Behandeln von Problemen mit dem Microsoft Endpoint DLP-Onboarding

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Möglicherweise müssen Sie den Microsoft Defender for Endpoint Onboardingprozess beheben, wenn Probleme auftreten. Auf dieser Seite finden Sie ausführliche Schritte zur Behandlung von Onboardingproblemen, die bei der Bereitstellung mit einem der Bereitstellungstools auftreten können, sowie häufige Fehler, die auf den Geräten auftreten können.

Bevor Sie mit der Behandlung von Problemen mit Onboardingtools beginnen, ist es wichtig zu überprüfen, ob die Mindestanforderungen für das Onboarding von Geräten in die Dienste erfüllt sind. Erfahren Sie mehr über die Lizenzierungs-, Hardware- und Softwareanforderungen für das Onboarding von Geräten in den Dienst.

Tipp

Als Ergänzung zu diesem Artikel lesen Sie unseren Microsoft Defender for Endpoint Einrichtungsleitfaden, um sich mit bewährten Methoden vertraut zu machen und wichtige Tools wie die Verringerung der Angriffsfläche und den Schutz der nächsten Generation zu erfahren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden für die automatisierte Einrichtung von Defender für Endpunkt zugreifen.

Behandeln von Problemen mit Onboardingtools

Wenn Sie den Onboardingprozess abgeschlossen haben und nach einer Stunde keine Geräte in der Geräteliste angezeigt werden, deutet dies möglicherweise auf ein Onboarding- oder Konnektivitätsproblem hin.

Problembehandlung beim Onboarding bei der Bereitstellung mit Gruppenrichtlinie

Die Bereitstellung mit Gruppenrichtlinie erfolgt durch Ausführen des Onboardingskripts auf den Geräten. Die Gruppenrichtlinie-Konsole gibt nicht an, ob die Bereitstellung erfolgreich war.

Wenn Sie den Onboardingprozess abgeschlossen haben und nach einer Stunde keine Geräte in der Geräteliste angezeigt werden, können Sie die Ausgabe des Skripts auf den Geräten überprüfen. Weitere Informationen finden Sie unter Problembehandlung beim Onboarding bei der Bereitstellung mit einem Skript.

Wenn das Skript erfolgreich abgeschlossen wurde, finden Sie unter Behandeln von Onboardingproblemen auf den Geräten weitere Fehler, die auftreten können.

Behandeln von Onboardingproblemen bei der Bereitstellung mit Microsoft Endpoint Configuration Manager

Beim Onboarding von Geräten mit den folgenden Versionen von Configuration Manager:

  • Microsoft Endpoint Configuration Manager
  • System Center 2012 Configuration Manager
  • System Center 2012 R2 Configuration Manager

Die Bereitstellung mit den oben genannten Versionen von Configuration Manager erfolgt durch Ausführen des Onboardingskripts auf den Geräten. Sie können die Bereitstellung in der Configuration Manager Console nachverfolgen.

Wenn die Bereitstellung fehlschlägt, können Sie die Ausgabe des Skripts auf den Geräten überprüfen.

Wenn das Onboarding erfolgreich abgeschlossen wurde, die Geräte aber nach einer Stunde nicht in der Geräteliste angezeigt werden, finden Sie weitere Fehler unter Behandeln von Onboardingproblemen auf dem Gerät .

Problembehandlung beim Onboarding bei der Bereitstellung mit einem Skript

Überprüfen Sie das Ergebnis des Skripts auf dem Gerät:

  1. Klicken Sie auf Start, geben Sie Ereignisanzeige ein, und drücken Sie die EINGABETASTE.

  2. Wechseln Sie zu Windows-Protokollanwendung>.

  3. Suchen Sie aus der WDATPOnboarding-Ereignisquelle nach einem Ereignis.

Wenn das Skript fehlschlägt und das Ereignis ein Fehler ist, können Sie die Ereignis-ID in der folgenden Tabelle überprüfen, um das Problem zu beheben.

Hinweis

Die folgenden Ereignis-IDs sind nur für das Onboardingskript spezifisch.

