Escenarios de modo de solución de problemas en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión
• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Microsoft Defender para punto de conexión modo de solución de problemas le permite solucionar problemas de varias características Microsoft Defender Antivirus al habilitarlas desde el dispositivo y probar diferentes escenarios, incluso si están controladas por la directiva de la organización. El modo de solución de problemas está deshabilitado de forma predeterminada y requiere que lo active para un dispositivo (o grupo de dispositivos) durante un tiempo limitado. Se trata exclusivamente de una característica de solo empresa y requiere acceso Microsoft Defender XDR.

Para solucionar problemas específicos del rendimiento relacionados con Microsoft Defender Antivirus, consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

Sugerencia

• Durante el modo de solución de problemas, puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell en dispositivos Windows.
• Para comprobar el estado de la protección contra alteraciones, puede usar el cmdlet de PowerShell Get-MpComputerStatus . En la lista de resultados, busque IsTamperProtected o RealTimeProtectionEnabled. (Un valor de true significa que la protección contra alteraciones está habilitada).

Escenario 1: No se puede instalar la aplicación

Si desea instalar una aplicación pero recibir un mensaje de error que indica que Microsoft Defender antivirus y la protección contra alteraciones están activados, use el procedimiento siguiente para solucionar el problema.

1. Solicite al administrador de seguridad que active el modo de solución de problemas. Recibirá una notificación de Seguridad de Windows una vez que se inicie el modo de solución de problemas.

2. Conéctese al dispositivo (por ejemplo, mediante Terminal Services) con permisos de administrador local.

3. Iniciar monitor de procesos (ProcMon). Consulte los pasos descritos en Solución de problemas de rendimiento relacionados con la protección en tiempo real.

4. Vaya a Seguridad> de WindowsProtección contra amenazas & virus>Administrar configuración>Protección> contra alteracionesdesactivada.

   Como alternativa, durante el modo de solución de problemas, puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell en dispositivos Windows.

   Para comprobar el estado de la protección contra alteraciones, puede usar el cmdlet de PowerShell Get-MpComputerStatus . En la lista de resultados, busque IsTamperProtected o RealTimeProtectionEnabled. (Un valor de true significa que la protección contra alteraciones está habilitada).

5. Inicie un símbolo del sistema de PowerShell con privilegios elevados y desactive la protección en tiempo real.

   • Ejecute Get-MpComputerStatus para comprobar el estado de la protección en tiempo real.
   • Ejecute Set-MpPreference -DisableRealtimeMonitoring $true para desactivar la protección en tiempo real.
   • Vuelva a ejecutar Get-MpComputerStatus para comprobar el estado.

6. Intente instalar la aplicación.

Escenario 2: Uso elevado de CPU debido a Windows Defender (MsMpEng.exe)

A veces, durante un examen programado, MsMpEng.exe puede consumir una CPU elevada.

1. Vaya a la pestañaDetallesdel Administrador> de tareas para confirmar que MsMpEng.exe esa es la razón del uso elevado de la CPU. Compruebe también si hay un examen programado en curso.

2. Ejecute el Monitor de procesos (ProcMon) durante el pico de CPU durante unos cinco minutos y, a continuación, revise el registro de ProcMon para obtener pistas.

3. Cuando se determine la causa principal, active el modo de solución de problemas.

4. Inicie sesión en el dispositivo e inicie un símbolo del sistema de PowerShell con privilegios elevados.

5. Agregue exclusiones de proceso, archivo, carpeta o extensión basadas en los resultados de ProcMon mediante uno de los siguientes comandos (la ruta de acceso, la extensión y las exclusiones de procesos mencionadas en este artículo son solo ejemplos):

   Set-mppreference -ExclusionPath (por ejemplo, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (por ejemplo, .dbx) Set-mppreference –ExclusionProcess (por ejemplo, C:\DB\Bin\Convertdb.exe)

6. Después de agregar la exclusión, compruebe si se ha quitado el uso de CPU.

Para obtener más información sobre las Set-MpPreference preferencias de configuración de cmdlets para Microsoft Defender exámenes y actualizaciones del Antivirus, consulte Set-MpPreference.

Escenario 3: La aplicación tarda más en realizar una acción

Cuando Microsoft Defender protección antivirus en tiempo real está activada, las aplicaciones pueden tardar más tiempo en realizar tareas básicas. Para desactivar la protección en tiempo real y solucionar el problema, use el procedimiento siguiente.

1. Solicite al administrador de seguridad que active el modo de solución de problemas en el dispositivo.

2. Para deshabilitar la protección en tiempo real para este escenario, primero desactive la protección contra alteraciones. Puede usar el comando Set-MPPreference -DisableTamperProtection $true de PowerShell en dispositivos Windows.

   Para comprobar el estado de la protección contra alteraciones, puede usar el cmdlet de PowerShell Get-MpComputerStatus . En la lista de resultados, busque IsTamperProtected o RealTimeProtectionEnabled. (Un valor de true significa que la protección contra alteraciones está habilitada).

   Para obtener más información, consulte Protección de la configuración de seguridad con protección contra alteraciones.

3. Una vez deshabilitada la protección contra alteraciones, inicie sesión en el dispositivo.

4. Inicie un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Después de deshabilitar la protección en tiempo real, compruebe si la aplicación es lenta.

Escenario 4: Complemento de Microsoft Office bloqueado por reducción de superficie expuesta a ataques

La reducción de la superficie expuesta a ataques no permite que el complemento de Microsoft Office funcione correctamente porque impedir que todas las aplicaciones de Office creen procesos secundarios está establecido en modo de bloqueo.

1. Active el modo de solución de problemas e inicie sesión en el dispositivo.

2. Inicie un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Después de deshabilitar la regla ASR, confirme que el complemento de Microsoft Office ahora funciona.

Para obtener más información, consulte Introducción a la reducción de la superficie expuesta a ataques.

Escenario 5: Dominio bloqueado por Network Protection

Network Protection bloquea el dominio de Microsoft, lo que impide que los usuarios accedan a él.

1. Active el modo de solución de problemas e inicie sesión en el dispositivo.

2. Inicie un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Después de deshabilitar Protección de red, compruebe si el dominio ahora está permitido.

Para obtener más información, consulte Uso de la protección de red para ayudar a evitar las conexiones a sitios incorrectos.

Consulte también

• Habilitación del modo de solución de problemas
• Configuración de seguridad de la protección con protección contra alteraciones
• Set-MpPreference
• Obtener información general de Microsoft Defender para punto de conexión

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.