Erste Schritte mit dem Problembehandlungsmodus in Microsoft Defender for Endpoint

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Im Problembehandlungsmodus in Microsoft Defender for Endpoint können Administratoren verschiedene Microsoft Defender Antivirus-Features behandeln, auch wenn Geräte von Organisationsrichtlinien verwaltet werden. Wenn beispielsweise der Manipulationsschutz aktiviert ist, können bestimmte Einstellungen nicht geändert oder deaktiviert werden. Sie können jedoch den Problembehandlungsmodus auf einem Gerät verwenden, um diese Einstellungen vorübergehend zu bearbeiten.

Der Problembehandlungsmodus ist standardmäßig deaktiviert und erfordert, dass Sie ihn für ein Gerät (und/oder eine Gruppe von Geräten) für einen begrenzten Zeitraum einschalten. Der Problembehandlungsmodus ist ausschließlich auf Unternehmen ausgerichtet und erfordert Microsoft Defender Portalzugriff.

Tipp

  • Während des Problembehandlungsmodus können Sie den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true auf Windows-Geräten verwenden.
  • Um den Status des Manipulationsschutzes zu überprüfen, können Sie das PowerShell-Cmdlet Get-MpComputerStatus verwenden. Suchen Sie in der Ergebnisliste nach IsTamperProtected oder RealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.) .

Was sollten Sie wissen, bevor Sie beginnen?

Während des Problembehandlungsmodus können Sie den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true oder unter Clientbetriebssystemen die Security Center-App verwenden, um den Manipulationsschutz auf Ihrem Gerät vorübergehend zu deaktivieren und die erforderlichen Konfigurationsänderungen vorzunehmen.

  • Verwenden Sie den Problembehandlungsmodus, um die Einstellung für den Manipulationsschutz zu deaktivieren/zu ändern, um folgendes auszuführen:

    • Microsoft Defender Problembehandlung für die Antivirusfunktion /Anwendungskompatibilität (falsch positive Anwendungsblöcke).

  • Lokale Administratoren mit entsprechenden Berechtigungen können Konfigurationen auf einzelnen Endpunkten ändern, die in der Regel durch Richtlinien gesperrt sind. Wenn sich ein Gerät im Problembehandlungsmodus befindet, kann es hilfreich sein, Microsoft Defender Antivirus-Leistungs- und Kompatibilitätsszenarien zu diagnostizieren.

    • Lokale Administratoren können Microsoft Defender Antivirus nicht deaktivieren oder deinstallieren.

    • Lokale Administratoren können alle anderen Sicherheitseinstellungen in der Microsoft Defender Antivirus-Suite konfigurieren (z. B. Cloudschutz, Manipulationsschutz).

  • Administratoren mit berechtigungen "Sicherheitseinstellungen verwalten" haben Zugriff, um den Problembehandlungsmodus zu aktivieren.

  • Microsoft Defender for Endpoint sammelt Protokolle und Untersuchungsdaten während des gesamten Problembehandlungsprozesses.

    • Eine Momentaufnahme von wird erstellt, bevor der MpPreference Problembehandlungsmodus beginnt.

    • Eine zweite Momentaufnahme wird kurz vor Ablauf des Problembehandlungsmodus ausgeführt.

    • Betriebsprotokolle aus während des Problembehandlungsmodus werden ebenfalls gesammelt.

    • Protokolle und Momentaufnahmen werden gesammelt und stehen einem Administrator zur Verfügung, um sie mithilfe des Features Untersuchungspaket sammeln auf der Geräteseite zu erfassen. Microsoft entfernt diese Daten erst dann vom Gerät, wenn sie von einem Administrator gesammelt wurden.

  • Administratoren können auch die Änderungen an den Einstellungen überprüfen, die während des Problembehandlungsmodus in Ereignisanzeige auf der Geräteseite vorgenommen werden.

  • Der Problembehandlungsmodus wird nach Erreichen der Ablaufzeit automatisch deaktiviert (er dauert 4 Stunden). Nach Dem Ablauf werden alle richtlinienverwalteten Konfigurationen wieder schreibgeschützt und rückgängig machen wieder auf die Konfiguration des Geräts zurück, bevor der Problembehandlungsmodus aktiviert wird.

  • Es kann bis zu 15 Minuten dauern, nachdem der Befehl von Microsoft Defender XDR gesendet wurde, bis er auf dem Gerät aktiv wird.