Ereignis-ID Fehlertyp Lösungsschritte
5 Offboarding von Daten wurde gefunden, konnte aber nicht gelöscht werden Überprüfen Sie die Berechtigungen für die Registrierung, insbesondere

HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

10 Onboardingdaten konnten nicht in die Registrierung geschrieben werden Überprüfen Sie die Berechtigungen für die Registrierung, insbesondere

HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

Vergewissern Sie sich, dass das Skript als Administrator ausgeführt wurde.

15 Fehler beim Starten des SENSE-Diensts Überprüfen Sie die Dienstintegrität (sc query sense Befehl). Stellen Sie sicher, dass es sich nicht in einem Zwischenzustand ("Pending_Stopped", "Pending_Running") befindet, und versuchen Sie erneut, das Skript (mit Administratorrechten) auszuführen.

Wenn auf dem Gerät Windows 10, Version 1607, ausgeführt wird und der Befehl sc query sense zurückgegeben START_PENDINGwird, starten Sie das Gerät neu. Wenn das Problem durch einen Neustart des Geräts nicht behoben wird, führen Sie ein Upgrade auf KB4015217 durch, und versuchen Sie das Onboarding erneut.

15 Fehler beim Starten des SENSE-Diensts Wenn die Fehlermeldung lautet: Systemfehler 577 oder Fehler 1058 ist aufgetreten, müssen Sie den Microsoft Defender Antivirus ELAM-Treiber aktivieren. Anweisungen finden Sie unter Sicherstellen, dass Microsoft Defender Antivirus nicht durch eine Richtlinie deaktiviert wird.
15 Fehler beim Starten des SENSE-Diensts Das SENSE-Feature bei Bedarf (FoD) ist möglicherweise nicht installiert. Um zu ermitteln, ob es installiert ist, geben Sie an einer Admin CMD/PowerShell-Eingabeaufforderung den folgenden Befehl ein: DISM.EXE /Online /Get-CapabilityInfo /CapabilityName:Microsoft.Windows.Sense.Client~~~~ Wenn ein Fehler zurückgegeben wird oder der Status nicht "Installiert" lautet, muss das SENSE-FoD installiert werden. Installationsanweisungen finden Sie unter Verfügbare Features bei Bedarf: SENSE-Client für Microsoft Defender for Endpoint.
30 Das Skript konnte nicht warten, bis die Ausführung des Diensts gestartet wurde. Der Start des Diensts hätte mehr Zeit in Anspruch genommen, oder beim Starten sind Fehler aufgetreten. Weitere Informationen zu Ereignissen und Fehlern im Zusammenhang mit SENSE finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.
35 Das Skript konnte das erforderliche Onboarding status Registrierungswert nicht finden. Wenn der SENSE-Dienst zum ersten Mal gestartet wird, schreibt er das Onboarding status in den Registrierungsspeicherort.

HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status.

Das Skript konnte es nach einigen Sekunden nicht finden. Sie können es manuell testen und überprüfen, ob es vorhanden ist. Weitere Informationen zu Ereignissen und Fehlern im Zusammenhang mit SENSE finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.

40 Sense Service Onboarding status ist nicht auf 1 festgelegt Fehler beim ordnungsgemäßen Onboarding des SENSE-Diensts. Weitere Informationen zu Ereignissen und Fehlern im Zusammenhang mit SENSE finden Sie unter Überprüfen von Ereignissen und Fehlern mithilfe der Ereignisanzeige.
65 Unzureichende Berechtigungen Führen Sie das Skript erneut mit Administratorrechten aus.
70 Offboardingskript ist für eine andere organization Rufen Sie ein Offboardingskript für die richtigen organization ab, in die der SENSE-Dienst integriert ist.

Behandeln von Onboardingproblemen mithilfe von Microsoft Intune

Sie können Microsoft Intune verwenden, um Fehlercodes zu überprüfen und zu versuchen, die Ursache des Problems zu beheben.

Wenn Sie Richtlinien in Intune konfiguriert haben und diese nicht auf Geräten weitergegeben werden, müssen Sie möglicherweise die automatische MDM-Registrierung konfigurieren.

