بدء استخدام وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية

ينطبق على:

• مشكلات الأداء في Microsoft Defender لنقطة النهاية
• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2

يمكن وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية المسؤولين من استكشاف أخطاء ميزات مكافحة الفيروسات Microsoft Defender المختلفة وإصلاحها، حتى إذا كانت الأجهزة تدار بواسطة النهج التنظيمية. على سبيل المثال، إذا تم تمكين الحماية من العبث ، فلا يمكن تعديل إعدادات معينة أو إيقاف تشغيلها، ولكن يمكنك استخدام وضع استكشاف الأخطاء وإصلاحها على جهاز لتحرير هذه الإعدادات مؤقتا.

يتم تعطيل وضع استكشاف الأخطاء وإصلاحها بشكل افتراضي، ويتطلب منك تشغيله لجهاز (و/أو مجموعة من الأجهزة) لفترة محدودة. يعد وضع استكشاف الأخطاء وإصلاحها حصريا ميزة للمؤسسة فقط، ويتطلب الوصول Microsoft Defender المدخل.

توضح هذه المقالة وضع استكشاف الأخطاء وإصلاحها لأجهزة Windows. للحصول على معلومات حول وضع استكشاف الأخطاء وإصلاحها على Mac، راجع وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية على macOS.

تلميح

• أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell على أجهزة Windows.
• للتحقق من حالة الحماية من العبث، يمكنك استخدام Get-MpComputerStatus PowerShell cmdlet. في قائمة النتائج، ابحث عن IsTamperProtected أو RealTimeProtectionEnabled. (تعني القيمة true تمكين الحماية من العبث.)
• بالنسبة لأجهزة Mac، راجع وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية على macOS.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell أو على أنظمة تشغيل العميل، تطبيق مركز الأمان لتعطيل الحماية من العبث مؤقتا على جهازك وإجراء تغييرات التكوين الضرورية.

يمكنك استخدام وضع استكشاف الأخطاء وإصلاحها لاستكشاف أخطاء توافق التطبيق مع برنامج الحماية من الفيروسات Microsoft Defender وإصلاحها، مثل عند حدوث إيجابيات خاطئة مع كتل التطبيق.

باستخدام الأذونات المناسبة، يمكن للمسؤولين المحليين تغيير التكوين على الأجهزة الفردية التي يتم تأمينها عادة بواسطة النهج. يمكن أن يكون وجود جهاز في وضع استكشاف الأخطاء وإصلاحها مفيدا عند تشخيص أداء برنامج الحماية من الفيروسات Microsoft Defender وسيناريوهات التوافق. لا يمكن للمسؤولين المحليين إيقاف تشغيل برنامج الحماية من الفيروسات Microsoft Defender أو إلغاء تثبيته. يمكن للمسؤولين المحليين تكوين جميع إعدادات الأمان الأخرى في مجموعة مكافحة الفيروسات Microsoft Defender (على سبيل المثال، الحماية السحابية والحماية من العبث).

يجب أن يكون لدى المسؤولين أذونات "إدارة إعدادات الأمان" لتشغيل وضع استكشاف الأخطاء وإصلاحها.

يجمع Defender لنقطة النهاية السجلات وبيانات التحقيق طوال عملية استكشاف الأخطاء وإصلاحها.

• يتم التقاط لقطة قبل MpPreference بدء وضع استكشاف الأخطاء وإصلاحها.
• يتم التقاط لقطة ثانية قبل انتهاء صلاحية وضع استكشاف الأخطاء وإصلاحها.
• يتم أيضا جمع السجلات التشغيلية من أثناء وضع استكشاف الأخطاء وإصلاحها.
• يتم تجميع السجلات واللقطات وهي متاحة للمسؤول لتجميعها باستخدام ميزة تجميع حزمة التحقيق على صفحة الجهاز. لا تقوم Microsoft بإزالة هذه البيانات من الجهاز حتى يقوم المسؤول بجمعها.

يمكن للمسؤولين أيضا مراجعة التغييرات في الإعدادات التي تحدث أثناء وضع استكشاف الأخطاء وإصلاحها في عارض الأحداث على الجهاز نفسه.

• افتح عارض الأحداث، ثم قم بتوسيع سجلات> التطبيقات والخدماتMicrosoft>Windows>Windows Defender، ثم حدد تشغيلي.
• يمكن أن تتضمن الأحداث المحتملة أحداثا ذات معرفات 5000 و5001 و5004 و5007 وغيرها. راجع المزيد من التفاصيل في مراجعة سجلات الأحداث ورموز الأخطاء لاستكشاف المشكلات المتعلقة Microsoft Defender مكافحة الفيروسات وإصلاحها.

يتم إيقاف تشغيل وضع استكشاف الأخطاء وإصلاحها تلقائيا بعد الوصول إلى وقت انتهاء صلاحيته (يستمر لمدة 4 ساعات). عند انتهاء صلاحية وضع استكشاف الأخطاء وإصلاحها، تصبح جميع التكوينات المدارة بواسطة النهج للقراءة فقط مرة أخرى وترجع إلى كيفية تكوين الجهاز قبل تمكين وضع استكشاف الأخطاء وإصلاحها.

قد يستغرق الأمر ما يصل إلى 15 دقيقة من وقت إرسال الأمر من Microsoft Defender XDR إلى وقت تنشيطه على الجهاز.

