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection Wenn er nicht vorhanden ist, öffnen Sie einen Befehl mit erhöhten Rechten, und fügen Sie den Schlüssel hinzu.
			SenseIsRunning OnboardingState OrgId	Mögliche Ursache: Ein Versuch, die Korrektur durch eine schreibgeschützte Eigenschaft durchzuführen. Fehler beim Onboarding. Schritte zur Problembehandlung: Überprüfen Sie die Schritte zur Problembehandlung unter Behandeln von Onboardingproblemen auf dem Gerät. Überprüfen Sie die MDM-Ereignisprotokolle in der folgenden Tabelle, oder befolgen Sie die Anweisungen unter Diagnostizieren von MDM-Fehlern in Windows.
			Alle	Mögliche Ursache: Versuchen Sie, Microsoft Defender für Endpunkt auf einer nicht unterstützten SKU/Plattform bereitzustellen, insbesondere auf holographic SKU. Derzeit unterstützte Plattformen: Enterprise, Education und Professional. Server wird nicht unterstützt.
0x87D101A9	-2016345687	SyncML(425): Fehler beim angeforderten Befehl, weil der Absender nicht über ausreichende Zugriffssteuerungsberechtigungen (ACL) für den Empfänger verfügt.	Alle	Mögliche Ursache: Versuchen Sie, Microsoft Defender für Endpunkt auf einer nicht unterstützten SKU/Plattform bereitzustellen, insbesondere auf holographic SKU. Derzeit unterstützte Plattformen: Enterprise, Education und Professional.

Bekannte Probleme bei Nichtkonformität

Die folgende Tabelle enthält Informationen zu Problemen mit Nichtkonformität und wie Sie die Probleme beheben können.

Fall	Symptome	Mögliche Ursachen und Schritte zur Problembehandlung
1	Gerät ist durch SenseIsRunning OMA-URI kompatibel. Ist jedoch durch OrgId, Onboarding und OnboardingState OMA-URIs nicht konform.	Mögliche Ursache: Überprüfen Sie, ob der Benutzer die Windows-Willkommensseite nach der Installation oder dem Upgrade von Windows bestanden hat. Während des OOBE-Onboardings konnte nicht abgeschlossen werden, aber SENSE wird bereits ausgeführt. Schritte zur Problembehandlung: Warten Sie, bis die OOBE abgeschlossen ist.
2	Das Gerät ist durch OrgId, Onboarding und OnboardingState OMA-URIs kompatibel, ist aber nicht durch SenseIsRunning OMA-URI kompatibel.	Mögliche Ursache: Der Starttyp des Sense-Diensts ist auf "Verzögerter Start" festgelegt. Manchmal führt dies dazu, dass der Microsoft Intune-Server das Gerät von SenseIsRunning als nicht konform meldet, wenn die DM-Sitzung beim Systemstart auftritt. Schritte zur Problembehandlung: Das Problem sollte innerhalb von 24 Stunden automatisch behoben werden.
3	Gerät ist nicht konform	Schritte zur Problembehandlung: Stellen Sie sicher, dass Onboarding- und Offboarding-Richtlinien nicht gleichzeitig auf demselben Gerät bereitgestellt werden.

Mdm-Ereignisprotokolle (Mobile Device Management, Verwaltung mobiler Geräte)

Zeigen Sie die MDM-Ereignisprotokolle an, um Probleme zu beheben, die während des Onboardings auftreten können:

Protokollname: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

Kanalname: Administrator

ID	Severity	Ereignisbeschreibung	Schritte zur Problembehandlung
1819	Error	Microsoft Defender für Endpunkt-CSP: Fehler beim Festlegen des Knotenwerts. NodeId: (%1), TokenName: (%2), Result: (%3).	Laden Sie das kumulative Update für Windows 10, 1607 herunter.

Behandeln von Onboardingproblemen auf dem Gerät

Wenn die verwendeten Bereitstellungstools keinen Fehler im Onboardingprozess anzeigen, Geräte aber immer noch nicht innerhalb einer Stunde in der Geräteliste angezeigt werden, gehen Sie die folgenden Überprüfungsthemen durch, um zu überprüfen, ob beim Microsoft Defender für Endpunkt-Agent ein Fehler aufgetreten ist.

