Share via


תרחישי מצב פתרון בעיות Microsoft Defender עבור נקודת קצה

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

Microsoft Defender עבור נקודת קצה פתרון בעיות מאפשר לך לפתור בעיות של תכונות אנטי-וירוס שונות של Microsoft Defender על-ידי הפעלתן מהמכשיר ובדיקה של תרחישים שונים, גם אם המדיניות הארגונית שולטת בהן. מצב פתרון הבעיות אינו זמין כברירת מחדל ודורש ממך להפעיל אותו עבור מכשיר (ו/או קבוצת מכשירים) לזמן מוגבל. זוהי רק תכונה של ארגון בלבד, והיא דורשת Microsoft Defender XDR לגישה.

לפתרון בעיות ספציפיות לביצועים הקשורות לאנטי-וירוס Microsoft Defender, ראה: מנתח הביצועים עבור Microsoft Defender אנטי-וירוס.

עצה

  • במהלך מצב פתרון בעיות, באפשרותך להשתמש בפקודה PowerShell Set-MPPreference -DisableTamperProtection $true במכשירי Windows.
  • כדי לבדוק את המצב של הגנה מפני טיפול שלא כדין, באפשרותך להשתמש ב- cmdlet של PowerShell Get-MpComputerStatus . ברשימת התוצאות, חפש את או IsTamperProtectedRealTimeProtectionEnabled. (ערך של True פירושו שהגנה מפני טיפול שלא כדין זמינה.)

תרחיש 1: אין אפשרות להתקין יישום

אם ברצונך להתקין יישום אך אתה מקבל הודעת שגיאה Microsoft Defender האנטי-וירוס וההגנה מפני טיפול שלא כדין מופעלים, השתמש בהליך הבא כדי לפתור את הבעיה.

  1. בקש ממנהל האבטחה להפעיל מצב פתרון בעיות. אתה מקבל הודעה אבטחת Windows לאחר שמצב פתרון הבעיות מופעל.

  2. התחבר למכשיר (לדוגמה באמצעות שירותי מסוף) עם הרשאות מנהל מערכת מקומי.

  3. הפעל את Process Monitor (ProcMon). עיין בשלבים המתוארים במאמר פתרון בעיות ביצועים הקשורות להגנה בזמן אמת.

  4. עבור אל אבטחת Windows איום &>הגנה מפני וירוסים>נהל הגדרות הגנה מפני>טיפול שלא כדין>כבוי.

    לחלופין, במהלך מצב פתרון בעיות, באפשרותך להשתמש בפקודה PowerShell Set-MPPreference -DisableTamperProtection $true במכשירי Windows.

    כדי לבדוק את המצב של הגנה מפני טיפול שלא כדין, באפשרותך להשתמש ב- cmdlet של PowerShell Get-MpComputerStatus . ברשימת התוצאות, חפש את או IsTamperProtectedRealTimeProtectionEnabled. (ערך של True פירושו שהגנה מפני טיפול שלא כדין זמינה.)

  5. הפעל שורת פקודה עם הרשאות מלאות של PowerShell והחלף את מצב ההגנה בזמן אמת.

    • הפעל Get-MpComputerStatus כדי לבדוק את המצב של הגנה בזמן אמת.
    • הפעל Set-MpPreference -DisableRealtimeMonitoring $true כדי לכבות הגנה בזמן אמת.
    • הפעל Get-MpComputerStatus שוב כדי לאמת את המצב.
  6. נסה להתקין את היישום.

תרחיש 2: שימוש גבוה ב- CPU עקב Windows Defender (MsMpEng.exe)

לעתים במהלך סריקה מתוזמנת, MsMpEng.exe לצרוך CPU גבוה.

  1. עבור אל הכרטיסיה 'פרטי>מנהל המשימות' כדי לאשר MsMpEng.exe כי זו הסיבה העיקרית לשימוש גבוה ב- CPU. בנוסף, בדוק אם סריקה מתוזמנת מתבצעת כעת.

  2. הפעל את Process Monitor (ProcMon) במהלך דקר ה- CPU במשך כחמש דקות ולאחר מכן עיין ביומן ה- ProcMon לקבלת רמזים.

