سيناريوهات وضع استكشاف الأخطاء وإصلاحها في Microsoft Defender لنقطة النهاية

مقالة
04/26/2024

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يسمح لك وضع استكشاف الأخطاء وإصلاحها Microsoft Defender لنقطة النهاية باستكشاف أخطاء ميزات مكافحة الفيروسات Microsoft Defender المختلفة وإصلاحها من خلال تمكينها من الجهاز واختبار سيناريوهات مختلفة، حتى إذا تم التحكم فيها بواسطة نهج المؤسسة. يتم تعطيل وضع استكشاف الأخطاء وإصلاحها بشكل افتراضي ويتطلب منك تشغيله لجهاز (و/أو مجموعة من الأجهزة) لفترة محدودة. هذه ميزة خاصة بالمؤسسة فقط، وتتطلب الوصول Microsoft Defender XDR.

لاستكشاف المشكلات الخاصة بالأداء المتعلقة ببرنامج الحماية من الفيروسات Microsoft Defender وإصلاحها، راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender.

تلميح

أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell على أجهزة Windows.
للتحقق من حالة الحماية من العبث، يمكنك استخدام Get-MpComputerStatus PowerShell cmdlet. في قائمة النتائج، ابحث عن IsTamperProtected أو RealTimeProtectionEnabled. (تعني القيمة true تمكين الحماية من العبث.)

السيناريو 1: تعذر تثبيت التطبيق

إذا كنت ترغب في تثبيت تطبيق ولكنك تتلقى رسالة خطأ Microsoft Defender الحماية من الفيروسات والعبث، فاستخدم الإجراء التالي لاستكشاف المشكلة وإصلاحها.

اطلب من مسؤول الأمان تشغيل وضع استكشاف الأخطاء وإصلاحها. تتلقى إعلاما أمن Windows بمجرد بدء وضع استكشاف الأخطاء وإصلاحها.
الاتصال بالجهاز (باستخدام الخدمات الطرفية على سبيل المثال) باستخدام أذونات المسؤول المحلي.
بدء مراقبة العملية (ProcMon). راجع الخطوات الموضحة في استكشاف مشكلات الأداء المتعلقة بالحماية في الوقت الحقيقي وإصلاحها.
انتقل إلى أمن> Windows& الحماية> من الفيروساتإدارة الإعدادات الحماية> منالعبث>بإيقاف التشغيل.

بدلا من ذلك، أثناء وضع استكشاف الأخطاء وإصلاحها، يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell على أجهزة Windows.

للتحقق من حالة الحماية من العبث، يمكنك استخدام Get-MpComputerStatus PowerShell cmdlet. في قائمة النتائج، ابحث عن IsTamperProtected أو RealTimeProtectionEnabled. (تعني القيمة true تمكين الحماية من العبث.)
قم بتشغيل موجه أوامر PowerShell غير مقيد، وقم بتبديل الحماية في الوقت الحقيقي.
- قم بتشغيل Get-MpComputerStatus للتحقق من حالة الحماية في الوقت الحقيقي.
- قم بتشغيل Set-MpPreference -DisableRealtimeMonitoring $true لإيقاف تشغيل الحماية في الوقت الحقيقي.
- قم بتشغيل Get-MpComputerStatus مرة أخرى للتحقق من الحالة.
حاول تثبيت التطبيق.

السيناريو 2: استخدام عال لوحدة المعالجة المركزية بسبب Windows Defender (MsMpEng.exe)

في بعض الأحيان أثناء الفحص المجدول، يمكن أن يستهلك MsMpEng.exe وحدة معالجة مركزية عالية.

انتقل إلى علامة التبويبتفاصيلمدير> المهام للتأكد من أن هذا MsMpEng.exe هو السبب وراء الاستخدام العالي لوحدة المعالجة المركزية. تحقق أيضا لمعرفة ما إذا كان الفحص المجدول قيد التنفيذ حاليا.
قم بتشغيل مراقبة العملية (ProcMon) أثناء ارتفاع وحدة المعالجة المركزية لمدة خمس دقائق تقريبا، ثم راجع سجل ProcMon للحصول على أدلة.
عند تحديد السبب الجذري، قم بتشغيل وضع استكشاف الأخطاء وإصلاحها.
سجل الدخول إلى الجهاز، وقم بتشغيل موجه أوامر PowerShell غير مقيد.
أضف استثناءات العملية/الملف/المجلد/الملحق استنادا إلى نتائج ProcMon باستخدام أحد الأوامر التالية (المسار والملحق واستبعادات العملية المذكورة في هذه المقالة هي أمثلة فقط):

