Resolver problemas ao migrar para o Microsoft Defender para Endpoint
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Este artigo fornece informações de resolução de problemas para administradores de segurança que estão a ter problemas ao passar de uma solução de proteção de pontos finais não Microsoft para Microsoft Defender para Endpoint.
Microsoft Defender o Antivírus está a ser desinstalado no Windows Server
Quando migra para o Defender para Endpoint, começa com a proteção antivírus/antimalware não Microsoft no modo ativo. Como parte do processo de configuração, configura Microsoft Defender Antivírus no modo passivo. Ocasionalmente, a sua solução antivírus/antimalware que não seja da Microsoft pode impedir a execução do Antivírus Microsoft Defender no Windows Server. Na verdade, pode parecer que Microsoft Defender Antivírus foi removido do Windows Server.
Para resolver este problema, siga os seguintes passos:
- Adicione Microsoft Defender para Endpoint à lista de exclusão.
- Defina Microsoft Defender Antivírus como modo passivo manualmente.
Adicionar Microsoft Defender para Endpoint à lista de exclusão
| SO | Exclusões |
|---|---|
| Windows 11 Windows 10, versão 1803 ou posterior (Consulte Windows 10 informações de versão) Windows 10, versão 1703 ou 1709 com KB4493441 instalada |
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exeC:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exeC:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
| Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server, versão 1803 |
No Windows Server 2012 R2 e Windows Server 2016 a executar a solução moderna e unificada, são necessárias as seguintes exclusões após atualizar o componente Sense EDR com KB5005292:C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exeC:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection |
| Windows 8.1 Windows 7 Windows Server 2008 R2 SP1 |
C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exeNOTA: a monitorização dos Ficheiros Temporários do Anfitrião 6\45 pode ser uma subpasta numerada diferente. C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exeC:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exeC:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exeC:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe |
Importante
Como melhor prática, mantenha os dispositivos e pontos finais da sua organização atualizados. Certifique-se de que obtém as atualizações mais recentes do antivírus Microsoft Defender para Endpoint e Microsoft Defender e mantém os sistemas operativos e as aplicações de produtividade da sua organização atualizados.
Definir Microsoft Defender Antivírus como modo passivo manualmente
No Windows Server 2022, Windows Server 2019, Windows Server, versão 1803 ou mais recente, Windows Server 2016 ou Windows Server 2012 R2, tem de definir Microsoft Defender Antivírus para o modo passivo manualmente. Esta ação ajuda a evitar problemas causados por vários produtos antivírus instalados num servidor. Pode definir Microsoft Defender Antivírus para o modo passivo com o PowerShell, Política de Grupo ou uma chave de registo.
Pode definir Microsoft Defender Antivírus como modo passivo ao definir a seguinte chave de registo:
Caminho: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Nome: ForceDefenderPassiveMode
Tipo: REG_DWORD
Valor: 1
Nota
Para que o modo passivo funcione em pontos finais em execução Windows Server 2016 e Windows Server 2012 R2, esses pontos finais têm de ser integrados através das instruções em Integrar servidores Windows.
Para obter mais informações, consulte Microsoft Defender Antivírus no Windows.
Microsoft Defender Antivírus parece estar bloqueado no modo passivo
Se Microsoft Defender Antivírus estiver bloqueado no modo passivo, defina-o como modo ativo manualmente ao seguir estes passos:
No seu dispositivo Windows, abra a Revisor de Registo como administrador.
Aceda a
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.Defina ou defina uma entrada de REG_DWORD denominada
ForceDefenderPassiveModee defina o respetivo valor como0.Reinicie o dispositivo.
Importante
Se continuar a ter problemas ao definir Microsoft Defender Antivírus para o modo ativo após seguir este procedimento, contacte o suporte.
Estou a ter problemas ao reativar Microsoft Defender Antivírus no Windows Server 2016
Se estiver a utilizar uma solução antivírus/antimalware não Microsoft no Windows Server 2016, a solução existente poderá ter exigido Microsoft Defender Antivírus seja desativado ou desinstalado. Pode utilizar o Utilitário de Command-Line proteção contra software maligno para reativar Microsoft Defender Antivírus no Windows Server 2016.
Como administrador local no servidor, abra a Linha de Comandos.
Execute o seguinte comando:
MpCmdRun.exe -wdenableReinicie o dispositivo.
Consulte também
Microsoft Defender compatibilidade antivírus com outros produtos de segurança
Ferramentas e métodos de inclusão para dispositivos Windows no Defender para Endpoint
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários