vianmääritystilanteet Microsoft Defender for Endpoint

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Microsoft Defender for Endpoint vianmääritystilan avulla voit tehdä eri Microsoft Defender virustentorjuntaominaisuuksien vianmäärityksen ottamalla ne käyttöön laitteessa ja testaamalla eri skenaarioita, vaikka niitä ohjaisiin organisaatiokäytännöllä. Vianmääritystila on oletusarvoisesti poissa käytöstä ja edellyttää, että otat sen käyttöön laitteessa (ja/tai laiteryhmässä) rajoitetun ajan. Tämä on vain yritys -ominaisuus, ja se edellyttää Microsoft Defender XDR käyttöoikeutta.

Lisätietoja Microsoft Defender virustentorjuntaan liittyvien suorituskykyyn liittyvien ongelmien vianmäärityksestä on artikkelissa: Microsoft Defender virustentorjuntaohjelman suorituskyvyn analysointi.

Vihje

  • Vianmääritystilan aikana voit käyttää PowerShell-komentoa Set-MPPreference -DisableTamperProtection $true Windows-laitteissa.
  • Voit tarkistaa peukaloinnin suojauksen tilan käyttämällä PowerShellin cmdlet-komentoa Get-MpComputerStatus . Etsi IsTamperProtected tulosluettelosta tai RealTimeProtectionEnabled. ( Tosi-arvo tarkoittaa, että peukalointisuojaus on käytössä.)

Skenaario 1: Sovelluksen asentaminen ei onnistu

Jos haluat asentaa sovelluksen, mutta saat virheilmoituksen, joka Microsoft Defender virustentorjunta ja peukaloinnin suojaus on käytössä, suorita vianmääritys noudattamalla seuraavia ohjeita.

  1. Pyydä suojauksen järjestelmänvalvojaa ottaminen käyttöön vianmääritystilassa. Saat Windowsin suojaus ilmoituksen, kun vianmääritystila käynnistyy.

  2. Muodosta yhteys laitteeseen (esimerkiksi päätepalveluiden avulla) paikallisten järjestelmänvalvojien oikeuksista.

  3. Käynnistä Prosessinvalvonta (ProcMon). Katso ohjeet kohdasta Reaaliaikaiseen suojaukseen liittyvien suorituskykyongelmien vianmääritys.

  4. Siirry kohtaan Windows security>Threat & virussuojaus>Asetusten>luvattoman suojauksen> hallintaei käytössä.

    Vaihtoehtoisesti voit vianmääritystilan aikana käyttää PowerShell-komentoa Set-MPPreference -DisableTamperProtection $true Windows-laitteissa.

    Voit tarkistaa peukaloinnin suojauksen tilan käyttämällä PowerShellin cmdlet-komentoa Get-MpComputerStatus . Etsi IsTamperProtected tulosluettelosta tai RealTimeProtectionEnabled. ( Tosi-arvo tarkoittaa, että peukalointisuojaus on käytössä.)

  5. Käynnistä laajennettu PowerShell-komentokehote ja poista reaaliaikainen suojaus käytöstä.

    • Tarkista reaaliaikaisen suojauksen tila suorittamalla Get-MpComputerStatus .
    • Poista reaaliaikainen suojaus käytöstä suorittamalla Set-MpPreference -DisableRealtimeMonitoring $true .
    • Tarkista tila suorittamalla Get-MpComputerStatus uudelleen.

  6. Yritä asentaa sovellus.

Skenaario 2: Windows Defender aiheuttama suorittimen suuri käyttö (MsMpEng.exe)

Joskus ajoitetun tarkistuksen aikana MsMpEng.exe voivat kuluttaa suurta suoritinta.

  1. Siirry Tehtävienhallinnan>tiedot -välilehteen vahvistaaksesi, että MsMpEng.exe tämä on suuren suoritinkäytön syy. Tarkista myös, onko ajoitettu tarkistus käynnissä.