Verwenden Sie die folgenden Tabellen, um die möglichen Ursachen von Problemen beim Onboarding zu verstehen:

  • Microsoft Intune Fehlercodes und OMA-URIs Tabelle
  • Bekannte Probleme bei der Nichtkonformitätstabelle
  • Mobile Geräteverwaltung (MDM)-Ereignisprotokolltabelle

Wenn keines der Ereignisprotokolle und Problembehandlungsschritte funktioniert, laden Sie das lokale Skript aus dem Abschnitt Geräteverwaltung des Portals herunter, und führen Sie es in einer Eingabeaufforderung mit erhöhten Rechten aus.

Microsoft Intune Fehlercodes und OMA-URIs

Fehlercode hex Fehlercode Dec Fehlerbeschreibung OMA-URI Mögliche Ursachen und Schritte zur Problembehandlung
0x87D1FDE8 -2016281112 Fehler bei der Wartung Onboarding

Offboarding

Mögliche Ursache: Fehler beim Onboarding oder Offboarding bei einem falschen Blob: falsche Signatur oder fehlende PreviousOrgIds-Felder.

Schritte zur Problembehandlung:

Überprüfen Sie die Ereignis-IDs im Abschnitt Anzeigen von Agent-Onboardingfehlern im Geräteereignisprotokoll .

Überprüfen Sie die MDM-Ereignisprotokolle in der folgenden Tabelle, oder befolgen Sie die Anweisungen unter Diagnostizieren von MDM-Fehlern in Windows.

Onboarding

Offboarding

SampleSharing

Mögliche Ursache: Microsoft Defender for Endpoint Richtlinienregistrierungsschlüssel nicht vorhanden ist oder der OMA DM-Client nicht über die Berechtigung zum Schreiben verfügt.

Schritte zur Problembehandlung: Stellen Sie sicher, dass der folgende Registrierungsschlüssel vorhanden ist: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Wenn er nicht vorhanden ist, öffnen Sie einen Befehl mit erhöhten Rechten, und fügen Sie den Schlüssel hinzu.

SenseIsRunning

OnboardingState

OrgId

Mögliche Ursache: Ein Versuch, die Korrektur durch eine schreibgeschützte Eigenschaft durchzuführen. Fehler beim Onboarding.

Schritte zur Problembehandlung: Überprüfen Sie die Schritte zur Problembehandlung unter Behandeln von Onboardingproblemen auf dem Gerät.

Überprüfen Sie die MDM-Ereignisprotokolle in der folgenden Tabelle, oder befolgen Sie die Anweisungen unter Diagnostizieren von MDM-Fehlern in Windows.

Alle Mögliche Ursache: Versuchen Sie, Microsoft Defender for Endpoint auf einer nicht unterstützten SKU/Plattform bereitzustellen, insbesondere auf holographic SKU.

Derzeit unterstützte Plattformen:

Enterprise, Education und Professional.

Server wird nicht unterstützt.

0x87D101A9 -2016345687 SyncML(425): Fehler beim angeforderten Befehl, weil der Absender nicht über ausreichende Zugriffssteuerungsberechtigungen (ACL) für den Empfänger verfügt. Alle Mögliche Ursache: Versuchen Sie, Microsoft Defender for Endpoint auf einer nicht unterstützten SKU/Plattform bereitzustellen, insbesondere auf holographic SKU.

Derzeit unterstützte Plattformen:

Enterprise, Education und Professional.

Bekannte Probleme bei Nichtkonformität

Die folgende Tabelle enthält Informationen zu Problemen mit Nichtkonformität und wie Sie die Probleme beheben können.

Fall Problembeschreibung Mögliche Ursachen und Schritte zur Problembehandlung
1 Gerät ist durch SenseIsRunning OMA-URI kompatibel. Ist jedoch durch OrgId, Onboarding und OnboardingState OMA-URIs nicht konform. Mögliche Ursache: Überprüfen Sie, ob der Benutzer die Windows-Willkommensseite nach der Installation oder dem Upgrade von Windows bestanden hat. Während des OOBE-Onboardings konnte nicht abgeschlossen werden, aber SENSE wird bereits ausgeführt.

Schritte zur Problembehandlung: Warten Sie, bis die OOBE abgeschlossen ist.

