Sdílet prostřednictvím

Scénáře režimu řešení potíží v Microsoft Defender for Endpoint

  • Článek

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Microsoft Defender for Endpoint režim řešení potíží umožňuje řešit potíže s různými Microsoft Defender antivirovými funkcemi tím, že je povolíte ze zařízení a otestujete různé scénáře, i když jsou řízené zásadami organizace. Režim řešení potíží je ve výchozím nastavení zakázaný a vyžaduje, abyste ho na omezenou dobu zapnuli pro zařízení (nebo skupinu zařízení). Jedná se výhradně o funkci určenou pouze pro podniky a vyžaduje Microsoft Defender XDR přístup.

Informace o řešení potíží s výkonem souvisejících s Microsoft Defender Antivirus najdete v tématu Analyzátor výkonu pro Microsoft Defender Antivirovou ochranu.

Tip

  • Během režimu řešení potíží můžete na zařízeních s Windows použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu.
  • Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

Scénář 1: Nejde nainstalovat aplikaci

Pokud chcete nainstalovat aplikaci, ale zobrazí se chybová zpráva, že je zapnutá antivirová ochrana Microsoft Defender a ochrana před neoprávněným zásahem, při řešení tohoto problému použijte následující postup.

  1. Požádejte správce zabezpečení, aby zapnul režim řešení potíží. Jakmile se spustí režim řešení potíží, dostanete oznámení o Zabezpečení Windows.

  2. Připojte se k zařízení (například pomocí Terminálové služby) s oprávněními místního správce.

  3. Spustit monitorování procesu (ProcMon). Projděte si postup popsaný v tématu Řešení potíží s výkonem souvisejících s ochranou v reálném čase.

  4. Přejděte na zabezpečení> WindowsThreat & antivirová ochrana>Spravovat nastavení>Ochrana před>falšováním Vypnuto.

    Alternativně můžete v režimu řešení potíží použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu na zařízeních s Windows.

    Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

  5. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a vypněte ochranu v reálném čase.

    • Spuštěním příkazu Get-MpComputerStatus zkontrolujte stav ochrany v reálném čase.
    • Spuštěním příkazu Set-MpPreference -DisableRealtimeMonitoring $true vypněte ochranu v reálném čase.
    • Znovu spusťte příkaz Get-MpComputerStatus a ověřte stav.

  6. Zkuste aplikaci nainstalovat.

Scénář 2: Vysoké využití procesoru kvůli Windows Defender (MsMpEng.exe)

Někdy může během naplánované kontroly MsMpEng.exe spotřebovávat vysoké využití procesoru.

  1. Přejděte na kartuPodrobnostio Správci> úloh a ověřte, že MsMpEng.exe je důvodem vysokého využití procesoru. Zkontrolujte také, jestli právě probíhá naplánovaná kontrola.

  2. Spusťte nástroj Process Monitor (ProcMon) během špičky procesoru přibližně pět minut a pak zkontrolujte protokol ProcMon, kde najdete stopy.

  3. Po zjištění původní příčiny zapněte režim řešení potíží.

  4. Přihlaste se k zařízení a spusťte příkazový řádek PowerShellu se zvýšenými oprávněními.

  5. Přidejte vyloučení procesů, souborů, složek nebo rozšíření na základě zjištění aplikace ProcMon pomocí některého z následujících příkazů (vyloučení cest, rozšíření a procesů uvedených v tomto článku jsou pouze příklady):

    Set-mppreference -ExclusionPath (například C:\DB\DataFiles) Set-mppreference –ExclusionExtension (například .dbx) Set-mppreference –ExclusionProcess (například C:\DB\Bin\Convertdb.exe)

  6. Po přidání vyloučení zkontrolujte, jestli nedošlo k poklesu využití procesoru.

Další informace o Set-MpPreference předvolbách konfigurace rutin pro Microsoft Defender antivirové kontroly a aktualizace najdete v tématu Set-MpPreference.

Scénář 3: Provedení akce aplikaci trvá déle

Když je zapnutá ochrana v reálném čase Microsoft Defender Antivirus, může provádění základních úloh aplikací trvat déle. Pokud chcete vypnout ochranu v reálném čase a vyřešit problém, použijte následující postup.

  1. Požádejte správce zabezpečení, aby na zařízení zapnul režim řešení potíží.

  2. Pokud chcete zakázat ochranu v reálném čase pro tento scénář, nejprve vypněte ochranu před falšováním. Na zařízeních s Windows můžete použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu.

    Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

    Další informace najdete v tématu Ochrana nastavení zabezpečení pomocí ochrany před falšováním.

  3. Jakmile je ochrana před neoprávněnou manipulací zakázaná, přihlaste se k zařízení.

  4. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. Po zakázání ochrany v reálném čase zkontrolujte, jestli je aplikace pomalá.

Scénář 4: Modul plug-in Microsoft Office blokovaný snížením potenciální plochy útoku

Zmenšení prostoru útoku neumožňuje správně fungovat modul plug-in Microsoft Office, protože blokování všech aplikací Office ve vytváření podřízených procesů je nastavené na režim blokování.

  1. Zapněte režim řešení potíží a přihlaste se k zařízení.

  2. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. Po zakázání pravidla ASR ověřte, že modul plug-in Microsoft Office teď funguje.

Další informace najdete v tématu Přehled omezení prostoru pro útoky.

Scénář 5: Doména zablokovaná službou Network Protection

Ochrana sítě blokuje doménu Microsoftu a brání uživatelům v přístupu k doméně.

  1. Zapněte režim řešení potíží a přihlaste se k zařízení.

  2. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. Po zakázání ochrany sítě zkontrolujte, jestli je doména teď povolená.

Další informace najdete v tématu Ochrana sítě, která pomáhá zabránit připojení ke špatným lokalitám.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.