Fejlfindingstilstandsscenarier i Microsoft Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Microsoft Defender for Endpoint fejlfindingstilstand giver dig mulighed for at foretage fejlfinding af forskellige Microsoft Defender Antivirus-funktioner ved at aktivere dem fra enheden og teste forskellige scenarier, også selvom de styres af organisationspolitikken. Fejlfindingstilstanden er deaktiveret som standard og kræver, at du aktiverer den for en enhed (og/eller gruppe af enheder) i en begrænset periode. Dette er udelukkende en funktion, der kun er til virksomheder, og som kræver Microsoft Defender XDR adgang.

Hvis du vil foretage fejlfinding af ydeevnespecifikke problemer, der er relateret til Microsoft Defender Antivirus, skal du se: Effektivitetsanalyse for Microsoft Defender Antivirus.

Tip

• I fejlfindingstilstand kan du bruge PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheder.
• Hvis du vil kontrollere tilstanden for manipulationsbeskyttelse, kan du bruge PowerShell-cmdlet'en Get-MpComputerStatus . Søg efter IsTamperProtected eller RealTimeProtectionEnabledpå listen over resultater. (Værdien true betyder, at ændringsbeskyttelse er aktiveret).

Scenarie 1: Programmet kan ikke installeres

Hvis du vil installere et program, men får vist en fejlmeddelelse om, at Microsoft Defender Antivirus- og manipulationsbeskyttelse er slået til, skal du bruge følgende procedure til at foretage fejlfinding af problemet.

1. Bed sikkerhedsadministratoren om at aktivere fejlfindingstilstand. Du får en Windows Sikkerhed meddelelse, når fejlfindingstilstanden starter.

2. Opret forbindelse til enheden (f.eks. ved hjælp af Terminal Services) med lokale administratortilladelser.

3. Start procesovervågning (ProcMon). Se de trin, der er beskrevet i Fejlfinding af problemer med ydeevnen, der er relateret til beskyttelse i realtid.

4. Gå til Windows security>Threat & virusbeskyttelse>Administrer indstillinger>Ændringsbeskyttelse>Slået fra.

   Alternativt kan du i fejlfindingstilstand bruge PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheder.

   Hvis du vil kontrollere tilstanden for manipulationsbeskyttelse, kan du bruge PowerShell-cmdlet'en Get-MpComputerStatus . Søg efter IsTamperProtected eller RealTimeProtectionEnabledpå listen over resultater. (Værdien true betyder, at ændringsbeskyttelse er aktiveret).

5. Start en PowerShell-kommandoprompt med administratorrettigheder, og slå beskyttelse i realtid fra.

   • Kør Get-MpComputerStatus for at kontrollere status for beskyttelse i realtid.
   • Kør Set-MpPreference -DisableRealtimeMonitoring $true for at slå beskyttelse i realtid fra.
   • Kør Get-MpComputerStatus igen for at bekræfte status.

6. Prøv at installere programmet.

Scenarie 2: Højt CPU-forbrug på grund af Windows Defender (MsMpEng.exe)

Nogle gange kan MsMpEng.exe bruge høj CPU under en planlagt scanning.

1. Gå til fanenDetaljer i Jobliste> for at bekræfte, at det MsMpEng.exe er årsagen til det høje CPU-forbrug. Kontrollér også, om en planlagt scanning er i gang i øjeblikket.

2. Kør Procesovervågning (ProcMon) under CPU-spidsbelastning i ca. fem minutter, og gennemse derefter ProcMon-loggen for at få spor.

3. Når rodårsagen er bestemt, skal du slå fejlfindingstilstand til.

4. Log på enheden, og start en PowerShell-kommandoprompt med administratorrettigheder.

5. Tilføj process/file/folder/extension exclusions baseret på ProcMon-resultater ved hjælp af en af følgende kommandoer (den sti, det filtypenavn og de procesudeladelser, der er nævnt i denne artikel, er kun eksempler):

   Set-mppreference -ExclusionPath (f.eks. C:\DB\DataFiles) Set-mppreference –ExclusionExtension (f.eks. .dbx) Set-mppreference –ExclusionProcess (f.eks. C:\DB\Bin\Convertdb.exe)

6. Når du har tilføjet udeladelse, skal du kontrollere, om CPU-forbruget er faldet.

Du kan få flere oplysninger om Set-MpPreference konfigurationsindstillinger for cmdlet'er for Microsoft Defender Antivirus-scanninger og -opdateringer under Set-MpPreference.

Scenarie 3: Det tager længere tid for programmet at udføre en handling

Når Microsoft Defender Beskyttelse i realtid er slået til, kan det tage længere tid for programmer at udføre grundlæggende opgaver. Hvis du vil slå beskyttelse i realtid fra og foretage fejlfinding af problemet, skal du bruge følgende procedure.

1. Anmod sikkerhedsadministratoren om at aktivere fejlfindingstilstand på enheden.

2. Hvis du vil deaktivere beskyttelse i realtid for dette scenarie, skal du først deaktivere manipulationsbeskyttelse. Du kan bruge PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheder.

   Hvis du vil kontrollere tilstanden for manipulationsbeskyttelse, kan du bruge PowerShell-cmdlet'en Get-MpComputerStatus . Søg efter IsTamperProtected eller RealTimeProtectionEnabledpå listen over resultater. (Værdien true betyder, at ændringsbeskyttelse er aktiveret).

   Du kan få flere oplysninger under Beskyt sikkerhedsindstillinger med manipulationsbeskyttelse.

3. Når manipulationsbeskyttelse er deaktiveret, skal du logge på enheden.

4. Start en PowerShell-kommandoprompt med administratorrettigheder, og kør følgende kommando:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Når du har deaktiveret beskyttelse i realtid, skal du kontrollere, om programmet er langsomt.

Scenarie 4: Microsoft Office-plug-in blokeret af Attack Surface Reduction

Reduktion af angrebsoverfladen tillader ikke, at Microsoft Office-plug-in fungerer korrekt, fordi Bloker alle Office-programmer fra oprettelse af underordnede processer er indstillet til bloktilstand.

1. Slå fejlfindingstilstand til, og log på enheden.

2. Start en PowerShell-kommandoprompt med administratorrettigheder, og kør følgende kommando:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Når du har deaktiveret ASR-reglen, skal du bekræfte, at Microsoft Office-plug-in'en nu fungerer.

Du kan få flere oplysninger under Oversigt over reduktion af angrebsoverfladen.

Scenarie 5: Domæne blokeret af Network Protection

Network Protection blokerer Microsoft-domænet, hvilket forhindrer brugerne i at få adgang til det.

1. Slå fejlfindingstilstand til, og log på enheden.

2. Start en PowerShell-kommandoprompt med administratorrettigheder, og kør følgende kommando:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Når netværksbeskyttelse er deaktiveret, skal du kontrollere, om domænet nu er tilladt.

Du kan finde flere oplysninger under Brug netværksbeskyttelse til at forhindre forbindelser til forkerte websteder.

Se også

• Aktivér fejlfindingstilstand
• Beskyt sikkerhedsindstillinger med manipulationsbeskyttelse
• Set-MpPreference
• Få et overblik over Microsoft Defender for Endpoint

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.