Beheben fehlerhafter Sensoren in Microsoft Defender for Endpoint
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Geräte können aus unterschiedlichen Gründen als falsch konfiguriert oder inaktiv kategorisiert werden. Dieser Artikel enthält Informationen dazu, warum ein Gerät möglicherweise als inaktiv oder falsch konfiguriert kategorisiert wird.
Inaktive Geräte
Ein inaktives Gerät wird nicht unbedingt aufgrund eines Problems gekennzeichnet. Die folgenden Aktionen, die auf einem Gerät ausgeführt werden, können dazu führen, dass ein Gerät als inaktiv kategorisiert wird:
- Gerät wird nicht verwendet
- Das Gerät wurde neu installiert oder umbenannt.
- Das Gerät wurde außer Bord geschaltet.
- Gerät sendet keine Signale
Gerät wird nicht verwendet
Jedes Gerät, das länger als sieben Tage nicht verwendet wird, behält "Inaktive" status im Portal bei.
Das Gerät wurde neu installiert oder umbenannt.
Eine neue Geräteentität wird in Microsoft Defender XDR für neuinstallierte oder umbenannte Geräte generiert. Die vorherige Geräteentität bleibt mit dem status "Inactive" im Portal bestehen. Wenn Sie ein Gerät neu installiert und das Defender für Endpunkt-Paket bereitgestellt haben, suchen Sie nach dem neuen Gerätenamen, um sicherzustellen, dass das Gerät normal berichte.
Das Gerät wurde außer Bord geschaltet.
Wenn das Gerät deaktiviert war, wird es weiterhin in der Geräteliste angezeigt. Nach sieben Tagen sollte sich der Integritätsstatus des Geräts in inaktiv ändern.
Gerät sendet keine Signale
Wenn das Gerät aus irgendeinem Grund mehr als sieben Tage lang keine Signale an Microsoft Defender for Endpoint Kanäle sendet, kann ein Gerät als inaktiv betrachtet werden. Falsch konfigurierte Geräte können auch als inaktiv betrachtet werden.
Falsch konfigurierte Geräte
Falsch konfigurierte Geräte können weiter wie folgt klassifiziert werden:
- Beeinträchtigte Kommunikation
- Keine Sensordaten
Beeinträchtigte Kommunikation
Diese status zeigt an, dass die Kommunikation zwischen dem Gerät und dem Dienst eingeschränkt ist.
Die folgenden vorgeschlagenen Aktionen können helfen, Probleme im Zusammenhang mit einem falsch konfigurierten Gerät mit beeinträchtigter Kommunikation zu beheben:
Stellen Sie sicher, dass das Gerät über eine Internetverbindung verfügt. Der Microsoft Defender für Endpunkt-Sensor setzt Microsoft Windows HTTP (WinHTTP) voraus, um Sensordaten zu melden und mit dem Microsoft Defender für Endpunkt-Dienst zu kommunizieren.
Überprüfen Sie die Clientkonnektivität mit Microsoft Defender for Endpoint-Dienst-URLs. Vergewissern Sie sich, dass die Proxykonfiguration erfolgreich abgeschlossen wurde, dass WinHTTP den Proxyserver in Ihrer Umgebung ermitteln und über diesen kommunizieren kann und dass der Proxyserver Datenverkehr zu den Microsoft Defender for Endpoint-Dienst-URLs zulässt.
Wenn Sie Korrekturmaßnahmen ergriffen haben und das Gerät status immer noch falsch konfiguriert ist, öffnen Sie ein Supportticket.
Keine Sensordaten
Ein falsch konfiguriertes Gerät mit status "Keine Sensordaten" verfügt über eine Kommunikation mit dem Dienst, kann jedoch nur teilweise Sensordaten melden.
Befolgen Sie die folgenden Aktionen, um bekannte Probleme im Zusammenhang mit einem falsch konfigurierten Gerät mit status "Keine Sensordaten" zu beheben:
Stellen Sie sicher, dass das Gerät über eine Internetverbindung verfügt. Der Microsoft Defender für Endpunkt-Sensor setzt Microsoft Windows HTTP (WinHTTP) voraus, um Sensordaten zu melden und mit dem Microsoft Defender für Endpunkt-Dienst zu kommunizieren.
Überprüfen Sie die Clientkonnektivität mit Microsoft Defender for Endpoint-Dienst-URLs. Vergewissern Sie sich, dass die Proxykonfiguration erfolgreich abgeschlossen wurde, dass WinHTTP den Proxyserver in Ihrer Umgebung ermitteln und über diesen kommunizieren kann und dass der Proxyserver Datenverkehr zu den Microsoft Defender for Endpoint-Dienst-URLs zulässt.
Stellen Sie sicher, dass der Diagnosedatendienst aktiviert ist. Wenn die Geräte keine ordnungsgemäßen Berichte erstellen, sollten Sie überprüfen, ob der Windows-Diagnosedatendienst auf den automatischen Start festgelegt ist. Vergewissern Sie sich außerdem, dass der Windows-Diagnosedatendienst auf dem Endpunkt ausgeführt wird.
Stellen Sie sicher, dass Microsoft Defender Antivirus nicht durch die Richtlinie deaktiviert ist. Wenn auf Ihren Geräten ein Antischadsoftwareclient eines Drittanbieters ausgeführt wird, erfordert der Defender für Endpunkt-Agent, dass der Microsoft Defender Antivirus Early Launch Anti-Malware-Treiber (ELAM) aktiviert ist.
Für macOS-Geräte, die länger als ca. 48 Stunden (ein Wochenende) ruhen, sendet Microsoft Defender for Endpoint unter macOS weiterhin CnC-Kanaldaten (Command and Control), sendet jedoch keine Cyber-Kanaldaten. Nachdem die Geräte am ersten Geschäftstag eingeschaltet und verwendet wurden, werden die Geräte als aktiv angezeigt.
Wenn Sie Korrekturmaßnahmen ergriffen haben und das Gerät status immer noch falsch konfiguriert ist, öffnen Sie ein Supportticket.
Siehe auch
- Überprüfen des Integritätszustands des Sensors in Microsoft Defender for Endpoint
- Client Analyzer – Überblick
- Herunterladen und Ausführen des Client Analyzer
- Ausführen des Client Analyzer unter Windows
- Ausführung des Client Analyzer unter macOS oder Linux
- Datensammlung für erweiterte Problembehandlung unter Windows
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für