שתף באמצעות


תחילת העבודה עם מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מצב פתרון בעיות ב- Microsoft Defender עבור נקודת קצה מאפשר למנהלי מערכת לפתור בעיות בתכונות שונות Microsoft Defender אנטי-וירוס, גם אם מכשירים מנוהלים על-ידי מדיניות ארגונית. לדוגמה, אם הגנה מפני טיפול שלא כדין מופעלת, לא ניתן לשנות או לכבות הגדרות מסוימות, אך באפשרותך להשתמש במצב פתרון בעיות במכשיר כדי לערוך הגדרות אלה באופן זמני.

מצב פתרון בעיות אינו זמין כברירת מחדל, ודורש ממך להפעיל אותו עבור מכשיר (ו/או קבוצת מכשירים) לזמן מוגבל. מצב פתרון בעיות הוא רק תכונה לארגונים בלבד, והוא דורש Microsoft Defender לפורטל.

עצה

  • במהלך מצב פתרון בעיות, באפשרותך להשתמש בפקודה PowerShell Set-MPPreference -DisableTamperProtection $true במכשירי Windows.
  • כדי לבדוק את המצב של הגנה מפני טיפול שלא כדין, באפשרותך להשתמש ב- cmdlet של PowerShell Get-MpComputerStatus . ברשימת התוצאות, חפש את או IsTamperProtectedRealTimeProtectionEnabled. (ערך של True פירושו שהגנה מפני טיפול שלא כדין זמינה.) .

מה עליך לדעת לפני שתתחיל?

במהלך מצב פתרון בעיות, באפשרותך להשתמש בפקודה PowerShell Set-MPPreference -DisableTamperProtection $true או, במערכות הפעלה של לקוח, אפליקציית מרכז האבטחה כדי לבטל באופן זמני הגנה מפני טיפול שלא כדין במכשיר שלך ולבצע את שינויי התצורה הדרושים.

  • השתמש במצב פתרון בעיות כדי לבטל/לשנות את הגדרת ההגנה מפני טיפול שלא כדין כדי לבצע:

    • Microsoft Defender אנטי-וירוס פונקציונלי /תאימות יישומים (בלוקים חיוביים מוטעים של אפליקציות).
  • מנהלי מערכת מקומיים, בעלי הרשאות מתאימות, יכולים לשנות תצורות ב נקודות קצה בודדות הנעולות בדרך כלל על-ידי מדיניות. שימוש במכשיר במצב פתרון בעיות יכול להיות שימושי בעת אבחון Microsoft Defender ותרחישי תאימות של אנטי-וירוס.

    • מנהלי מערכת מקומיים אינם יכולים לבטל את האנטי Microsoft Defender אנטי-וירוס או להסיר את התקנתו.

    • מנהלי מערכת מקומיים יכולים לקבוע את התצורה של כל הגדרות האבטחה האחרות בחבילת Microsoft Defender אנטי-וירוס (לדוגמה, הגנה בענן, הגנה מפני טיפול שלא כדין).

  • למנהלי מערכת בעלי הרשאות 'ניהול הגדרות אבטחה' יש גישה להפעלה של מצב פתרון בעיות.

  • Microsoft Defender עבור נקודת קצה אוספת יומני רישום ותוני חקירה לאורך תהליך פתרון הבעיות.

    • תמונה של נלקחת MpPreference לפני תחילת מצב פתרון הבעיות.

    • תמונה שניה נלקחת ממש לפני שתוקף מצב פתרון הבעיות פג.

    • יומני תפעול מתוך מצב פתרון בעיות נאספים גם הם.

    • יומני רישום וצילומים נאספים וזמינים לאיסוף על-ידי מנהל מערכת באמצעות התכונה 'איסוף חבילת חקירה' בדף המכשיר. Microsoft לא תסיר נתונים אלה מהמכשיר עד שמנהל מערכת יאסוף אותם.

  • מנהלי מערכת יכולים גם לסקור את השינויים בהגדרות שבוצעו במהלך מצב פתרון מציג האירועים במכשיר עצמו.

  • מצב פתרון בעיות נכבה באופן אוטומטי לאחר הגעה לזמן התפוגה (הוא נשמר במשך 4 שעות). לאחר התפוגה, כל התצורות המנוהלות על-ידי מדיניות יהפכו שוב למצב קריאה בלבד ותחזור לאופן שבו תצורת המכשיר נקבעה לפני הפיכת מצב פתרון בעיות לזמין.

  • ייתכן שחלפו עד 15 דקות ממשעה שבה הפקודה נשלחת Microsoft Defender XDR כאשר היא הופכת לפעילה במכשיר.

  • הודעות נשלחות למשתמש כאשר מצב פתרון בעיות מתחיל ומתי מסתיים מצב פתרון בעיות. אזהרה נשלחת גם כדי לציין שמצב פתרון בעיות מסתיים בקרוב.

  • ההתחלה והסיום של מצב פתרון בעיות מזוהות בדף 'ציר זמן של מכשיר' במכשיר.

  • באפשרותך לבצע שאילתה על כל אירועי מצב פתרון הבעיות בשלבי ציד מתקדמים.

