תחילת העבודה עם מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה

מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה מאפשר למנהלי מערכת לפתור בעיות בתכונות שונות Microsoft Defender אנטי-וירוס, גם אם מכשירים מנוהלים על-ידי מדיניות ארגונית. לדוגמה, אם הגנה מפני טיפול שלא כדין מופעלת, לא ניתן לשנות או לכבות הגדרות מסוימות, אך באפשרותך להשתמש במצב פתרון בעיות במכשיר כדי לערוך הגדרות אלה באופן זמני.

מצב פתרון בעיות אינו זמין כברירת מחדל, ודורש ממך להפעיל אותו עבור מכשיר (ו/או קבוצת מכשירים) לזמן מוגבל. מצב פתרון בעיות הוא רק תכונה של ארגון בלבד, והוא דורש Microsoft Defender לפורטל.

מאמר זה מתאר מצב פתרון בעיות עבור מכשירי Windows. לקבלת מידע אודות מצב פתרון בעיות ב- Mac, ראה מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה ב- macOS.

עצה

• במהלך מצב פתרון בעיות, באפשרותך להשתמש בפקודה PowerShell Set-MPPreference -DisableTamperProtection $true במכשירי Windows.
• כדי לבדוק את המצב של הגנה מפני טיפול שלא כדין, באפשרותך להשתמש ב- cmdlet של PowerShell Get-MpComputerStatus . ברשימת התוצאות, חפש את או IsTamperProtectedRealTimeProtectionEnabled. (ערך של True פירושו שהגנה מפני טיפול שלא כדין זמינה.)
• עבור מכשירי Mac, ראה מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה ב- macOS.

מה עליך לדעת לפני שתתחיל?

במהלך מצב פתרון בעיות, באפשרותך להשתמש בפקודה PowerShell Set-MPPreference -DisableTamperProtection $true או, במערכות הפעלה של לקוח, אפליקציית מרכז האבטחה כדי לבטל באופן זמני הגנה מפני טיפול שלא כדין במכשיר שלך ולבצע את שינויי התצורה הדרושים.

באפשרותך להשתמש במצב פתרון בעיות כדי לפתור בעיות או לבדוק תאימות יישומים ל- Microsoft Defender אנטי-וירוס, למשל כאשר תוצאות חיוביות מוטעות מתרחשות בבלוקים של אפליקציות.

עם ההרשאות המתאימות, מנהלי מערכת מקומיים יכולים לשנות את התצורה במכשירים בודדים הננעלים בדרך כלל על-ידי מדיניות. שימוש במכשיר במצב פתרון בעיות יכול להיות שימושי בעת אבחון Microsoft Defender ותרחישי תאימות של אנטי-וירוס. מנהלי מערכת מקומיים אינם יכולים לבטל את האנטי Microsoft Defender אנטי-וירוס או להסיר את התקנתו. מנהלי מערכת מקומיים יכולים לקבוע את התצורה של כל הגדרות האבטחה האחרות בחבילת האנטי-וירוס של Microsoft Defender (לדוגמה, הגנה בענן, הגנה מפני טיפול שלא כדין).

מנהלי מערכת חייבים להיות בעלי הרשאות 'ניהול הגדרות אבטחה' כדי להפעיל מצב פתרון בעיות.

Defender for Endpoint אוסף יומני רישום ותוני חקירה לאורך תהליך פתרון הבעיות.

• תמונה של נלקחת MpPreference לפני תחילת מצב פתרון הבעיות.
• תמונה שניה נלקחת ממש לפני שתוקף מצב פתרון הבעיות פג.
• יומני תפעול מתוך מצב פתרון בעיות נאספים גם הם.
• יומני רישום וצילומים נאספים וזמינים למנהל מערכת לאיסוף באמצעות התכונה 'איסוף חבילת חקירה' בדף המכשיר. Microsoft אינה מסירה נתונים אלה מהמכשיר עד שמנהל המערכת אוסף אותם.

מנהלי מערכת יכולים גם לסקור את השינויים בהגדרות שבוצעו במהלך מצב פתרון מציג האירועים במכשיר עצמו.

• פתח מציג האירועים ולאחר מכן הרחב את יומני רישום יישומים ושירותים>של Microsoft>Windows>Windows Defender ולאחר מכן בחר תפעולי.
• אירועים פוטנציאליים יכולים לכלול אירועים עם זהויות 5000, 5001, 5004, 5007 ואחרים. ראה פרטים נוספים במאמר סקירת יומני אירועים וקודים של שגיאות כדי לפתור בעיות ב- Microsoft Defender אנטי-וירוס.

מצב פתרון בעיות נכבה באופן אוטומטי לאחר הגעה לזמן התפוגה שלו (הוא נשמר במשך 4 שעות). כאשר פג תוקפו של מצב פתרון בעיות, כל התצורות המנוהלות על-ידי מדיניות הופכות שוב למצב קריאה בלבד ו חוזרות לאופן שבו תצורת המכשיר נקבעה לפני הפיכת מצב פתרון בעיות לזמין.

