server2016的defender注册表无法修改

全部回复

• 

  

  0

  登录进行投票

  您好，

  感谢您的发帖。

  1.请检查该administrator账户是否是管理员组的成员。如果是服务器是DC的话，请检查该账户是否是Domain Admins组的成员。

  

  2.请问您的服务是否有注册过呢？请使用命令sc create注册服务。

  https://www.cnblogs.com/yepei/p/6218887.html

  请注意：由于该网站不是由Microsoft托管，因此链接可能会更改，恕不另行通知。Microsoft不保证此信息的准确性。

  希望以上信息有所帮助。

  Best regards,

  Kallen

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2018年12月6日 16:44

  回复

  |

  引用
• 

  

  0

  登录进行投票

  原来加过域，是管理员，现在是退域状态，本地administrator账户

  2.

  我用以下命令提示错误

  C:\Users\Administrator>sc creat windows defender service binpath= "C:\Program Files\Windows Defender\MsMpEng.exe" start= auto
  
  错误:  未知命令

  请问这个creator命令该怎么写

  sc query命令查不到windefender服务，我在另外一台相同服务器下查询到服务状态如下

  SERVICE_NAME: WinDefend
  DISPLAY_NAME: Windows Defender Service
          TYPE               : 10  WIN32_OWN_PROCESS  
          STATE              : 4  RUNNING 
                                  (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
          WIN32_EXIT_CODE    : 0  (0x0)
          SERVICE_EXIT_CODE  : 0  (0x0)
          CHECKPOINT         : 0x0
          WAIT_HINT          : 0x0

  这个服务的路径是"C:\Program Files\Windows Defender\MsMpEng.exe"

  另外一台服务正常的路径是""C:\ProgramData\Microsoft\Windows Defender\platform\4.18.1806.18062-0\MsMpEng.exe""
  

  两个的服务路径怎么会不一样,我看了其他服务器，似乎每次更新，这个路径就会更改，因为platform这个文件夹下有很多版本的defender，这个怎么让他自动更新路径？

  我估计把这个服务的路径改到platform下就应该可以了，那么修改路径的命令是什么，怎么写？

  
  

  刚才发现这个错误的上面，没有platform文件夹，我想起来是因为当初执行过一次就地升级，都是server2016，但是升级到的这个是2018年3月发布的更新版本，应该就是这个导致的，估计是bug

  那么现在该怎么彻底修复defender

  • 已编辑 郗混沌 2018年12月10日 1:43

  2018年12月10日 1:20

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  感谢您的时间。

  对于2018年3月的更新版本，经过大量的查询，目前我们还没发现有无法启动Defender服务的已知问题。

  了解到目前的Server 2016的版本是14393.2485，请先尝试升级系统到最新版本，在空闲时间重启计算机。然后以本地管理员登录计算机，看是否能启动defender服务，如果问题依旧存在的话，请帮忙抓取process monitor的日志，参考步骤如下，然后上传日志至网盘分享链接在此。

  -----------------------------------------

  1. 下载Process Monitor tool. 

  https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

  2. 解压Process Monitor tool.         
  3. 打开process monitor, 按 “Ctrl+E” 暂停一下, “Ctrl+X” 清理一下当前信息.  
  4. 再次按 “Ctrl+E” 启动process monitor, 重现之前的问题. 
  5. 出现问题后, 按 “Ctrl+E” 暂停, 按 (Ctrl+S) 保存当前的日志.  
  6. 上传日志. 

  感谢您的理解和支持。

  Best regards,

  Kallen

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2018年12月12日 9:16

  回复

  |

  引用
• 

  

  0

  登录进行投票

  收集了两份日志，第二份是打到最新补丁后的，现象基本一致，也有服务启动后自动停止的

  日志在百度网盘，帮忙看看，谢谢

  链接：https://pan.baidu.com/s/1KFWdPkBGdAaMYeT_BMi5Vw
  提取码：60n6
  

  2018年12月13日 9:57

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  从Process Monitor的日志中可发现大量MsMpEng.exe相关的Name Not Found的记录。

  经过大量查询，发现对于Server 2016版本上的Windows Defender反恶意软件平台有一个更新，这个更新会更改Windows Defender 防病毒服务的文件位置：

  ------------------

  Windows Defender 反恶意软件平台的更新

  https://support.microsoft.com/zh-cn/help/4052623/update-for-windows-defender-antimalware-platform

  
  

  基于现在情况，请您打开目前出问题的服务器上的设置\安全和更新，查看现在系统上的Windows Defender的版本。我在正常机器上查看版本如下：

  
  

  Best regards,

  Kallen

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2018年12月14日 10:05

  回复

  |

  引用
• 

  

  0

  登录进行投票

  

  

  版本都是无，在defender上面点关于 提示找不到文件

  这些版本应该都显示不出来，因为那个platform文件夹我都没有，他没办法去读取

  

  这个位置也没有

  此更新回滚到以前的版本，请运行以下命令：
  
  “%programdata%\microsoft\windows defender\platform\<version>\mpcmdrun.exe” -revertplatform
  若要回滚到收件箱阵营版本此更新，请运行以下命令：
  
  "%programfiles%\Windows Defender\MpCmdRun.exe" -resetplatform

  
  

  按照第一个方法肯定是不行，因为没有这个路径

  第二个提示

  Microsoft Windows [版本 10.0.14393]
  (c) 2016 Microsoft Corporation。保留所有权利。
  
  C:\Users\Administrator>"%programfiles%\Windows Defender\MpCmdRun.exe" -resetplatform
  CmdTool: Failed with hr = 0x80070667. Check C:\Users\ADMINI~1\AppData\Local\Temp\MpCmdRun.log for more information
  CmdTool: Invalid command line argument
  
  C:\Users\Administrator>

  
  

  估计也是找不到路径，

  MpCmdRun.log文件里是

  -------------------------------------------------------------------------------------
  MpCmdRun: Command Line: "C:\Program Files\Windows Defender\MpCmdRun.exe"  -resetplatform
   Start Time: ‎周一 ‎12月 ‎17 ‎2018 08:21:16
  
  MpCmdRun: End Time: ‎周一 ‎12月 ‎17 ‎2018 08:21:16
  -------------------------------------------------------------------------------------

  
  

  4052623这个补丁为什么我找不到

  

  再打累积补丁的方法肯定不行，因为我刚打到最新的补丁14393.2665

  接下来还有什么办法吗

  
  

  • 已编辑 郗混沌 2018年12月17日 0:32

  2018年12月17日 0:26

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  很感谢您提供的信息。

  查看这篇文档中的此更新获取方式是Microsoft更新和WSUS，这个更新在Catalog中确实无法获取。

  基于现在的情况，建议启动系统进入WinRE或WinPE模式，在这个环境下替换注册表HKLM\SOFTWARE\Microsoft\Windows Defender（从同等的正常运行的机器上拷贝该注册表）。

  感谢您的时间。

  Best regards,

  Kallen

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  • 已标记为答案 郗混沌 2018年12月19日 9:38

  2018年12月17日 9:59

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  只需检查以查看所提供的信息是否有用。如果您需要进一步的帮助，请告诉我们。

  Best Regards,

  Kallen

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2018年12月19日 3:09

  回复

  |

  引用
• 

  

  0

  登录进行投票

  晚上测试后，把注册表替换，并且把c盘所有defender的文件替换以后，终于正常了

  2018年12月19日 9:38

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  感谢您的反馈。

  如果您有任何问题，请随时在论坛发帖联系我们。

  Best regards,

  Kallen

  ---

  Please remember to mark the replies as answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

  2018年12月19日 9:46

  回复

  |

  引用