הערה

שינויים בניהול מדיניות מוחלים על המכשיר כאשר הוא פעיל במצב פתרון בעיות. עם זאת, השינויים לא ייכנסו לתוקף עד שתוקף מצב פתרון הבעיות יפוג. בנוסף, Microsoft Defender של פלטפורמת האנטי-וירוס אינם מוחלים במהלך מצב פתרון בעיות. עדכוני פלטפורמה מוחלים כאשר מצב פתרון בעיות מסתיים בעדכון של Windows.

דרישות מוקדמות

  • מכשיר שבו פועל Windows 10 (גירסה 19044.1618 ואילך), Windows 11, Windows Server 2019 או Windows Server 2022.

    סמסטר/רדסטון גירסת מערכת ההפעלה הפצה
    21H2/SV1 >22000.593 של ==22000 KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1 >19042.1620 של ==19042
    >19041.1620 של ==19041
    >19043.1620 של ==19043
    KB5011543: Microsoft Update Catalog
    Windows Server 2022 >20348.617 של ==20348.617 KB5011558: Microsoft Update Catalog
    Windows Server 2019 (RS5) >17763.2746 של ==17763 KB5011551: Microsoft Update Catalog
  • מצב פתרון בעיות זמין גם עבור מחשבים שבהם פועל הפתרון המאוחד המודרני עבור Windows Server 2012 R2 ו- Windows Server 2016. לפני השימוש במצב פתרון בעיות, ודא שכל הרכיבים הבאים מעודכנים:

  • כדי להחיל מצב פתרון בעיות, Microsoft Defender עבור נקודת קצה חייב להיות רשום לדייר ופעיל במכשיר.

  • המכשיר חייב לפעול באופן פעיל עם תוכנת Microsoft Defender, גירסה 4.18.2203 ואילך.

הפוך מצב פתרון בעיות לזמין

  1. עבור אל Microsoft Defender (https://security.microsoft.com) והיכנס.

  2. נווט אל דף המכשיר/דף המחשב של המכשיר שברצונך להפעיל במצב פתרון בעיות. בחר הפעל מצב פתרון בעיות. דרושות לך הרשאות 'ניהול הגדרות אבטחה במרכז האבטחה' עבור Microsoft Defender עבור נקודת קצה.

    הפעלת מצב פתרון בעיות

הערה

האפשרות הפעל מצב פתרון בעיות זמינה בכל המכשירים, גם אם המכשיר אינו עומד בדרישות המוקדמות עבור מצב פתרון בעיות.

  1. אשר שברצונך להפעיל מצב פתרון בעיות עבור המכשיר.

    התפריט הנשלף של התצורה

  2. דף המכשיר מציג שהמכשיר נמצא כעת במצב פתרון בעיות.

    המכשיר נמצא כעת במצב פתרון בעיות

שאילתות ציד מתקדמות

להלן כמה שאילתות ציד מתקדמות שנבנו מראש כדי להעניק לך ניראות לגבי האירועים לפתרון בעיות המתרחשים בסביבה שלך. באפשרותך גם להשתמש בשאילתות אלה כדי ליצור כללי זיהוי כדי ליצור התראות כאשר מכשירים נמצאים במצב פתרון בעיות.

קבלת אירועי פתרון בעיות עבור מכשיר מסוים

חפש לפי deviceId או deviceName על-ידי הוספת הערות לשורות המתאימות.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

מכשירים הנמצאים כעת במצב פתרון בעיות

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

ספירת מופעי מצב פתרון בעיות לפי מכשיר

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

ספירה כוללת

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

עצה

עצת ביצועים בשל מגוון גורמים, תוכנת האנטי-וירוס Microsoft Defender, כמו תוכנות אנטי-וירוס אחרות, עלולה לגרום לבעיות ביצועים במכשירי נקודת קצה. במקרים מסוימים, ייתכן שיהיה עליך לכוונן את הביצועים של תוכנת האנטי Microsoft Defender אנטי-וירוס כדי להקל על בעיות ביצועים אלה. מנתח הביצועים של Microsoft הוא כלי שורת פקודה של PowerShell שמסייע לקבוע אילו קבצים, נתיבי קבצים, תהליכים וסומות קבצים עלולים לגרום לבעיות ביצועים; להלן כמה דוגמאות:

  • נתיבים מובילים המשפיעים על זמן הסריקה
  • קבצים מובילים שמשפיעים על זמן הסריקה
  • תהליכים מובילים המשפיעים על זמן הסריקה
  • סיומות קבצים מובילות שמשפיעות על זמן הסריקה
  • שילובים – לדוגמה:
    • קבצים מובילים לכל סיומת
    • נתיבים מובילים לכל הרחבה
    • תהליכים מובילים לכל נתיב
    • סריקות מובילות לכל קובץ
    • סריקות מובילות לכל קובץ לכל תהליך

באפשרותך להשתמש במידע שנאסף באמצעות מנתח הביצועים כדי להעריך טוב יותר בעיות ביצועים ולהחיל פעולות תיקון. ראה: מנתח הביצועים עבור Microsoft Defender אנטי-וירוס.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.