بدء استخدام وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية

ينطبق على:

• مشكلات الأداء في Microsoft Defender لنقطة النهاية
• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يمكن وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية المسؤولين من استكشاف أخطاء ميزات مكافحة الفيروسات Microsoft Defender المختلفة وإصلاحها، حتى إذا كانت الأجهزة تدار بواسطة النهج التنظيمية. على سبيل المثال، إذا تم تمكين الحماية من العبث ، فلا يمكن تعديل إعدادات معينة أو إيقاف تشغيلها، ولكن يمكنك استخدام وضع استكشاف الأخطاء وإصلاحها على جهاز لتحرير هذه الإعدادات مؤقتا.

يتم تعطيل وضع استكشاف الأخطاء وإصلاحها بشكل افتراضي، ويتطلب منك تشغيله لجهاز (و/أو مجموعة من الأجهزة) لفترة محدودة. يعد وضع استكشاف الأخطاء وإصلاحها حصريا ميزة خاصة بالمؤسسة فقط، ويتطلب Microsoft Defender الوصول إلى المدخل.

تلميح

• أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell على أجهزة Windows.
• للتحقق من حالة الحماية من العبث، يمكنك استخدام Get-MpComputerStatus PowerShell cmdlet. في قائمة النتائج، ابحث عن IsTamperProtected أو RealTimeProtectionEnabled. (تعني القيمة true تمكين الحماية من العبث.) .

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell أو على أنظمة تشغيل العميل، تطبيق مركز الأمان لتعطيل الحماية من العبث مؤقتا على جهازك وإجراء تغييرات التكوين الضرورية.

• استخدم وضع استكشاف الأخطاء وإصلاحها لتعطيل/تغيير إعداد الحماية من العبث لتنفيذ:

  • Microsoft Defender مكافحة الفيروسات الوظيفية استكشاف الأخطاء وإصلاحها /توافق التطبيق (كتل التطبيق الإيجابية الخاطئة).

• يمكن للمسؤولين المحليين، الذين لديهم الأذونات المناسبة، تغيير التكوينات على نقاط النهاية الفردية التي يتم تأمينها عادة بواسطة النهج. يمكن أن يكون وجود جهاز في وضع استكشاف الأخطاء وإصلاحها مفيدا عند تشخيص أداء برنامج الحماية من الفيروسات Microsoft Defender وسيناريوهات التوافق.

  • لا يمكن للمسؤولين المحليين إيقاف تشغيل برنامج الحماية من الفيروسات Microsoft Defender أو إلغاء تثبيته.

  • يمكن للمسؤولين المحليين تكوين جميع إعدادات الأمان الأخرى في مجموعة Microsoft Defender Antivirus (على سبيل المثال، الحماية السحابية والحماية من العبث).

• يمكن للمسؤولين الذين لديهم أذونات "إدارة إعدادات الأمان" الوصول لتشغيل وضع استكشاف الأخطاء وإصلاحها.

• يجمع Microsoft Defender لنقطة النهاية السجلات وبيانات التحقيق طوال عملية استكشاف الأخطاء وإصلاحها.

  • يتم التقاط لقطة قبل MpPreference بدء وضع استكشاف الأخطاء وإصلاحها.

  • يتم التقاط لقطة ثانية قبل انتهاء صلاحية وضع استكشاف الأخطاء وإصلاحها.

  • يتم أيضا جمع السجلات التشغيلية من أثناء وضع استكشاف الأخطاء وإصلاحها.

  • يتم جمع السجلات واللقطات وهي متاحة للمسؤول لتجميعها باستخدام ميزة تجميع حزمة التحقيق على صفحة الجهاز. لا تزيل Microsoft هذه البيانات من الجهاز حتى يجمعها المسؤول.

• يمكن للمسؤولين أيضا مراجعة التغييرات في الإعدادات التي تحدث أثناء وضع استكشاف الأخطاء وإصلاحها في عارض الأحداث على صفحة الجهاز.

• يتم إيقاف تشغيل وضع استكشاف الأخطاء وإصلاحها تلقائيا بعد الوصول إلى وقت انتهاء الصلاحية (يستمر لمدة 4 ساعات). بعد انتهاء الصلاحية، تصبح جميع التكوينات المدارة من قبل النهج للقراءة فقط مرة أخرى والعودة إلى كيفية تكوين الجهاز قبل تمكين وضع استكشاف الأخطاء وإصلاحها.

• قد يستغرق الأمر ما يصل إلى 15 دقيقة من وقت إرسال الأمر من Microsoft Defender XDR إلى وقت تنشيطه على الجهاز.

• يتم إرسال الإعلامات إلى المستخدم عند بدء وضع استكشاف الأخطاء وإصلاحها وعند انتهاء وضع استكشاف الأخطاء وإصلاحها. يتم أيضا إرسال تحذير للإشارة إلى أن وضع استكشاف الأخطاء وإصلاحها سينتهي قريبا.

• يتم تحديد بداية وضع استكشاف الأخطاء وإصلاحها وانتهاءها في المخطط الزمني للجهاز على صفحة الجهاز.

• يمكنك الاستعلام عن جميع أحداث وضع استكشاف الأخطاء وإصلاحها في التتبع المتقدم.

ملاحظة

يتم تطبيق تغييرات إدارة النهج على الجهاز عندما يكون نشطا في وضع استكشاف الأخطاء وإصلاحها. ومع ذلك، لا تسري التغييرات حتى تنتهي صلاحية وضع استكشاف الأخطاء وإصلاحها. بالإضافة إلى ذلك، لا يتم تطبيق تحديثات نظام الحماية من الفيروسات Microsoft Defender أثناء وضع استكشاف الأخطاء وإصلاحها. يتم تطبيق تحديثات النظام الأساسي عند انتهاء وضع استكشاف الأخطاء وإصلاحها بتحديث Windows.