2 Das Gerät ist durch OrgId, Onboarding und OnboardingState OMA-URIs kompatibel, ist aber nicht durch SenseIsRunning OMA-URI kompatibel. Mögliche Ursache: Der Starttyp des Sense-Diensts ist auf "Verzögerter Start" festgelegt. Manchmal führt dies dazu, dass der Microsoft Intune Server das Gerät von SenseIsRunning als nicht konform meldet, wenn die DM-Sitzung beim Systemstart auftritt.

Schritte zur Problembehandlung: Das Problem sollte innerhalb von 24 Stunden automatisch behoben werden.

3 Gerät ist nicht konform Schritte zur Problembehandlung: Stellen Sie sicher, dass Onboarding- und Offboarding-Richtlinien nicht gleichzeitig auf demselben Gerät bereitgestellt werden.

Mobile Geräteverwaltung (MDM)-Ereignisprotokolle

Zeigen Sie die MDM-Ereignisprotokolle an, um Probleme zu beheben, die während des Onboardings auftreten können:

Protokollname: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

Kanalname: Admin

ID Severity Ereignisbeschreibung Schritte zur Problembehandlung
1819 Error Microsoft Defender for Endpoint CSP: Fehler beim Festlegen des Knotenwerts. NodeId: (%1), TokenName: (%2), Result: (%3). Laden Sie das kumulative Update für Windows 10 1607 herunter.

Behandeln von Onboardingproblemen auf dem Gerät

Wenn die verwendeten Bereitstellungstools keinen Fehler im Onboardingprozess angeben, geräte aber immer noch nicht innerhalb einer Stunde in der Geräteliste angezeigt werden, gehen Sie die folgenden Überprüfungsthemen durch, um zu überprüfen, ob ein Fehler beim Microsoft Defender for Endpoint-Agent aufgetreten ist.

Anzeigen von Agent-Onboardingfehlern im Geräteereignisprotokoll

  1. Klicken Sie auf Start, geben Sie Ereignisanzeige ein, und drücken Sie die EINGABETASTE.

  2. Erweitern Sie im Bereich Ereignisanzeige (Lokal)die Option Anwendungs- und Dienstprotokolle>Microsoft>Windows>SENSE.

    Hinweis

    SENSE ist der interne Name, mit dem auf den Verhaltenssensor verwiesen wird, der Microsoft Defender for Endpoint antreibt.

  3. Wählen Sie Betriebsbereit aus, um das Protokoll zu laden.

  4. Klicken Sie im Aktionsbereich auf Aktuelles Protokoll filtern.

  5. Wählen Sie auf der Registerkarte Filter unter Ereignisebene: die Option Kritisch, Warnung und Fehler aus, und klicken Sie auf OK.

    Der Ereignisanzeige-Protokollfilter

  6. Ereignisse, die auf Probleme hinweisen können, werden im Betriebsbereich angezeigt. Sie können versuchen, sie basierend auf den Lösungen in der folgenden Tabelle zu beheben:

    Ereignis-ID Nachricht Lösungsschritte
    5 Microsoft Defender for Endpoint Dienst konnte bei variabler Variable keine Verbindung mit dem Server herstellen. Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt.
    6 Microsoft Defender for Endpoint Dienst ist nicht integriert, und es wurden keine Onboardingparameter gefunden. Fehlercode: Variable Führen Sie das Onboardingskript erneut aus.
    7 Microsoft Defender for Endpoint Dienst konnte die Onboardingparameter nicht lesen. Fehlercode: Variable Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt, und führen Sie dann den gesamten Onboardingprozess erneut aus.
    9 Microsoft Defender for Endpoint Dienst konnte seinen Starttyp nicht ändern. Fehlercode: Variable Wenn das Ereignis während des Onboardings aufgetreten ist, starten Sie das Onboardingskript neu, und versuchen Sie es erneut. Weitere Informationen finden Sie unter Erneutes Ausführen des Onboardingskripts.

    Wenn das Ereignis während des Offboardings aufgetreten ist, wenden Sie sich an den Support.
    10 Microsoft Defender for Endpoint Dienst konnte die Onboardinginformationen nicht beibehalten. Fehlercode: Variable Wenn das Ereignis während des Onboardings aufgetreten ist, versuchen Sie erneut, das Onboardingskript auszuführen. Weitere Informationen finden Sie unter Erneutes Ausführen des Onboardingskripts.