הערה

מצב פתרון בעיות מוגבל ל- 8 שעות ביום לכל מכשיר. אין אפשרות לשנות זאת. המיכסה של 8 שעות מאפסת 24 שעות לאחר שמצב פתרון הבעיות מופעל תחילה.

פעולה זו עשויה להימשך עד 15 דקות ממ מועד שליחת הפקודה Microsoft Defender XDR כאשר היא הופכת לפעילה במכשיר.

הודעות נשלחות למשתמש כאשר מצב פתרון בעיות מתחיל ומתי מסתיים מצב פתרון בעיות. אזהרה נשלחת גם כדי לציין שמצב פתרון בעיות מסתיים בקרוב. ההתחלה והסיום של מצב פתרון הבעיות מזוהים גם בפורטל Microsoft Defender, בדף ציר זמן של מכשירים במכשיר.

באפשרותך לבצע שאילתה על כל אירועי מצב פתרון הבעיות בשלבי ציד מתקדמים.

הערה

שינויים בניהול מדיניות מוחלים על המכשיר כאשר הוא פעיל במצב פתרון בעיות. עם זאת, השינויים ייכנסו לתוקף רק לאחר שתוקף מצב פתרון הבעיות יפוג. בנוסף, Microsoft Defender של פלטפורמת האנטי-וירוס אינם מוחלים במהלך מצב פתרון בעיות. עדכוני פלטפורמה מוחלים כאשר מצב פתרון בעיות מסתיים בעדכון של Windows.

דרישות מוקדמות

• במכשירים חייבת לפעול מערכת הפעלה נתמכת.

  • Windows 10 (גירסה 19044.1618 ואילך)

  • Windows 11

  • Windows Server 2019 ואילך

  • Azure Stack HCI OS, גרסה 23H2 ואילך.

    סמסטר/רדסטון	גירסת מערכת ההפעלה	הפצה
    21H2/SV1	22000.593 או גירסה מתקדמת יותר	KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1	19042.1620 או גירסה מתקדמת יותר 19041.1620 או גירסה מתקדמת יותר 19043.1620 או גירסה מתקדמת יותר	KB5011543: Microsoft Update Catalog
    Windows Server 2022 ואילך	20348.617 או גירסה מתקדמת יותר	KB5011558: Microsoft Update Catalog
    Windows Server 2019 (RS5)	17763.2746 או גירסה מתקדמת יותר	KB5011551: Microsoft Update Catalog

  • Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, עם כל הרכיבים הבאים מעודכנים:

    רכיב	גירסה	הפצה
    גירסת חישת	10.8049.22439.1084 או גירסה מתקדמת יותר	KB5005292: Microsoft Update Catalog
    האנטי-וירוס של Microsoft Defender	פלטפורמה: 4.18.2207.7 או גירסה מתקדמת יותר	KB4052623: Microsoft Update Catalog
    האנטי-וירוס של Microsoft Defender	מנוע: 1.1.19500.2 או גירסה מתקדמת יותר	KB2267602: Microsoft Update Catalog

• Defender for Endpoint חייב להיות רשום לדייר ופעיל במכשיר.

• המכשירים חייבים לפעול באופן פעיל עם Microsoft Defender אנטי-וירוס, גירסה 4.18.2203 or later.

• עבור מכשירי macOS, ראה דרישות מוקדמות למצב פתרון בעיות ב- Mac.

הפוך מצב פתרון בעיות לזמין

1. עבור אל Microsoft Defender והיכנס.

2. נווט אל דף המכשיר/דף המחשב של המכשיר שברצונך להפעיל במצב פתרון בעיות. בחר הפעל מצב פתרון בעיות. דרושות לך הרשאות 'ניהול הגדרות אבטחה במרכז האבטחה' עבור Microsoft Defender עבור נקודת קצה.

   

   הערה

   האפשרות הפעל מצב פתרון בעיות זמינה בכל המכשירים, גם אם המכשיר אינו עומד בדרישות המוקדמות עבור מצב פתרון בעיות.

3. אשר שברצונך להפעיל מצב פתרון בעיות עבור המכשיר.

   

4. דף המכשיר מציג שהמכשיר נמצא כעת במצב פתרון בעיות.

   

שאילתות ציד מתקדמות

להלן כמה שאילתות ציד מתקדמות שנבנו מראש כדי להעניק לך ניראות לגבי האירועים לפתרון בעיות המתרחשים בסביבה שלך. באפשרותך גם להשתמש בשאילתות אלה כדי ליצור כללי זיהוי כדי ליצור התראות כאשר מכשירים נמצאים במצב פתרון בעיות.

קבלת אירועי פתרון בעיות עבור מכשיר מסוים

חפש לפי deviceId או deviceName על-ידי הוספת הערות לשורות המתאימות.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

מכשירים הנמצאים כעת במצב פתרון בעיות

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

ספירת מופעי מצב פתרון בעיות לפי מכשיר

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

ספירה כוללת

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

מאמרים קשורים

• מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה ב- macOS
• מנתח הביצועים עבור אנטי Microsoft Defender אנטי-וירוס.
• תרחישי מצב פתרון בעיות
• הגנה על הגדרות אבטחה באמצעות הגנה מפני חבלה