  2. Suorita Prosessinäyttö (ProcMon) suoritinpiikin aikana noin viiden minuutin ajan ja katso sitten vihjeitä ProcMon-lokista.

  3. Kun pääsyy on määritetty, ota vianmääritystila käyttöön.

  4. Kirjaudu sisään laitteeseen ja käynnistä laajennettu PowerShell-komentokehote.

  5. Lisää ProcMon-havaintoihin perustuvia prosessin/tiedoston/kansion/laajennuksen poissulkemisia käyttämällä jotakin seuraavista komennoista (tässä artikkelissa mainittu polku, tunniste ja prosessin poikkeukset ovat vain esimerkkejä):

    Set-mppreference -ExclusionPath (esimerkiksi C:\DB\DataFiles) Set-mppreference –ExclusionExtension (esimerkiksi .dbx) Set-mppreference –ExclusionProcess (esimerkiksi C:\DB\Bin\Convertdb.exe)

  6. Kun olet lisännyt poikkeuksen, tarkista, onko suorittimen käyttö vähentynyt.

Lisätietoja Set-MpPreference Microsoft Defender virustentorjunnan tarkistusten ja päivitysten cmdlet-määritysasetuksista on kohdassa Set-MpPreference.

Skenaario 3: Sovelluksella kestää kauemmin suorittaa toiminto

Kun Microsoft Defender virustentorjuntaohjelman reaaliaikainen suojaus on käytössä, perustehtävien suorittaminen voi kestää kauemmin. Voit poistaa reaaliaikaisen suojauksen käytöstä ja tehdä ongelman vianmäärityksen seuraavasti.

  1. Pyydä suojauksen järjestelmänvalvojaa käynnistämään vianmääritystila laitteessa.

  2. Jos haluat poistaa reaaliaikaisen suojauksen käytöstä tässä skenaariossa, poista ensin peukaloinnin suojaus käytöstä. Voit käyttää PowerShell-komentoa Set-MPPreference -DisableTamperProtection $true Windows-laitteissa.

    Voit tarkistaa peukaloinnin suojauksen tilan käyttämällä PowerShellin cmdlet-komentoa Get-MpComputerStatus . Etsi IsTamperProtected tulosluettelosta tai RealTimeProtectionEnabled. ( Tosi-arvo tarkoittaa, että peukalointisuojaus on käytössä.)

    Lisätietoja on artikkelissa Suojausasetusten suojaaminen peukaloinnin suojauksella.

  3. Kun peukaloinnin suojaus on poistettu käytöstä, kirjaudu laitteeseen.

  4. Käynnistä laajennettu PowerShell-komentokehote ja suorita seuraava komento:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. Kun olet poistanut reaaliaikaisen suojauksen käytöstä, tarkista, onko sovellus hidas.

Skenaario 4: Attack Surface Reduction esti Microsoft Office -laajennuksen käytön

Hyökkäyspinnan pienentäminen ei salli Microsoft Office -laajennuksen toimia oikein, koska estä kaikki Office-sovellukset aliprosessien luomisesta on asetettu estotilaan.

  1. Ota vianmääritystila käyttöön ja kirjaudu laitteeseen.

  2. Käynnistä laajennettu PowerShell-komentokehote ja suorita seuraava komento:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. Kun olet poistanut ASR-säännön käytöstä, varmista, että Microsoft Office -laajennus toimii nyt.

Lisätietoja on kohdassa Yleiskatsaus hyökkäyspinnan pienentämisestä.

Skenaario 5: Verkon suojauksen estämä toimialue

Verkon suojaus estää Microsoftin toimialueen käytön, mikä estää käyttäjiä käyttämästä sitä.

  1. Ota vianmääritystila käyttöön ja kirjaudu laitteeseen.

  2. Käynnistä laajennettu PowerShell-komentokehote ja suorita seuraava komento:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. Kun olet poistanut verkon suojauksen käytöstä, tarkista, onko toimialue nyt sallittu.

Lisätietoja on artikkelissa Verkon suojauksen käyttäminen estämään yhteydet virheellisiin sivustoihin.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.