Как исправить ошибки MsSense.exe в Defender for Endpoint

MsSense.exe — защищённый процесс Microsoft Defender for Endpoint. Он может потреблять высокий CPU во время сканирования, блокировать файлы и иногда падать с ошибкой 0xc0000005. В коротком плане: добавьте исключения для папок, обновите ОС и определения, настройте автоматизацию исключений в Microsoft Defender XDR и следуйте роли-базированному чеклисту для безопасного устранения проблемы.

MSSense.exe — это исполняемый файл Microsoft Defender for Endpoint, корпоративного средства безопасности от Microsoft. Сервисное имя процесса — SENSE. Когда запускается сеанс Live Response в Microsoft 365 Defender, параллельно стартует SenseIR.exe.

Что это значит и коротко о процессе

MsSense.exe — защищённый системный процесс, который выполняет обнаружение угроз и отвечает за функции контроля доступа к файлам. Защищённый означает, что его нельзя просто завершить через Диспетчер задач — это требуется для сохранения целостности защиты.

Краткое определение: защищённый процесс — системный компонент с повышенными правами и ограничениями по завершению из интерфейса пользователя.

Частые симптомы проблем с MsSense.exe

• Постоянно высокий % использования CPU или памяти.
• Процесс периодически падает с кодом ошибки 0xc0000005.
• Defender блокирует или «замораживает» файлы, создавая RWD-блокировки (read-write-delete) на короткое время.

1. Устранение высокой загрузки CPU и памяти MsSense.exe

Рекомендуемая последовательность действий для администратора и продвинутого пользователя:

1. Нажмите кнопку Пуск и откройте Безопасность Windows (Windows Security).
2. Выберите раздел «Защита от вирусов и угроз».
3. Нажмите «Управление параметрами» в настройках «Защита от вирусов и угроз».
   
4. Прокрутите до раздела «Исключения» и откройте «Добавление или удаление исключений».
5. Нажмите «Добавить исключение» и выберите тип «Папка».
   
6. Укажите путь: C:\Program Files\Windows Defender.
7. Подтвердите, выбрав «Исключить эту папку».

Важно: исключать следует только те папки и приложения, которым вы доверяете и которые являются причинами ложных срабатываний. Исключение системных папок снижает уровень проверки для указанных объектов.

Почему это помогает

Высокая загрузка чаще всего бывает нормальной во время полного или фоновоого сканирования: процесс может занимать до ~50% CPU на короткий период. Исключения уменьшают объём сканируемых объектов и снижают нагрузку.

Дополнительные меры

• Перенастройте расписание сканирования на периоды простоя (ночь, служебные окна).
• Проверьте другие связанные процессы, например MSMpEng.exe — он тоже участвует в сканировании и может усиливать нагрузку.

Примечание: Вы не сможете просто завершить MsSense.exe в Диспетчере задач — это защищённый процесс.

2. Исправление падений MsSense.exe с кодом 0xc0000005

Симптом: MSSense.exe аварийно завершает работу каждые 5–10 минут с ошибкой 0xc0000005.

Шаги решения

1. Установите все последние обновления ОС через Windows Update.
2. Если проблема известна для вашей версии, загрузите и установите соответствующее обновление определений из каталога обновлений Microsoft, например KB5005292 (если применимо к вашей системе).
3. Перезагрузите машину и проверьте стабильность.

Альтернатива

Если обновления не помогают, временно переключитесь на ручную проверку и соберите дампы при падении для дальнейшего анализа службой поддержки Microsoft.

Смежные материалы

Если нужно, ознакомьтесь с руководством по ошибке 0xc0000005 для Windows 11, чтобы узнать возможные причины, не связанные с Defender.

3. Устранение блокировок файлов Defender for Endpoint

Если приложение регулярно получает ошибки доступа к файлам из-за коротких блокировок RWD, выполните следующие действия в Microsoft Defender XDR (ранее Microsoft 365 Defender):

1. Войдите в Microsoft Defender XDR под учётной записью с ролью Security administrator или Global administrator.
2. В навигации выберите Settings > Endpoints > Rules > Automation folder exclusions.
   
