Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
- Microsoft Defender für Endpunkt
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
Mit dem Problembehandlungsmodus in Microsoft Defender for Endpoint können Administratoren verschiedene Microsoft Defender Antivirus-Features behandeln, auch wenn Geräte von Organisationsrichtlinien verwaltet werden. Wenn beispielsweise der Manipulationsschutz aktiviert ist, können bestimmte Einstellungen nicht geändert oder deaktiviert werden. Sie können jedoch den Problembehandlungsmodus auf einem Gerät verwenden, um diese Einstellungen vorübergehend zu bearbeiten.
Der Problembehandlungsmodus ist standardmäßig deaktiviert und erfordert, dass Sie ihn für ein Gerät (und/oder eine Gruppe von Geräten) für einen begrenzten Zeitraum einschalten. Der Problembehandlungsmodus ist ausschließlich ein reines Unternehmensfeature und erfordert Microsoft Defender Portalzugriff.
In diesem Artikel wird der Problembehandlungsmodus für Windows-Geräte beschrieben. Informationen zum Problembehandlungsmodus unter Mac finden Sie unter Problembehandlungsmodus in Microsoft Defender for Endpoint unter macOS.
Tipp
- Während des Problembehandlungsmodus können Sie den PowerShell-Befehl
Set-MPPreference -DisableTamperProtection $trueauf Windows-Geräten verwenden. - Um den Status des Manipulationsschutzes zu überprüfen, können Sie das PowerShell-Cmdlet Get-MpComputerStatus verwenden. Suchen Sie in der Ergebnisliste nach
IsTamperProtectedoderRealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.) - Informationen zu Mac-Geräten finden Sie unter Problembehandlungsmodus in Microsoft Defender for Endpoint unter macOS.
Was sollten Sie wissen, bevor Sie beginnen?
Während des Problembehandlungsmodus können Sie den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true oder unter Clientbetriebssystemen die Security Center-App verwenden, um den Manipulationsschutz auf Ihrem Gerät vorübergehend zu deaktivieren und die erforderlichen Konfigurationsänderungen vorzunehmen.
Sie können den Problembehandlungsmodus verwenden, um probleme zu beheben oder die Anwendungskompatibilität mit Microsoft Defender Antivirus zu überprüfen, z. B. wenn falsch positive Ergebnisse mit Anwendungsblöcken auftreten.
Mit entsprechenden Berechtigungen können lokale Administratoren die Konfiguration auf einzelnen Geräten ändern, die in der Regel durch Eine Richtlinie gesperrt sind. Wenn sich ein Gerät im Problembehandlungsmodus befindet, kann es hilfreich sein, Microsoft Defender Antivirus-Leistungs- und Kompatibilitätsszenarien zu diagnostizieren. Lokale Administratoren können Microsoft Defender Antivirus nicht deaktivieren oder deinstallieren. Lokale Administratoren können alle anderen Sicherheitseinstellungen in der Microsoft Defender Antivirus-Suite konfigurieren (z. B. Cloudschutz, Manipulationsschutz).
Administratoren müssen über berechtigungen "Sicherheitseinstellungen verwalten" verfügen, um den Problembehandlungsmodus zu aktivieren.
Defender für Endpunkt sammelt Protokolle und Untersuchungsdaten während des gesamten Problembehandlungsprozesses.
- Eine Momentaufnahme von wird erstellt, bevor der
MpPreferenceProblembehandlungsmodus beginnt. - Eine zweite Momentaufnahme wird kurz vor Ablauf des Problembehandlungsmodus ausgeführt.
- Betriebsprotokolle aus während des Problembehandlungsmodus werden ebenfalls gesammelt.
- Protokolle und Momentaufnahmen werden gesammelt und stehen einem Administrator zur Verfügung, um sie mithilfe des Features Untersuchungspaket sammeln auf der Geräteseite zu erfassen. Microsoft entfernt diese Daten erst dann vom Gerät, wenn sie von einem Administrator gesammelt wurden.
Administratoren können auch die Änderungen an Einstellungen überprüfen, die während des Problembehandlungsmodus in Ereignisanzeige auf dem Gerät selbst vorgenommen werden.
- Öffnen Sie Ereignisanzeige, erweitern Sie dann Anwendungs- und Dienstprotokolle>Microsoft>Windows>Windows Defender, und wählen Sie dann Betriebsbereit aus.
- Mögliche Ereignisse können Ereignisse mit den IDs 5000, 5001, 5004, 5007 und andere umfassen. Weitere Informationen finden Sie unter Überprüfen von Ereignisprotokollen und Fehlercodes zur Behandlung von Problemen mit Microsoft Defender Antivirus.
Der Problembehandlungsmodus wird nach Erreichen seiner Ablaufzeit automatisch deaktiviert (er dauert 4 Stunden). Wenn der Problembehandlungsmodus abgelaufen ist, werden alle richtlinienverwalteten Konfigurationen wieder schreibgeschützt und rückgängig machen, wie das Gerät konfiguriert wurde, bevor der Problembehandlungsmodus aktiviert wird.