• Anzeigen von Agent-Onboardingfehlern im Geräteereignisprotokoll
• Sicherstellen, dass der Diagnosedatendienst aktiviert ist
• Stellen Sie sicher, dass der Dienst auf "Starten" festgelegt ist.
• Stellen Sie sicher, dass das Gerät über eine Internetverbindung verfügt.
• Sicherstellen, dass Microsoft Defender Antivirus nicht durch eine Richtlinie deaktiviert ist

Anzeigen von Agent-Onboardingfehlern im Geräteereignisprotokoll

1. Klicken Sie auf Start, geben Sie Ereignisanzeige ein, und drücken Sie die EINGABETASTE.

2. Erweitern Sie im Bereich Ereignisanzeige (lokal)die Option Anwendungs- und Dienstprotokolle>Microsoft>Windows>SENSE.

   Hinweis

   SENSE ist der interne Name, der verwendet wird, um auf den Verhaltenssensor zu verweisen, der Microsoft Defender für Endpunkt unterstützt.

3. Wählen Sie Betriebsbereit aus, um das Protokoll zu laden.

4. Klicken Sie im Aktionsbereich auf Aktuelles Protokoll filtern.

5. Wählen Sie auf der Registerkarte Filter unter Ereignisebene: die Option Kritisch, Warnung und Fehler aus, und klicken Sie auf OK.

   

6. Ereignisse, die auf Probleme hinweisen können, werden im Betriebsbereich angezeigt. Sie können versuchen, sie basierend auf den Lösungen in der folgenden Tabelle zu beheben:

   Ereignis-ID	Nachricht	Lösungsschritte
   5	Fehler beim Herstellen einer Verbindung mit dem Server unter Variable durch den Microsoft Defender für Endpunkt-Dienst	Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt.
   6	Der Microsoft Defender für Endpunkt-Dienst ist nicht integriert, und es wurden keine Onboardingparameter gefunden. Fehlercode: Variable	Führen Sie das Onboardingskript erneut aus.
   7	Der Microsoft Defender für Endpunkt-Dienst konnte die Onboardingparameter nicht lesen. Fehlercode: Variable	Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt, und führen Sie dann den gesamten Onboardingprozess erneut aus.
   9	Der Starttyp des Microsoft Defender für Endpunkt-Diensts konnte nicht geändert werden. Fehlercode: Variable	Wenn das Ereignis während des Onboardings aufgetreten ist, starten Sie das Onboardingskript neu, und versuchen Sie es erneut. Weitere Informationen finden Sie unter Erneutes Ausführen des Onboardingskripts. Wenn das Ereignis während des Offboardings aufgetreten ist, wenden Sie sich an den Support.
   10	Der Microsoft Defender für Endpunkt-Dienst konnte die Onboardinginformationen nicht beibehalten. Fehlercode: Variable	Wenn das Ereignis während des Onboardings aufgetreten ist, versuchen Sie erneut, das Onboardingskript auszuführen. Weitere Informationen finden Sie unter Erneutes Ausführen des Onboardingskripts. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support.
   15	Microsoft Defender für Endpunkt kann den Befehlskanal nicht mit DER URL starten: Variable	Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt.
   17	Der Microsoft Defender für Endpunkt-Dienst konnte den Standort des Diensts "Connected User Experiences and Telemetry" nicht ändern. Fehlercode: Variable	Führen Sie das Onboardingskript erneut aus. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support.
   25	Der Microsoft Defender für Endpunkt-Dienst konnte den Integritätsstatus in der Registrierung nicht zurücksetzen. Fehlercode: Variable	Kontaktieren Sie den Support.
   27	Fehler beim Aktivieren des Microsoft Defender für Endpunkt-Modus in Windows Defender. Fehler beim Onboardingprozess. Fehlercode: Variable	Kontaktieren Sie den Support.
   29	Fehler beim Lesen der Offboardingparameter. Fehlertyp: %1, Fehlercode: %2, Beschreibung: %3	Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt, und führen Sie dann den gesamten Offboardingprozess erneut aus.
   30	Fehler beim Deaktivieren des $(build.sense.productDisplayName)-Modus in Microsoft Defender für Endpunkt. Fehlercode: %1	Kontaktieren Sie den Support.
   32	Der $(build.sense.productDisplayName)-Dienst konnte nach dem Offboardingvorgang nicht anfordern, sich selbst zu beenden. Fehlercode: %1	Vergewissern Sie sich, dass der Starttyp des Diensts manuell ist, und starten Sie das Gerät neu.
   55	Fehler beim Erstellen der sicheren ETW-Autologger. Fehlercode: %1	Starten Sie das Gerät neu.
   63	Aktualisieren des Starttyps des externen Diensts. Name: %1, tatsächlicher Starttyp: %2, erwarteter Starttyp: %3, Exitcode: %4	Identifizieren Sie, was Änderungen am Starttyp des erwähnten Diensts verursacht. Wenn der Exitcode nicht 0 ist, korrigieren Sie den Starttyp manuell auf den erwarteten Starttyp.
   64	Starten des beendeten externen Diensts. Name: %1, Exitcode: %2	Wenden Sie sich an den Support, wenn das Ereignis weiterhin angezeigt wird.
   68	Der Starttyp des Diensts ist unerwartet. Dienstname: %1, tatsächlicher Starttyp: %2, erwarteter Starttyp: %3	Identifizieren Sie, was Änderungen am Starttyp verursacht. Korrektur des erwähnten Dienststarttyps.
   69	Der Dienst wird beendet. Dienstname: %1	Starten Sie den erwähnten Dienst. Wenden Sie sich an den Support, wenn das Problem weiterhin besteht.