المتطلبات الأساسية

• جهاز يعمل Windows 10 (الإصدار 19044.1618 أو أحدث) أو Windows 11 أو Windows Server 2019 أو Windows Server 2022.

  الفصل الدراسي/Redstone	إصدار نظام التشغيل	Release
  21H2/SV1	>=22000.593	KB5011563: كتالوج Microsoft Update
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: كتالوج Microsoft Update
  Windows Server 2022	>=20348.617	KB5011558: كتالوج Microsoft Update
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551: كتالوج Microsoft Update

• يتوفر وضع استكشاف الأخطاء وإصلاحها أيضا للأجهزة التي تقوم بتشغيل الحل الحديث والموحد ل Windows Server 2012 R2 وWindows Server 2016. قبل استخدام وضع استكشاف الأخطاء وإصلاحها، تأكد من تحديث جميع المكونات التالية:

  • استشعار الإصدار 10.8049.22439.1084 أو إصدار أحدث (KB5005292: كتالوج Microsoft Update)

  • Microsoft Defender مكافحة الفيروسات - النظام الأساسي: 4.18.2207.7 أو أحدث (KB4052623: كتالوج Microsoft Update)

  • Microsoft Defender مكافحة الفيروسات - المحرك: 1.1.19500.2 أو أحدث (KB2267602: كتالوج Microsoft Update)

• لكي يتم تطبيق وضع استكشاف الأخطاء وإصلاحها، يجب أن يكون Microsoft Defender لنقطة النهاية مسجلا من قبل المستأجر ونشطا على الجهاز.

• يجب أن يعمل الجهاز بنشاط Microsoft Defender مكافحة الفيروسات، الإصدار 4.18.2203 أو أحدث.

تمكين وضع استكشاف الأخطاء وإصلاحها

1. انتقل إلى مدخل Microsoft Defender (https://security.microsoft.com)، وسجل الدخول.

2. انتقل إلى صفحة الجهاز/صفحة الجهاز للجهاز الذي ترغب في تشغيل وضع استكشاف الأخطاء وإصلاحها. حدد تشغيل وضع استكشاف الأخطاء وإصلاحها. يجب أن يكون لديك أذونات "إدارة إعدادات الأمان في مركز الأمان" Microsoft Defender لنقطة النهاية.

   

ملاحظة

يتوفر خيار تشغيل وضع استكشاف الأخطاء وإصلاحها على جميع الأجهزة، حتى إذا كان الجهاز لا يفي بالمتطلبات الأساسية لوضع استكشاف الأخطاء وإصلاحها.

3. تأكد من رغبتك في تشغيل وضع استكشاف الأخطاء وإصلاحها للجهاز.

   

4. تظهر صفحة الجهاز أن الجهاز الآن في وضع استكشاف الأخطاء وإصلاحها.

   

استعلامات التتبع المتقدمة

فيما يلي بعض استعلامات التتبع المتقدمة التي تم إنشاؤها مسبقا لمنحك رؤية في أحداث استكشاف الأخطاء وإصلاحها التي تحدث في بيئتك. يمكنك أيضا استخدام هذه الاستعلامات لإنشاء قواعد الكشف لإنشاء تنبيهات عندما تكون الأجهزة في وضع استكشاف الأخطاء وإصلاحها.

الحصول على أحداث استكشاف الأخطاء وإصلاحها لجهاز معين

البحث بواسطة deviceId أو deviceName عن طريق التعليق على الأسطر المعنية.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

الأجهزة الموجودة حاليا في وضع استكشاف الأخطاء وإصلاحها

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

عدد مثيلات وضع استكشاف الأخطاء وإصلاحها حسب الجهاز

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

العدد الإجمالي

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

المقالات ذات الصلة

تلميح

تلميح الأداء نظرا لمجموعة متنوعة من العوامل، يمكن أن يتسبب برنامج الحماية من الفيروسات Microsoft Defender، مثل برامج مكافحة الفيروسات الأخرى، في حدوث مشكلات في الأداء على أجهزة نقطة النهاية. في بعض الحالات، قد تحتاج إلى ضبط أداء برنامج الحماية من الفيروسات Microsoft Defender للتخفيف من مشكلات الأداء هذه. محلل الأداء من Microsoft هو أداة سطر أوامر PowerShell تساعد في تحديد الملفات ومسارات الملفات والعمليات وملحقات الملفات التي قد تسبب مشكلات في الأداء؛ بعض الأمثلة هي:

• أهم المسارات التي تؤثر على وقت الفحص
• أهم الملفات التي تؤثر على وقت الفحص
• أهم العمليات التي تؤثر على وقت الفحص
• أهم ملحقات الملفات التي تؤثر على وقت الفحص
• المجموعات - على سبيل المثال:
  • أهم الملفات لكل ملحق
  • أهم المسارات لكل ملحق
  • أهم العمليات لكل مسار
  • أهم عمليات الفحص لكل ملف
  • أهم عمليات الفحص لكل ملف لكل عملية

يمكنك استخدام المعلومات التي تم جمعها باستخدام محلل الأداء لتقييم مشكلات الأداء بشكل أفضل وتطبيق إجراءات المعالجة. راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender.

• سيناريوهات وضع استكشاف الأخطاء وإصلاحها
• حماية إعدادات الأمان باستخدام الحماية من العبث

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.