Scénarios de mode de résolution des problèmes dans Microsoft Defender pour point de terminaison

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Microsoft Defender pour point de terminaison mode de résolution des problèmes vous permet de résoudre les problèmes de diverses fonctionnalités antivirus Microsoft Defender en les activant à partir de l’appareil et en testant différents scénarios, même s’ils sont contrôlés par la stratégie de organization. Le mode de résolution des problèmes est désactivé par défaut et vous oblige à l’activer pour un appareil (et/ou un groupe d’appareils) pendant une durée limitée. Il s’agit exclusivement d’une fonctionnalité d’entreprise et nécessite un accès Microsoft Defender XDR.

Pour résoudre les problèmes spécifiques aux performances liés à l’antivirus Microsoft Defender, consultez : Analyseur de performances pour Microsoft Defender Antivirus.

Conseil

  • En mode résolution des problèmes, vous pouvez utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell sur les appareils Windows.
  • Pour case activée l’état de la protection contre les falsifications, vous pouvez utiliser l’applet de commande PowerShell Get-MpComputerStatus. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.)

Scénario 1 : Impossible d’installer l’application

Si vous souhaitez installer une application mais que vous recevez un message d’erreur indiquant que Microsoft Defender antivirus et la protection contre les falsifications est activée, utilisez la procédure suivante pour résoudre le problème.

  1. Demandez à l’administrateur de la sécurité d’activer le mode résolution des problèmes. Vous recevez une notification Sécurité Windows une fois le mode de résolution des problèmes démarré.

  2. Connectez-vous à l’appareil (à l’aide des services Terminal Server, par exemple) avec des autorisations d’administrateur local.

  3. Démarrez Process Monitor (ProcMon). Consultez les étapes décrites dans Résoudre les problèmes de performances liés à la protection en temps réel.

  4. Accédez à Sécurité> WindowsMenaces & protection antivirus>Gérer les paramètres>Protection contre les falsifications>Désactivé.

    Vous pouvez également utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell sur les appareils Windows pendant le mode résolution des problèmes.

    Pour case activée l’état de la protection contre les falsifications, vous pouvez utiliser l’applet de commande PowerShell Get-MpComputerStatus. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.)

  5. Lancez une invite de commandes PowerShell avec élévation de privilèges et désactivez la protection en temps réel.

    • Exécutez Get-MpComputerStatus pour case activée la status de la protection en temps réel.
    • Exécutez Set-MpPreference -DisableRealtimeMonitoring $true pour désactiver la protection en temps réel.
    • Réexécutez Get-MpComputerStatus pour vérifier status.

  6. Essayez d’installer l’application.

Scénario 2 : Utilisation élevée du processeur en raison de la Windows Defender (MsMpEng.exe)

Parfois, pendant une analyse planifiée, MsMpEng.exe peut consommer un processeur élevé.

  1. Accédez à l’ongletDétails du Gestionnaire> des tâches pour confirmer que c’est MsMpEng.exe la raison de l’utilisation élevée du processeur. En outre, case activée pour voir si une analyse planifiée est en cours.

  2. Exécutez Process Monitor (ProcMon) pendant le pic de processeur pendant environ cinq minutes, puis examinez le journal ProcMon pour obtenir des indices.

  3. Lorsque la cause racine est déterminée, activez le mode résolution des problèmes.

  4. Connectez-vous à l’appareil et lancez une invite de commandes PowerShell avec élévation de privilèges.

  5. Ajoutez des exclusions process/file/folder/extension basées sur les résultats de ProcMon à l’aide de l’une des commandes suivantes (les exclusions de chemin d’accès, d’extension et de processus mentionnées dans cet article ne sont que des exemples) :

    Set-mppreference -ExclusionPath (par exemple, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (par exemple, .dbx) Set-mppreference –ExclusionProcess (par exemple, C:\DB\Bin\Convertdb.exe)

  6. Après avoir ajouté l’exclusion, case activée pour voir si l’utilisation du processeur a diminué.

Pour plus d’informations sur Set-MpPreference les préférences de configuration des applets de commande pour les analyses et mises à jour antivirus Microsoft Defender, consultez Set-MpPreference.

Scénario 3 : L’application prend plus de temps pour effectuer une action

Lorsque Microsoft Defender protection antivirus en temps réel est activée, les applications peuvent prendre plus de temps pour effectuer les tâches de base. Pour désactiver la protection en temps réel et résoudre le problème, procédez comme suit.

  1. Demandez à l’administrateur de la sécurité d’activer le mode résolution des problèmes sur l’appareil.

  2. Pour désactiver la protection en temps réel pour ce scénario, désactivez d’abord la protection contre les falsifications. Vous pouvez utiliser la commande Set-MPPreference -DisableTamperProtection $true PowerShell sur les appareils Windows.

    Pour case activée l’état de la protection contre les falsifications, vous pouvez utiliser l’applet de commande PowerShell Get-MpComputerStatus. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.)

    Pour plus d’informations, consultez Protéger les paramètres de sécurité avec la protection contre les falsifications.

  3. Une fois la protection contre les falsifications désactivée, connectez-vous à l’appareil.

  4. Lancez une invite de commandes PowerShell avec élévation de privilèges, puis exécutez la commande suivante :

    Set-mppreference -DisableRealtimeMonitoring $true

  5. Après avoir désactivé la protection en temps réel, case activée pour voir si l’application est lente.

Scénario 4 : Plug-in Microsoft Office bloqué par la réduction de la surface d’attaque

La réduction de la surface d’attaque ne permet pas au plug-in Microsoft Office de fonctionner correctement, car bloquer toutes les applications Office de la création de processus enfants est défini sur le mode bloquer.

  1. Activez le mode résolution des problèmes et connectez-vous à l’appareil.

  2. Lancez une invite de commandes PowerShell avec élévation de privilèges, puis exécutez la commande suivante :

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. Après avoir désactivé la règle ASR, vérifiez que le plug-in Microsoft Office fonctionne maintenant.

Pour plus d’informations, consultez Vue d’ensemble de la réduction de la surface d’attaque.

Scénario 5 : Domaine bloqué par la protection réseau

La protection réseau bloque le domaine Microsoft, empêchant les utilisateurs d’y accéder.

  1. Activez le mode résolution des problèmes et connectez-vous à l’appareil.

  2. Lancez une invite de commandes PowerShell avec élévation de privilèges, puis exécutez la commande suivante :

    Set-MpPreference -EnableNetworkProtection Disabled

  3. Après avoir désactivé la protection réseau, case activée pour voir si le domaine est maintenant autorisé.

Pour plus d’informations, consultez Utiliser la protection réseau pour empêcher les connexions aux sites défectueux.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.