Es gibt zusätzliche Komponenten auf dem Gerät, von denen der Microsoft Defender für Endpunkt-Agent abhängig ist, um ordnungsgemäß zu funktionieren. Wenn keine Onboardingfehler im Ereignisprotokoll des Microsoft Defender für Endpunkt-Agents vorliegen, fahren Sie mit den folgenden Schritten fort, um sicherzustellen, dass die zusätzlichen Komponenten ordnungsgemäß konfiguriert sind.

Sicherstellen, dass der Diagnosedatendienst aktiviert ist

Hinweis

In Windows 10 Build 1809 und höher ist der EDR-Dienst von Defender für Endpunkt nicht mehr direkt vom DiagTrack-Dienst abhängig. Der EDR-Cyberbeweis kann weiterhin hochgeladen werden, wenn dieser Dienst nicht ausgeführt wird.

Wenn die Geräte nicht ordnungsgemäß berichten, müssen Sie möglicherweise überprüfen, ob der Windows-Diagnosedatendienst auf den automatischen Start festgelegt ist und auf dem Gerät ausgeführt wird. Der Dienst wurde möglicherweise durch andere Programme oder Benutzerkonfigurationsänderungen deaktiviert.

Zunächst sollten Sie überprüfen, ob der Dienst beim Starten von Windows automatisch gestartet wird. Dann sollten Sie überprüfen, ob der Dienst derzeit ausgeführt wird (und ihn starten, wenn dies nicht der Fall ist).

Stellen Sie sicher, dass der Dienst auf "Starten" festgelegt ist.

Verwenden Sie die Befehlszeile, um den Starttyp des Windows-Diagnosedatendiensts zu überprüfen:

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Gerät:

   a. Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.

   b. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   sc qc diagtrack
   

   Wenn der Dienst aktiviert ist, sollte das Ergebnis wie im folgenden Screenshot aussehen:

   

   Wenn nicht START_TYPE auf AUTO_STARTfestgelegt ist, müssen Sie festlegen, dass der Dienst automatisch gestartet wird.

Verwenden Sie die Befehlszeile, um festzulegen, dass der Windows-Diagnosedatendienst automatisch gestartet wird:

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Gerät:

   a. Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.

   b. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   sc config diagtrack start=auto
   

3. Eine Erfolgsmeldung wird angezeigt. Überprüfen Sie die Änderung, indem Sie den folgenden Befehl eingeben und die EINGABETASTE drücken:

   sc qc diagtrack
   

4. Starten Sie den Dienst. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   sc start diagtrack
   

Stellen Sie sicher, dass das Gerät über eine Internetverbindung verfügt.

Der Microsoft Defender für Endpunkt-Sensor setzt Microsoft Windows HTTP (WinHTTP) voraus, um Sensordaten zu melden und mit dem Microsoft Defender für Endpunkt-Dienst zu kommunizieren.

WinHTTP ist unabhängig von den Proxyeinstellungen für das Internetbrowsen und anderen Benutzerkontextanwendungen und muss in der Lage sein, die Proxyserver zu erkennen, die in Ihrer jeweiligen Umgebung verfügbar sind.

Um sicherzustellen, dass der Sensor über Dienstkonnektivität verfügt, führen Sie die schritte aus, die im Thema Überprüfen der Clientkonnektivität mit Microsoft Defender für Endpunkt-Dienst-URLs beschrieben werden.