    Wenn das Problem weiterhin besteht, wenden Sie sich an den Support.
    15 Microsoft Defender for Endpoint kann den Befehlskanal nicht mit url: variable starten Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt.
    17 Microsoft Defender for Endpoint Dienst konnte den Standort des Diensts "Verbundene Benutzererfahrungen und Telemetrie" nicht ändern. Fehlercode: Variable Führen Sie das Onboardingskript erneut aus. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support.
    25 Microsoft Defender for Endpoint Dienst konnte die Integritäts-status in der Registrierung nicht zurücksetzen. Fehlercode: Variable Kontaktieren Sie den Support.
    27 Fehler beim Aktivieren Microsoft Defender for Endpoint Modus in Windows Defender. Fehler beim Onboardingprozess. Fehlercode: Variable Kontaktieren Sie den Support.
    29 Fehler beim Lesen der Offboardingparameter. Fehlertyp: %1, Fehlercode: %2, Beschreibung: %3 Stellen Sie sicher, dass das Gerät über Internetzugriff verfügt, und führen Sie dann den gesamten Offboardingprozess erneut aus.
    30 Fehler beim Deaktivieren des $(build.sense.productDisplayName)-Modus in Microsoft Defender for Endpoint. Fehlercode: %1 Kontaktieren Sie den Support.
    32 Der $(build.sense.productDisplayName)-Dienst konnte nach dem Offboardingvorgang nicht anfordern, sich selbst zu beenden. Fehlercode: %1 Vergewissern Sie sich, dass der Starttyp des Diensts manuell ist, und starten Sie das Gerät neu.
    55 Fehler beim Erstellen der sicheren ETW-Autologger. Fehlercode: %1 Starten Sie das Gerät neu.
    63 Aktualisieren des Starttyps des externen Diensts. Name: %1, tatsächlicher Starttyp: %2, erwarteter Starttyp: %3, Exitcode: %4 Identifizieren Sie, was Änderungen am Starttyp des erwähnten Diensts verursacht. Wenn der Exitcode nicht 0 ist, korrigieren Sie den Starttyp manuell auf den erwarteten Starttyp.
    64 Starten des beendeten externen Diensts. Name: %1, Exitcode: %2 Wenden Sie sich an den Support, wenn das Ereignis weiterhin angezeigt wird.
    68 Der Starttyp des Diensts ist unerwartet. Dienstname: %1, tatsächlicher Starttyp: %2, erwarteter Starttyp: %3 Identifizieren Sie, was Änderungen am Starttyp verursacht. Korrektur des erwähnten Dienststarttyps.
    69 Der Dienst wird beendet. Dienstname: %1 Starten Sie den erwähnten Dienst. Wenden Sie sich an den Support, wenn das Problem weiterhin besteht.

Es gibt zusätzliche Komponenten auf dem Gerät, von denen der Microsoft Defender for Endpoint Agent abhängig ist, um ordnungsgemäß zu funktionieren. Wenn das Ereignisprotokoll des Microsoft Defender for Endpoint-Agents keine Fehler im Zusammenhang mit dem Onboarding enthält, fahren Sie mit den folgenden Schritten fort, um sicherzustellen, dass die zusätzlichen Komponenten ordnungsgemäß konfiguriert sind.

Sicherstellen, dass der Diagnosedatendienst aktiviert ist

Hinweis

In Windows 10 Build 1809 und höher verfügt der Defender für Endpunkt-EDR-Dienst nicht mehr über eine direkte Abhängigkeit vom DiagTrack-Dienst. Der EDR-Cyberbeweis kann weiterhin hochgeladen werden, wenn dieser Dienst nicht ausgeführt wird.

Wenn die Geräte nicht ordnungsgemäß berichten, müssen Sie möglicherweise überprüfen, ob der Windows-Diagnosedatendienst auf den automatischen Start festgelegt ist und auf dem Gerät ausgeführt wird. Der Dienst wurde möglicherweise durch andere Programme oder Benutzerkonfigurationsänderungen deaktiviert.