3. Нажмите «Новая настройка исключения папки» и укажите имя папки, расширения, имена файлов и описание для тех файлов, которые блокируются.
4. Сохраните изменения и перезагрузите конечную точку. Проверьте, повторяется ли блокировка.

Объяснение

При загрузке файлов приложение может столкнуться с кратковременной блокировкой со стороны MsSense.exe. Добавление исключения для конкретной папки решает эту проблему без полного отключения защиты.

Когда предложенные решения не помогут

Контрольный список для продвинутой диагностики:

• Проверить журналы событий Windows и Microsoft Defender (Event Viewer и централизованные логи XDR).
• Собрать дампы процесса при падении и отправить в службу поддержки Microsoft.
• Исключить влияние стороннего антивируса или конфликтующих агентских модулей управления ПО на конечной точке.

Контрпример: если высокая загрузка наблюдается только при запуске ресурсоёмкого приложения, вероятно, причина не в Defender, а в самом приложении или драйвере.

Роль‑ориентированные чеклисты

Администратор безопасности

• Убедиться, что установлены последние обновления Windows и определений.
• Настроить исключения только для доверенных путей.
• Настроить расписание проверок и политики XDR.

Helpdesk / инженер поддержки

• Выполнить шаги по исключениям на проблемной машине.
• Собрать логи и сделать снимки нагрузки CPU/памяти.
• Если нужно, эскалировать с дампом памяти.

Обычный пользователь

• Перезапустить компьютер при появлении ошибок.
• Передать информацию и время возникновения проблемы в службу поддержки.

Мини‑методология диагностики (шаблон)

1. Подтвердить симптомы и собрать логи.
2. Проверить обновления ОС и определений.
3. Применить исключения на контрольной машине.
4. Оценить изменение поведения в течение 24–72 часов.
5. Эскалировать при повторении с дампами и журналами.

Быстрая справка — факты и рекомендации

• Сервисное имя: SENSE.
• Дополнительный процесс при Live Response: SenseIR.exe.
• Можно ожидать до 50% CPU во время полного сканирования.
• Не завершайте процесс через Диспетчер задач — это по дизайну защищённый процесс.

Модель принятия решения

• Симптом: высокий CPU в момент фонового сканирования → перенести сканирование на время простоя, добавить исключения.
• Симптом: частые падения с 0xc0000005 → обновления ОС и определений, собрать дампы.
• Симптом: блокировки файлов при загрузке → добавить исключения в XDR Automation folder exclusions.

flowchart TD
  A[Проблема с MsSense.exe] --> B{Высокая загрузка?}
  B -- Да --> C[Добавить исключения, перенастроить расписание]
  B -- Нет --> D{Падает с 0xc0000005?}
  D -- Да --> E[Установить обновления ОС и определения]
  D -- Нет --> F{Блокировка файлов?}
  F -- Да --> G[Добавить папку в исключения XDR]
  F -- Нет --> H[Собрать логи и дампы, эскалировать]

Частые вопросы

Каково сервисное имя MsSense.exe?

Сервисное имя — SENSE. При работе Live Response запускается связанный процесс SenseIR.exe.

Можно ли завершить MsSense.exe через Диспетчер задач?

Нет. Это защищённый процесс, и его завершение заблокировано на уровне системы для предотвращения ослабления защиты.

Критерии приёмки

• CPU и использование памяти снизились до нормального уровня в период покоя.
• Ошибки 0xc0000005 более не появляются в течение 72 часов после обновлений.
• Файлы больше не блокируются при загрузке после добавления исключений.

Итог

MsSense.exe — важный компонент Defender for Endpoint. Большинство проблем решается обновлениями, правильными исключениями и перенастройкой расписания сканирования. Для сложных случаев собирайте логи и дампы для анализа и эскалации.

Если вы применили шаги из этого руководства, оставьте комментарий с описанием результата и окружения — это поможет другим пользователям и инженерам поддержки.