Set-mppreference -ExclusionPath (على سبيل المثال، C:\DB\DataFiles) Set-mppreference –ExclusionExtension (على سبيل المثال، .dbx) Set-mppreference –ExclusionProcess (على سبيل المثال، C:\DB\Bin\Convertdb.exe)
بعد إضافة الاستبعاد، تحقق لمعرفة ما إذا كان استخدام وحدة المعالجة المركزية قد انخفض.

لمزيد من المعلومات حول Set-MpPreference تفضيلات تكوين cmdlet لفحوصات وتحديثات برنامج الحماية من الفيروسات Microsoft Defender، راجع Set-MpPreference.

السيناريو 3: يستغرق التطبيق وقتا أطول لتنفيذ إجراء

عند تشغيل الحماية من الفيروسات في الوقت الحقيقي Microsoft Defender، قد تستغرق التطبيقات وقتا أطول لتنفيذ المهام الأساسية. لإيقاف تشغيل الحماية في الوقت الحقيقي واستكشاف المشكلة وإصلاحها، استخدم الإجراء التالي.

اطلب من مسؤول الأمان تشغيل وضع استكشاف الأخطاء وإصلاحها على الجهاز.
لتعطيل الحماية في الوقت الحقيقي لهذا السيناريو، قم أولا بإيقاف تشغيل الحماية من العبث. يمكنك استخدام أمر Set-MPPreference -DisableTamperProtection $true PowerShell على أجهزة Windows.

للتحقق من حالة الحماية من العبث، يمكنك استخدام Get-MpComputerStatus PowerShell cmdlet. في قائمة النتائج، ابحث عن IsTamperProtected أو RealTimeProtectionEnabled. (تعني القيمة true تمكين الحماية من العبث.)

لمزيد من المعلومات، راجع حماية إعدادات الأمان باستخدام الحماية من العبث.
بمجرد تعطيل الحماية من العبث، سجل الدخول إلى الجهاز.
قم بتشغيل موجه أوامر PowerShell غير مقيد، وقم بتشغيل الأمر التالي:

Set-mppreference -DisableRealtimeMonitoring $true
بعد تعطيل الحماية في الوقت الحقيقي، تحقق لمعرفة ما إذا كان التطبيق بطيئا.

السيناريو 4: تم حظر المكون الإضافي ل Microsoft Office بواسطة تقليل الأجزاء المعرضة للهجوم

لا يسمح تقليل الأجزاء المعرضة للهجوم للمكون الإضافي ل Microsoft Office بالعمل بشكل صحيح لأنه تم تعيين حظر جميع تطبيقات Office من إنشاء عمليات تابعة إلى وضع الحظر.

قم بتشغيل وضع استكشاف الأخطاء وإصلاحها، وسجل الدخول إلى الجهاز.
قم بتشغيل موجه أوامر PowerShell غير مقيد، وقم بتشغيل الأمر التالي:

Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
بعد تعطيل قاعدة ASR، تأكد من أن المكون الإضافي Microsoft Office يعمل الآن.

لمزيد من المعلومات، راجع نظرة عامة على تقليل الأجزاء المعرضة للهجوم.

السيناريو 5: المجال المحظور بواسطة Network Protection

تقوم Network Protection بحظر مجال Microsoft، مما يمنع المستخدمين من الوصول إليه.

قم بتشغيل وضع استكشاف الأخطاء وإصلاحها، وسجل الدخول إلى الجهاز.
قم بتشغيل موجه أوامر PowerShell غير مقيد، وقم بتشغيل الأمر التالي:

Set-MpPreference -EnableNetworkProtection Disabled
بعد تعطيل Network Protection، تحقق لمعرفة ما إذا كان المجال مسموحا به الآن.

لمزيد من المعلومات، راجع استخدام حماية الشبكة للمساعدة في منع الاتصالات بالمواقع السيئة.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.

مشاركة عبر