Zunächst sollten Sie überprüfen, ob der Dienst beim Starten von Windows automatisch gestartet wird. Dann sollten Sie überprüfen, ob der Dienst derzeit ausgeführt wird (und ihn starten, wenn dies nicht der Fall ist).

Stellen Sie sicher, dass der Dienst auf "Starten" festgelegt ist.

Verwenden Sie die Befehlszeile, um den Starttyp des Windows-Diagnosedatendiensts zu überprüfen:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Gerät:

    a. Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.

    b. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    sc qc diagtrack
    

    Wenn der Dienst aktiviert ist, sollte das Ergebnis wie im folgenden Screenshot aussehen:

    Das Ergebnis des Sc query-Befehls für diagtrack

    Wenn nicht START_TYPE auf AUTO_STARTfestgelegt ist, müssen Sie festlegen, dass der Dienst automatisch gestartet wird.

Verwenden Sie die Befehlszeile, um festzulegen, dass der Windows-Diagnosedatendienst automatisch gestartet wird:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Gerät:

    a. Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.

    b. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    sc config diagtrack start=auto
    
  3. Eine Erfolgsmeldung wird angezeigt. Überprüfen Sie die Änderung, indem Sie den folgenden Befehl eingeben und die EINGABETASTE drücken:

    sc qc diagtrack
    
  4. Starten Sie den Dienst. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    sc start diagtrack
    

Stellen Sie sicher, dass das Gerät über eine Internetverbindung verfügt.

Der Microsoft Defender für Endpunkt-Sensor setzt Microsoft Windows HTTP (WinHTTP) voraus, um Sensordaten zu melden und mit dem Microsoft Defender für Endpunkt-Dienst zu kommunizieren.

WinHTTP ist unabhängig von den Proxyeinstellungen für das Internetbrowsen und anderen Benutzerkontextanwendungen und muss in der Lage sein, die Proxyserver zu erkennen, die in Ihrer jeweiligen Umgebung verfügbar sind.

Um sicherzustellen, dass der Sensor über Dienstkonnektivität verfügt, führen Sie die schritte aus, die im Thema Überprüfen der Clientkonnektivität mit Microsoft Defender for Endpoint Dienst-URLs beschrieben werden.

Wenn die Überprüfung fehlschlägt und Ihre Umgebung einen Proxy verwendet, um eine Verbindung mit dem Internet herzustellen, führen Sie die schritte aus, die im Thema Konfigurieren von Proxy- und Internetkonnektivitätseinstellungen beschrieben werden.

Sicherstellen, dass Microsoft Defender Antivirus nicht durch eine Richtlinie deaktiviert ist

Wichtig

Folgendes gilt nur für Geräte, die noch nicht das Update vom August 2020 (Version 4.18.2007.8) auf Microsoft Defender Antivirus erhalten haben.

Das Update stellt sicher, dass Microsoft Defender Antivirus auf Clientgeräten nicht über die Systemrichtlinie deaktiviert werden kann.

Problem: Der Microsoft Defender for Endpoint-Dienst wird nach dem Onboarding nicht gestartet.

Symptom: Das Onboarding wurde erfolgreich abgeschlossen, aber beim Starten des Diensts wird Fehler 577 oder Fehler 1058 angezeigt.

Lösung: Wenn auf Ihren Geräten ein Antischadsoftwareclient eines Drittanbieters ausgeführt wird, muss für den Microsoft Defender for Endpoint-Agent der ELAM-Treiber (Early Launch Antimalware) aktiviert sein. Sie müssen sicherstellen, dass sie nicht durch eine Systemrichtlinie deaktiviert wird.

  • Abhängig vom Tool, das Sie zum Implementieren von Richtlinien verwenden, müssen Sie überprüfen, ob die folgenden Windows Defender-Richtlinien gelöscht werden:

    • DisableAntiSpyware
    • DisableAntiVirus

    In Gruppenrichtlinie dürfen beispielsweise keine Einträge wie die folgenden Werte vorhanden sein:

    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiVirus"/></Key>

Wichtig

Die disableAntiSpyware Einstellung wird ab dem Update vom August 2020 (Version 4.18.2007.8) auf Microsoft Defender Antivirus auf allen Windows 10 Geräten ignoriert.