  • Benachrichtigungen werden an den Benutzer gesendet, wenn der Problembehandlungsmodus beginnt und der Problembehandlungsmodus endet. Außerdem wird eine Warnung gesendet, um anzugeben, dass der Problembehandlungsmodus bald beendet wird.

  • Der Anfang und das Ende des Problembehandlungsmodus werden auf der Gerätezeitachse auf der Geräteseite angegeben.

  • Sie können alle Ereignisse im Problembehandlungsmodus in der erweiterten Suche abfragen.

Hinweis

Richtlinienverwaltungsänderungen werden auf das Gerät angewendet, wenn es sich aktiv im Problembehandlungsmodus befindet. Die Änderungen werden jedoch erst wirksam, wenn der Problembehandlungsmodus abläuft. Darüber hinaus werden Microsoft Defender Antivirus Platform-Updates während des Problembehandlungsmodus nicht angewendet. Plattformupdates werden angewendet, wenn der Problembehandlungsmodus mit einem Windows-Update endet.

Voraussetzungen

  • Ein Gerät, auf dem Windows 10 (Version 19044.1618 oder höher), Windows 11, Windows Server 2019 oder Windows Server 2022 ausgeführt wird.

    Semester/Redstone BS-Version Freigabe
    21H2/SV1 >=22000,593 KB5011563: Microsoft Update-Katalog
    20H1/20H2/21H1 >=19042.1620
    >=19041,1620
    >=19043,1620    		 KB5011543: Microsoft Update-Katalog
    Windows Server 2022 >=20348,617 KB5011558: Microsoft Update-Katalog
    Windows Server 2019 (RS5) >=17763,2746 KB5011551: Microsoft Update-Katalog

  • Der Problembehandlungsmodus ist auch für Computer verfügbar, auf denen die moderne, einheitliche Lösung für Windows Server 2012 R2 und Windows Server 2016 ausgeführt wird. Bevor Sie den Problembehandlungsmodus verwenden, stellen Sie sicher, dass alle folgenden Komponenten auf dem neuesten Stand sind:

  • Damit der Problembehandlungsmodus angewendet werden kann, muss Microsoft Defender for Endpoint mandantenregistriert und auf dem Gerät aktiv sein.

  • Das Gerät muss aktiv Microsoft Defender Antivirus, Version 4.18.2203 oder höher, ausgeführt werden.

Aktivieren des Problembehandlungsmodus

  1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Navigieren Sie zur Geräteseite/Computerseite für das Gerät, das Sie den Problembehandlungsmodus aktivieren möchten. Wählen Sie Problembehandlungsmodus aktivieren aus. Sie müssen über berechtigungen "Verwalten von Sicherheitseinstellungen in Security Center" für Microsoft Defender for Endpoint verfügen.

    Aktivieren des Problembehandlungsmodus

Hinweis

Die Option Problembehandlungsmodus aktivieren ist auf allen Geräten verfügbar, auch wenn das Gerät die Voraussetzungen für den Problembehandlungsmodus nicht erfüllt.

  1. Vergewissern Sie sich, dass Sie den Problembehandlungsmodus für das Gerät aktivieren möchten.

    Das Konfigurations-Flyout

  2. Auf der Seite "Gerät" wird angezeigt, dass sich das Gerät jetzt im Problembehandlungsmodus befindet.

    Das Gerät befindet sich jetzt im Problembehandlungsmodus.

Abfragen für die erweiterte Suche

Im Folgenden finden Sie einige vordefinierte erweiterte Huntingabfragen, mit denen Sie Einblick in die Problembehandlungsereignisse erhalten, die in Ihrer Umgebung auftreten. Sie können diese Abfragen auch verwenden, um Erkennungsregeln zu erstellen , um Warnungen zu generieren, wenn sich Geräte im Problembehandlungsmodus befinden.

Abrufen von Problembehandlungsereignissen für ein bestimmtes Gerät

Search nach deviceId oder deviceName, indem Sie die entsprechenden Zeilen auskommentieren.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Geräte, die sich derzeit im Problembehandlungsmodus befinden

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Anzahl der Instanzen des Problembehandlungsmodus nach Gerät

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Gesamtanzahl

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Tipp

Leistungstipp Aufgrund einer Vielzahl von Faktoren kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.