Wenn die Überprüfung fehlschlägt und Ihre Umgebung einen Proxy verwendet, um eine Verbindung mit dem Internet herzustellen, führen Sie die schritte aus, die im Thema Konfigurieren von Proxy- und Internetkonnektivitätseinstellungen beschrieben werden.

Sicherstellen, dass Microsoft Defender Antivirus nicht durch eine Richtlinie deaktiviert ist

Wichtig

Folgendes gilt nur für Geräte, die das Update für Microsoft Defender Antivirus vom August 2020 (Version 4.18.2007.8) noch nicht erhalten haben.

Das Update stellt sicher, dass Microsoft Defender Antivirus auf Clientgeräten nicht über eine Systemrichtlinie deaktiviert werden kann.

Problem: Der Microsoft Defender für Endpunkt-Dienst wird nach dem Onboarding nicht gestartet.

Symptom: Das Onboarding wurde erfolgreich abgeschlossen, aber beim Starten des Diensts wird Fehler 577 oder Fehler 1058 angezeigt.

Lösung: Wenn auf Ihren Geräten ein Antischadsoftware-Client eines Drittanbieters ausgeführt wird, muss für den Microsoft Defender für Endpunkt-Agent der ELAM-Treiber (Early Launch Antimalware) aktiviert sein. Sie müssen sicherstellen, dass sie nicht durch eine Systemrichtlinie deaktiviert wird.

• Abhängig vom Tool, das Sie zum Implementieren von Richtlinien verwenden, müssen Sie überprüfen, ob die folgenden Windows Defender-Richtlinien gelöscht werden:

  • DisableAntiSpyware
  • DisableAntiVirus

  In gruppenrichtlinien dürfen z. B. keine Einträge wie die folgenden Werte vorhanden sein:

  • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
  • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>

Wichtig

Die disableAntiSpyware Einstellung wird ab dem Update von August 2020 (Version 4.18.2007.8) auf allen Windows 10-Geräten ignoriert.

• Führen Sie nach dem Löschen der Richtlinie die Onboardingschritte erneut aus.

• Sie können auch die vorherigen Registrierungsschlüsselwerte überprüfen, um zu überprüfen, ob die Richtlinie deaktiviert ist, indem Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defenderöffnen.

  

  Hinweis

  Alle Windows Defender-Dienste (wdboot, , wdfilterwdnisdrv, wdnissvcund windefend) sollten sich im Standardzustand befinden. Das Ändern des Startvorgangs dieser Dienste wird nicht unterstützt und kann dazu führen, dass Sie ihr System umgestalten müssen. Beispiel für Standardkonfigurationen für WdBoot und WdFilter:

  • <Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
  • <Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>

  Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, werden diese Treiber auf manuell (0) festgelegt.

Behandeln von Onboarding-Problemen

Hinweis

Der folgende Leitfaden zur Problembehandlung gilt nur für Windows Server 2016 und frühere Versionen von Windows Server.

Wenn beim Onboarding eines Servers Probleme auftreten, führen Sie die folgenden Überprüfungsschritte aus, um mögliche Probleme zu beheben.

• Stellen Sie sicher, dass Microsoft Monitoring Agent (MMA) installiert und konfiguriert ist, um Sensordaten an den Dienst zu melden.
• Stellen Sie sicher, dass die Serverproxy- und Internetkonnektivitätseinstellungen ordnungsgemäß konfiguriert sind.

Möglicherweise müssen Sie auch Folgendes überprüfen:

• Überprüfen Sie, ob auf der Registerkarte Prozesse im Task-Manager ein Microsoft Defender für Endpunktdienst ausgeführt wird. Beispiel:

  

• Überprüfen Sie denVorgangs-Manager fürAnwendungs- und Dienstprotokolle> der Ereignisanzeige>, um festzustellen, ob Fehler vorliegen.

• Überprüfen Sie unter Dienste, ob der Microsoft Monitoring Agent auf dem Server ausgeführt wird. Beispiel:

  

• Überprüfen Sie in Microsoft Monitoring Agent>Azure Log Analytics (OMS) die Arbeitsbereiche, und überprüfen Sie, ob der Status "Wird ausgeführt" lautet.

  

• Überprüfen Sie, ob Geräte in der Liste Geräte im Portal angezeigt werden.

Bestätigen des Onboardings neu erstellter Geräte

Es kann Vorkommen geben, in der das Onboarding auf einem neu erstellten Gerät bereitgestellt, aber noch nicht abgeschlossen ist.