  • Führen Sie nach dem Löschen der Richtlinie die Onboardingschritte erneut aus.

  • Sie können auch die vorherigen Registrierungsschlüsselwerte überprüfen, um zu überprüfen, ob die Richtlinie deaktiviert ist, indem Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defenderöffnen.

    Der Registrierungsschlüssel für Microsoft Defender Antivirus

    Hinweis

    Alle Windows Defender-Dienste (wdboot, , wdfilterwdnisdrv, wdnissvcund windefend) sollten sich im Standardzustand befinden. Das Ändern des Startvorgangs dieser Dienste wird nicht unterstützt und kann dazu führen, dass Sie ihr System umgestalten müssen. Beispiel für Standardkonfigurationen für WdBoot und WdFilter:

    • <Key Path="SYSTEM\CurrentControlSet\Services\WdBoot"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>
    • <Key Path="SYSTEM\CurrentControlSet\Services\WdFilter"><KeyValue Value="0" ValueKind="DWord" Name="Start"/></Key>

    Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, werden diese Treiber auf manuell (0) festgelegt.

Behandeln von Onboarding-Problemen

Hinweis

Der folgende Leitfaden zur Problembehandlung gilt nur für Windows Server 2016 und frühere Versionen von Windows Server.

Wenn beim Onboarding eines Servers Probleme auftreten, führen Sie die folgenden Überprüfungsschritte aus, um mögliche Probleme zu beheben.

Möglicherweise müssen Sie auch Folgendes überprüfen:

  • Überprüfen Sie, ob auf der Registerkarte Prozesse im Task-Manager ein Microsoft Defender for Endpoint Dienst ausgeführt wird. Zum Beispiel:

    Die Prozessansicht mit ausgeführtem Microsoft Defender for Endpoint-Dienst

  • Überprüfen Sie Ereignisanzeige>Applications and Services Logs>Operation Manager, um festzustellen, ob Fehler vorliegen.

  • Überprüfen Sie unter Dienste, ob der Microsoft Monitoring Agent auf dem Server ausgeführt wird. Beispiel:

    Die Dienstleistungen

  • Überprüfen Sie in Microsoft Monitoring Agent>Azure Log Analytics (OMS) die Arbeitsbereiche, und überprüfen Sie, ob die status ausgeführt wird.

    Microsoft Monitoring Agent-Eigenschaften

  • Überprüfen Sie, ob Geräte in der Liste Geräte im Portal angezeigt werden.

Bestätigen des Onboardings neu erstellter Geräte

Es kann Vorkommen geben, in der das Onboarding auf einem neu erstellten Gerät bereitgestellt, aber noch nicht abgeschlossen ist.

Die folgenden Schritte enthalten Anleitungen für das folgende Szenario:

  • Das Onboardingpaket wird auf neu erstellten Geräten bereitgestellt.
  • Der Sensor wird nicht gestartet, da die Out-of-Box-Benutzeroberfläche (OOBE) oder die erste Benutzeranmeldung nicht abgeschlossen wurde
  • Das Gerät wird ausgeschaltet oder neu gestartet, bevor der Endbenutzer eine erste Anmeldung ausführt.
  • In diesem Szenario wird der SENSE-Dienst nicht automatisch gestartet, obwohl das Onboardingpaket bereitgestellt wurde.

Hinweis

Die Benutzeranmeldung nach OOBE ist nicht mehr erforderlich, damit der SENSE-Dienst mit den folgenden oder neueren Windows-Versionen gestartet werden kann: Windows 10, Version 1809 oder Windows Server 2019 oder Windows Server 2022 mit Updaterollup vom 22. April 2021. Windows 10 Version 1909 mit Updaterollup vom April 2021. Windows 10, Version 2004/20H2 mit Updaterollup vom 28. April 2021.

Hinweis

Die folgenden Schritte sind nur bei Verwendung von Microsoft Endpoint Configuration Manager relevant. Weitere Informationen zum Onboarding mit Microsoft Endpoint Configuration Manager finden Sie unter Microsoft Defender for Endpoint.

