Felsöka problem när du byter till Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Den här artikeln innehåller felsökningsinformation för säkerhetsadministratörer som har problem med att byta från en lösning som inte är en Microsoft-slutpunktsskydd till Microsoft Defender för Slutpunkt.
Microsoft Defender Antivirus avinstalleras på Windows Server
När du byter till Defender för Slutpunkt börjar du med skyddet mot skadlig programvara som inte är ett Microsoft-program i aktivt läge. Som en del av konfigurationsprocessen kan du konfigurera Microsoft Defender Antivirus i passivt läge. Ibland kan din lösning som inte är en Microsoft-antivirus-/antimalware-lösning förhindra Microsoft Defender Antivirus att köras Windows Server. Det kan faktiskt se ut som Microsoft Defender Antivirus har tagits bort från Windows Server.
Lös problemet genom att göra följande:
- Ställ in registernyckeln DisableAntiSpyware till false.
- Lägg till Microsoft Defender för Slutpunkt i undantagslistan.
- Ställ Microsoft Defender Antivirus till passivt läge manuellt.
Ange registernyckeln DisableAntiSpyware till false
Registernyckeln DisableAntiSpyware användes tidigare för att inaktivera Microsoft Defender Antivirus och distribuera ett annat antivirusprogram, till exempel McAfee, Symantec eller andra. I allmänhet bör du inte ha den här registernyckeln på dina Windows-enheter och slutpunkter – men om du har konfigurerat gör du så här för att ange värdet som DisableAntiSpyware falskt:
Öppna Registereditorn på Windows Server-enhet.
Gå till
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.Leta där efter en DWORD-post med namnet DisableAntiSpyware.
- Om du inte ser den posten är allt klart.
- Om du ser DisableAntiSpyware går du vidare till steg 4.
Högerklicka på DisableAntiSpyware DWORD och välj sedan Ändra.
Ställ in värdet på
0. (Den här åtgärden anger värdet för registernyckeln till falskt.)
Tips
Mer information om den här registernyckeln finns i DisableAntiSpyware.
Lägga till Microsoft Defender för slutpunkt i undantagslistan
Vissa undantag för Defender för Slutpunkt måste definieras i din befintliga lösning som inte är Microsoft-slutpunktsskydd. Se till att lägga till följande undantag:
C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe
C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe
C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe
C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe
C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe
Ställ Microsoft Defender Antivirus manuellt till passivt läge
I Windows Server 2019, Windows Server, version 1803 eller senare, Windows Server 2016 eller Windows Server 2012 R2 måste du ställa Microsoft Defender Antivirus till passivt läge manuellt. Den här åtgärden hjälper till att förhindra problem som orsakas av att flera antivirusprogram är installerade på en server. Du kan Microsoft Defender Antivirus till passivt läge med Hjälp av PowerShell, Grupprincip eller en registernyckel.
Du kan Microsoft Defender Antivirus passivt läge genom att ange följande registernyckel:
Sökväg: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Namn: ForceDefenderPassiveMode
Typ: REG_DWORD
Värde: 1
Anteckning
För att passivt läge ska fungera på slutpunkter som kör Windows Server 2016 och Windows Server 2012 R2 måste dessa slutpunkter introduceras med hjälp av anvisningarna i Onboard Windows-servrar.
Mer information finns i Microsoft Defender Antivirus på Windows Server.
Jag har problem med att aktivera Microsoft Defender Antivirus på Windows Server 2016
Om du använder en lösning som inte är en Microsoft-lösning för antivirus eller Windows Server 2016 kan din befintliga lösning ha Microsoft Defender Antivirus inaktiveras eller avinstalleras. Du kan använda verktyget Malware Protection Command-Line för att återaktivera Microsoft Defender Antivirus på Windows Server 2016.
Öppna Kommandotolken som lokal administratör på servern.
Kör följande kommando:
MpCmdRun.exe -wdenableStarta om enheten.