Die folgenden Schritte enthalten Anleitungen für das folgende Szenario:

• Das Onboardingpaket wird auf neu erstellten Geräten bereitgestellt.
• Der Sensor wird nicht gestartet, da die Out-of-Box-Benutzeroberfläche (OOBE) oder die erste Benutzeranmeldung nicht abgeschlossen wurde
• Das Gerät wird ausgeschaltet oder neu gestartet, bevor der Endbenutzer eine erste Anmeldung ausführt.
• In diesem Szenario wird der SENSE-Dienst nicht automatisch gestartet, obwohl das Onboardingpaket bereitgestellt wurde.

Hinweis

Die Benutzeranmeldung nach OOBE ist nicht mehr erforderlich, damit der SENSE-Dienst mit den folgenden oder neueren Windows-Versionen gestartet wird: Windows 10, Version 1809 oder Windows Server 2019, oder Windows Server 2022 mit Updaterollup vom 22. April 2021. Windows 10, Version 1909 mit Updaterollup vom April 2021. Windows 10, Version 2004/20H2 mit Updaterollup vom 28. April 2021.

Hinweis

Die folgenden Schritte sind nur bei Verwendung von Microsoft Endpoint Configuration Manager relevant. Weitere Informationen zum Onboarding mit Microsoft Endpoint Configuration Manager finden Sie unter Microsoft Defender für Endpunkt.

1. Erstellen Sie eine Anwendung in Microsoft Endpoint Configuration Manager.

   

2. Wählen Sie Die Anwendungsinformationen manuell angeben aus.

   

3. Geben Sie Informationen zur Anwendung an, und wählen Sie dann Weiter aus.

   

4. Geben Sie Informationen zum Softwarecenter an, und wählen Sie dann Weiter aus.

   

5. Wählen Sie unter Bereitstellungstypen die Option Hinzufügen aus.

   

6. Wählen Sie Die Informationen zum Bereitstellungstyp manuell angeben und dann Weiter aus.

   

7. Geben Sie Informationen zum Bereitstellungstyp an, und wählen Sie dann Weiter aus.

   

8. GebenSie unter Inhaltsinstallationsprogramm> den Folgenden Befehl an: net start sense.

   

9. Wählen Sie unter Erkennungsmethodedie Option Regeln konfigurieren aus, um das Vorhandensein dieses Bereitstellungstyps zu erkennen, und wählen Sie dann Klausel hinzufügen aus.

   

10. Geben Sie die folgenden Details zur Erkennungsregel an, und wählen Sie dann OK aus:

    

11. Wählen Sie unter Erkennungsmethodedie Option Weiter aus.

    

12. Geben Sie unter Benutzerfreundlichkeit die folgenden Informationen an, und wählen Sie dann Weiter aus:

    

13. Wählen Sie unter Anforderungen die Option Weiter aus.

    

14. Wählen Sie unter Abhängigkeiten die Option Weiter aus.

    

15. Wählen Sie unter Zusammenfassung die Option Weiter aus.

    

16. Wählen Sie unter Vervollständigungdie Option Schließen aus.

    

17. Wählen Sie unter Bereitstellungstypen die Option Weiter aus.

    

18. Wählen Sie unter Zusammenfassung die Option Weiter aus.

    

    Der Status wird dann angezeigt:

19. Wählen Sie unter Vervollständigungdie Option Schließen aus.

    

20. Sie können die Anwendung jetzt bereitstellen, indem Sie mit der rechten Maustaste auf die App klicken und Bereitstellen auswählen.

    

21. Wählen Sie unter Allgemeindie Option Inhalt für Abhängigkeiten automatisch verteilen und Durchsuchen aus.

    

22. Wählen Sie unter Inhalt die Option Weiter aus.

    

23. Wählen Sie unter Bereitstellungseinstellungen die Option Weiter aus.

    

24. Wählen Sie unter Planungdie Option So bald wie möglich nach der verfügbaren Zeit und dann Weiter aus.

    

25. Wählen Sie unter Benutzeroberfläche die Option Commit für Änderungen am Stichtag oder während eines Wartungsfensters (neustarts erforderlich) aus, und wählen Sie dann Weiter aus.

    

26. Wählen Sie unter Warnungendie Option Weiter aus.

    

27. Wählen Sie unter Zusammenfassung die Option Weiter aus.

    

    Der Status wird dann angezeigt

28. Wählen Sie unter Vervollständigungdie Option Schließen aus.

    

Verwandte Themen

• Problembehandlung von Microsoft Defender für Endpunkt
• Integrieren von Geräten
• Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.