Es kann bis zu 15 Minuten dauern, von dem Zeitpunkt, zu dem der Befehl von Microsoft Defender XDR gesendet wird, bis er auf dem Gerät aktiv wird.
Benachrichtigungen werden an den Benutzer gesendet, wenn der Problembehandlungsmodus beginnt und der Problembehandlungsmodus endet. Außerdem wird eine Warnung gesendet, um anzugeben, dass der Problembehandlungsmodus bald beendet wird. Der Anfang und das Ende des Problembehandlungsmodus werden auch im Microsoft Defender-Portal auf der Gerätezeitachse auf der Geräteseite angegeben.
Sie können alle Ereignisse im Problembehandlungsmodus in der erweiterten Suche abfragen.
Hinweis
Richtlinienverwaltungsänderungen werden auf das Gerät angewendet, wenn es sich aktiv im Problembehandlungsmodus befindet. Die Änderungen werden jedoch erst wirksam, wenn der Problembehandlungsmodus abläuft. Darüber hinaus werden Microsoft Defender Antivirus Platform-Updates während des Problembehandlungsmodus nicht angewendet. Plattformupdates werden angewendet, wenn der Problembehandlungsmodus mit einem Windows-Update endet.
Voraussetzungen
Auf Geräten muss ein unterstütztes Betriebssystem ausgeführt werden.
Windows 10 (Version 19044.1618 oder höher), Windows 11, Windows Server 2019, Windows Server 2022 oder Windows Server 2025.
Semester/Redstone BS-Version Freigabe 21H2/SV1 22000.593oder höherKB5011563: Microsoft Update-Katalog 20H1/20H2/21H1 19042.1620oder höher
19041.1620oder höher
19043.1620oder höherKB5011543: Microsoft Update-Katalog Windows Server 2022 oder höher 20348.617oder höherKB5011558: Microsoft Update-Katalog Windows Server 2019 (RS5) 17763.2746oder höherKB5011551: Microsoft Update-Katalog Windows Server 2012 R2 und Windows Server 2016 mithilfe der modernen einheitlichen Lösung mit allen folgenden Komponenten auf dem neuesten Stand:
Komponente Version Freigabe Sense-Version 10.8049.22439.1084oder höherKB5005292: Microsoft Update-Katalog Microsoft Defender Antivirus Plattform: 4.18.2207.7oder höherKB4052623: Microsoft Update-Katalog Microsoft Defender Antivirus Engine: 1.1.19500.2oder höherKB2267602: Microsoft Update-Katalog
Defender für Endpunkt muss für den Mandanten registriert und auf dem Gerät aktiv sein.
Geräte müssen aktiv Microsoft Defender Antivirus, Version
4.18.2203 or laterausgeführt werden.Informationen zu macOS-Geräten finden Sie unter Voraussetzungen für den Problembehandlungsmodus auf einem Mac.
Aktivieren des Problembehandlungsmodus
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Navigieren Sie zur Geräteseite/Computerseite für das Gerät, das Sie den Problembehandlungsmodus aktivieren möchten. Wählen Sie Problembehandlungsmodus aktivieren aus. Sie müssen über berechtigungen "Verwalten von Sicherheitseinstellungen in Security Center" für Microsoft Defender for Endpoint verfügen.
Hinweis
Die Option Problembehandlungsmodus aktivieren ist auf allen Geräten verfügbar, auch wenn das Gerät die Voraussetzungen für den Problembehandlungsmodus nicht erfüllt.
Vergewissern Sie sich, dass Sie den Problembehandlungsmodus für das Gerät aktivieren möchten.
Auf der Seite "Gerät" wird angezeigt, dass sich das Gerät jetzt im Problembehandlungsmodus befindet.
Abfragen für die erweiterte Suche
Im Folgenden finden Sie einige vordefinierte erweiterte Huntingabfragen, mit denen Sie Einblick in die Problembehandlungsereignisse erhalten, die in Ihrer Umgebung auftreten. Sie können diese Abfragen auch verwenden, um Erkennungsregeln zu erstellen , um Warnungen zu generieren, wenn sich Geräte im Problembehandlungsmodus befinden.
Abrufen von Problembehandlungsereignissen für ein bestimmtes Gerät
Suchen Sie nach deviceId oder deviceName, indem Sie die entsprechenden Zeilen auskommentieren.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Geräte, die sich derzeit im Problembehandlungsmodus befinden
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Anzahl der Instanzen des Problembehandlungsmodus nach Gerät
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Gesamtanzahl
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Verwandte Artikel
- Problembehandlungsmodus in Microsoft Defender for Endpoint unter macOS
- Leistungsanalyse für Microsoft Defender Antivirus.
- Szenarien für den Problembehandlungsmodus
- Schützen von Sicherheitseinstellungen mit Manipulationsschutz
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.