  1. Erstellen Sie eine Anwendung in Microsoft Endpoint Configuration Manager.

    Microsoft Endpoint Configuration Manager configuration-1

  2. Wählen Sie Die Anwendungsinformationen manuell angeben aus.

    Microsoft Endpoint Configuration Manager configuration-2

  3. Geben Sie Informationen zur Anwendung an, und wählen Sie dann Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-3

  4. Geben Sie Informationen zum Softwarecenter an, und wählen Sie dann Weiter aus.

    Microsoft Endpoint Configuration Manager Configuration-4

  5. Wählen Sie unter Bereitstellungstypen die Option Hinzufügen aus.

    Microsoft Endpoint Configuration Manager configuration-5

  6. Wählen Sie Die Informationen zum Bereitstellungstyp manuell angeben und dann Weiter aus.

    Microsoft Endpoint Configuration Manager Configuration-6

  7. Geben Sie Informationen zum Bereitstellungstyp an, und wählen Sie dann Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-7

  8. GebenSie unter Inhaltsinstallationsprogramm> den Folgenden Befehl an: net start sense.

    Microsoft Endpoint Configuration Manager Configuration-8

  9. Wählen Sie unter Erkennungsmethodedie Option Regeln konfigurieren aus, um das Vorhandensein dieses Bereitstellungstyps zu erkennen, und wählen Sie dann Klausel hinzufügen aus.

    Microsoft Endpoint Configuration Manager configuration-9

  10. Geben Sie die folgenden Details zur Erkennungsregel an, und wählen Sie dann OK aus:

    Microsoft Endpoint Configuration Manager configuration-10

  11. Wählen Sie unter Erkennungsmethodedie Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-11

  12. Geben Sie unter Benutzerfreundlichkeit die folgenden Informationen an, und wählen Sie dann Weiter aus:

    Microsoft Endpoint Configuration Manager configuration-12

  13. Wählen Sie unter Anforderungen die Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-13

  14. Wählen Sie unter Abhängigkeiten die Option Weiter aus.

    Microsoft Endpoint Configuration Manager Configuration-14

  15. Wählen Sie unter Zusammenfassung die Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-15

  16. Wählen Sie unter Vervollständigungdie Option Schließen aus.

    Microsoft Endpoint Configuration Manager configuration-16

  17. Wählen Sie unter Bereitstellungstypen die Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-17

  18. Wählen Sie unter Zusammenfassung die Option Weiter aus.

    Microsoft Endpoint Configuration Manager Configuration-18

    Die status wird dann angezeigt: Die Microsoft Endpoint Configuration Manager configuration-19

  19. Wählen Sie unter Vervollständigungdie Option Schließen aus.

    Microsoft Endpoint Configuration Manager configuration-20

  20. Sie können die Anwendung jetzt bereitstellen, indem Sie mit der rechten Maustaste auf die App klicken und Bereitstellen auswählen.

    Microsoft Endpoint Configuration Manager Configuration-21

  21. Wählen Sie unter Allgemeindie Option Inhalt für Abhängigkeiten automatisch verteilen und Durchsuchen aus.

    Microsoft Endpoint Configuration Manager configuration-22

  22. Wählen Sie unter Inhalt die Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-23

  23. Wählen Sie unter Bereitstellungseinstellungen die Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-24

  24. Wählen Sie unter Planungdie Option So bald wie möglich nach der verfügbaren Zeit und dann Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-25

  25. Wählen Sie unter Benutzeroberfläche die Option Commit für Änderungen am Stichtag oder während eines Wartungsfensters (neustarts erforderlich) aus, und wählen Sie dann Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-26

  26. Wählen Sie unter Warnungendie Option Weiter aus.

    Microsoft Endpoint Configuration Manager configuration-27

  27. Wählen Sie unter Zusammenfassung die Option Weiter aus.

    Microsoft Endpoint Configuration Manager Configuration-28

    Die status wird dann angezeigt: Microsoft Endpoint Configuration Manager configuration-29

  28. Wählen Sie unter Vervollständigungdie Option Schließen aus.

    Microsoft Endpoint Configuration Manager configuration-30

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.