  3. כאשר סיבת הבסיס נקבעת, הפעל מצב פתרון בעיות.

  4. היכנס למכשיר והפעל שורת פקודה עם הרשאות מלאות של PowerShell.

  5. הוסף אי-הכללות של תהליך/קובץ/תיקיה/סיומת בהתבסס על ממצאי ProcMon באמצעות אחת מהפקודות הבאות (הנתיב, הסיומת והפריטים שאינם נכללים בתהליך המוזכרים במאמר זה הם דוגמאות בלבד):

    Set-mppreference -ExclusionPath (לדוגמה, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (לדוגמה, .dbx) Set-mppreference –ExclusionProcess (לדוגמה, C:\DB\Bin\Convertdb.exe)

  6. לאחר הוספת אי-ההכללה, בדוק אם השימוש ב- CPU שוחרר.

לקבלת מידע נוסף על Set-MpPreference העדפות התצורה של cmdlet עבור Microsoft Defender אנטי-וירוס ועדכונים, ראה Set-MpPreference.

תרחיש 3: ביצוע פעולת היישום נמשך זמן רב יותר

כאשר Microsoft Defender אנטי-וירוס מופעלת בזמן אמת, ביצוע משימות בסיסיות באפליקציות עשוי להימשך זמן רב יותר. כדי לבטל את ההגנה בזמן אמת ולפתור את הבעיה, השתמש בהליך הבא.

  1. בקש ממנהל אבטחה להפעיל מצב פתרון בעיות במכשיר.

  2. כדי להפוך הגנה בזמן אמת ללא זמינה עבור תרחיש זה, תחילה בטל את ההגנה מפני טיפול שלא כדין. באפשרותך להשתמש בפקודה PowerShell במכשירי Set-MPPreference -DisableTamperProtection $true Windows.

    כדי לבדוק את המצב של הגנה מפני טיפול שלא כדין, באפשרותך להשתמש ב- cmdlet של PowerShell Get-MpComputerStatus . ברשימת התוצאות, חפש את או IsTamperProtectedRealTimeProtectionEnabled. (ערך של True פירושו שהגנה מפני טיפול שלא כדין זמינה.)

    לקבלת מידע נוסף, ראה הגנה על הגדרות אבטחה באמצעות הגנה מפני טיפול שלא כדין.

  3. לאחר הפיכת ההגנה מפני טיפול שלא כדין ללא זמינה, היכנס למכשיר.

  4. הפעל שורת פקודה עם הרשאות מלאות של PowerShell והפעל את הפקודה הבאה:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. לאחר הפיכת הגנה בזמן אמת ללא זמינה, בדוק אם האפליקציה איטית.

תרחיש 4: תוסף Microsoft Office נחסם על-ידי Attack Surface Reduction

הפחתת פני השטח של ההתקפה אינה מאפשרת לתוסף Microsoft Office לפעול כראוי מכיוון שהאפשרות חסום את כל יישומי Office ביצירת תהליכי צאצא מוגדרת למצב חסימה.

  1. הפעל מצב פתרון בעיות והיכנס למכשיר.

  2. הפעל שורת פקודה עם הרשאות מלאות של PowerShell והפעל את הפקודה הבאה:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. לאחר הפיכת כלל ASR ללא זמין, ודא שתוסף Microsoft Office פועל כעת.

לקבלת מידע נוסף, ראה מבט כולל על צמצום פני השטח של ההתקפה.

תרחיש 5: תחום שנחסם על-ידי 'הגנה על רשת'

ההגנה על הרשת חוסמת את התחום של Microsoft, ומונעת ממשתמשים לגשת אליו.

  1. הפעל מצב פתרון בעיות והיכנס למכשיר.

  2. הפעל שורת פקודה עם הרשאות מלאות של PowerShell והפעל את הפקודה הבאה:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. לאחר הפיכת הגנת הרשת ללא זמינה, בדוק אם התחום מותר כעת.

לקבלת מידע נוסף, ראה שימוש בהגנת רשת כדי לסייע במניעת חיבורים לאתרים שגויים.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.