يتم إرسال الإعلامات إلى المستخدم عند بدء وضع استكشاف الأخطاء وإصلاحها وعند انتهاء وضع استكشاف الأخطاء وإصلاحها. يتم أيضا إرسال تحذير للإشارة إلى أن وضع استكشاف الأخطاء وإصلاحها سينتهي قريبا. يتم أيضا تحديد بداية وضع استكشاف الأخطاء وإصلاحها ونهايتهم في مدخل Microsoft Defender، في المخطط الزمني للجهاز على صفحة الجهاز.

يمكنك الاستعلام عن جميع أحداث وضع استكشاف الأخطاء وإصلاحها في التتبع المتقدم.

ملاحظة

يتم تطبيق تغييرات إدارة النهج على الجهاز عندما يكون نشطا في وضع استكشاف الأخطاء وإصلاحها. ومع ذلك، لا تسري التغييرات حتى تنتهي صلاحية وضع استكشاف الأخطاء وإصلاحها. بالإضافة إلى ذلك، لا يتم تطبيق تحديثات نظام الحماية من الفيروسات Microsoft Defender أثناء وضع استكشاف الأخطاء وإصلاحها. يتم تطبيق تحديثات النظام الأساسي عند انتهاء وضع استكشاف الأخطاء وإصلاحها بتحديث Windows.

المتطلبات الأساسية

• يجب أن تعمل الأجهزة بنظام تشغيل مدعوم.

  • Windows 10 (الإصدار 19044.1618 أو أحدث) أو Windows 11 أو Windows Server 2019 أو Windows Server 2022 أو Windows Server 2025.

    الفصل الدراسي/Redstone	إصدار نظام التشغيل	Release
    21H2/SV1	22000.593 أو أحدث	KB5011563: كتالوج Microsoft Update
    20H1/20H2/21H1	19042.1620 أو أحدث 19041.1620 أو أحدث 19043.1620 أو أحدث	KB5011543: كتالوج Microsoft Update
    Windows Server 2022 أو أحدث	20348.617 أو أحدث	KB5011558: كتالوج Microsoft Update
    Windows Server 2019 (RS5)	17763.2746 أو أحدث	KB5011551: كتالوج Microsoft Update

  • Windows Server 2012 R2 Windows Server 2016 باستخدام الحل الموحد الحديث، مع تحديث جميع المكونات التالية:

    مكون	الإصدار	Release
    إصدار منطقي	10.8049.22439.1084 أو أحدث	KB5005292: كتالوج Microsoft Update
    برنامج الحماية من الفيروسات من Microsoft Defender	النظام الأساسي: 4.18.2207.7 أو أحدث	KB4052623: كتالوج Microsoft Update
    برنامج الحماية من الفيروسات من Microsoft Defender	المحرك: 1.1.19500.2 أو أحدث	KB2267602: كتالوج Microsoft Update

• يجب أن يكون Defender لنقطة النهاية مسجلا من قبل المستأجر ونشطا على الجهاز.

• يجب أن تعمل الأجهزة بنشاط Microsoft Defender مكافحة الفيروسات، الإصدار 4.18.2203 or later.

• بالنسبة لأجهزة macOS، راجع المتطلبات الأساسية لوضع استكشاف الأخطاء وإصلاحها على Mac.

تمكين وضع استكشاف الأخطاء وإصلاحها

1. انتقل إلى مدخل Microsoft Defender، وسجل الدخول.

2. انتقل إلى صفحة الجهاز/صفحة الجهاز للجهاز الذي ترغب في تشغيل وضع استكشاف الأخطاء وإصلاحها. حدد تشغيل وضع استكشاف الأخطاء وإصلاحها. يجب أن يكون لديك أذونات "إدارة إعدادات الأمان في مركز الأمان" Microsoft Defender لنقطة النهاية.

   

   ملاحظة

   يتوفر خيار تشغيل وضع استكشاف الأخطاء وإصلاحها على جميع الأجهزة، حتى إذا كان الجهاز لا يفي بالمتطلبات الأساسية لوضع استكشاف الأخطاء وإصلاحها.

3. تأكد من رغبتك في تشغيل وضع استكشاف الأخطاء وإصلاحها للجهاز.

   

4. تظهر صفحة الجهاز أن الجهاز الآن في وضع استكشاف الأخطاء وإصلاحها.

   

استعلامات التتبع المتقدمة

فيما يلي بعض استعلامات التتبع المتقدمة التي تم إنشاؤها مسبقا لمنحك رؤية في أحداث استكشاف الأخطاء وإصلاحها التي تحدث في بيئتك. يمكنك أيضا استخدام هذه الاستعلامات لإنشاء قواعد الكشف لإنشاء تنبيهات عندما تكون الأجهزة في وضع استكشاف الأخطاء وإصلاحها.

الحصول على أحداث استكشاف الأخطاء وإصلاحها لجهاز معين

ابحث عن طريق deviceId أو deviceName عن طريق التعليق على الأسطر المعنية.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

الأجهزة الموجودة حاليا في وضع استكشاف الأخطاء وإصلاحها

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

عدد مثيلات وضع استكشاف الأخطاء وإصلاحها حسب الجهاز

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

العدد الإجمالي

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

المقالات ذات الصلة

• وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية على macOS
• محلل الأداء لبرنامج الحماية من الفيروسات Microsoft Defender.
• سيناريوهات وضع استكشاف الأخطاء وإصلاحها
• حماية إعدادات الأمان باستخدام الحماية من العبث

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.