Ismerkedés a végponthoz készült Microsoft Defender hibaelhárítási módjával

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender
• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Microsoft Defender hibaelhárítási módja lehetővé teszi a rendszergazdák számára a Microsoft Defender víruskereső különböző funkcióinak hibaelhárítását, még akkor is, ha az eszközöket szervezeti szabályzatok kezelik. Ha például az illetéktelen módosítás elleni védelem engedélyezve van, bizonyos beállítások nem módosíthatók vagy kapcsolhatók ki, de az eszközön a hibaelhárítási mód használatával ideiglenesen szerkesztheti ezeket a beállításokat.

A hibaelhárítási mód alapértelmezés szerint le van tiltva, és korlátozott ideig be kell kapcsolnia egy eszközön (és/vagy eszközcsoporton). A hibaelhárítási mód kizárólag nagyvállalati szintű szolgáltatás, és a Microsoft Defender portálhoz való hozzáférést igényel.

Tipp

• A hibaelhárítási mód során használhatja a PowerShell-parancsot Set-MPPreference -DisableTamperProtection $true Windows-eszközökön.
• Az illetéktelen módosítás elleni védelem állapotának ellenőrzéséhez használja a Get-MpComputerStatus PowerShell-parancsmagot. Az eredmények listájában keresse meg a vagy RealTimeProtectionEnableda IsTamperProtected elemet. (Az igaz érték azt jelenti, hogy az illetéktelen módosítás elleni védelem engedélyezve van.) .

Mit kell tudnia a kezdés előtt?

A hibaelhárítási mód során használhatja a PowerShell-parancsot Set-MPPreference -DisableTamperProtection $true , vagy az ügyféloldali operációs rendszereken a Security Center alkalmazással ideiglenesen letilthatja az illetéktelen módosítás elleni védelmet az eszközön, és elvégezheti a szükséges konfigurációs módosításokat.

• Használja a hibaelhárítási módot az illetéktelen módosítás elleni védelem letiltásához/módosításához a következő műveletek végrehajtásához:

  • A Microsoft Defender víruskereső működési hibaelhárítása /alkalmazáskompatibilitás (téves pozitív alkalmazásblokkok).

• A megfelelő engedélyekkel rendelkező helyi rendszergazdák módosíthatják az egyes végpontok konfigurációit, amelyeket általában szabályzat zárol. Ha egy eszköz hibaelhárítási módban van, hasznos lehet a Microsoft Defender víruskereső teljesítményének és kompatibilitási forgatókönyveinek diagnosztizálásakor.

  • A helyi rendszergazdák nem kapcsolhatják ki a Microsoft Defender víruskeresőt, és nem távolíthatják el.

  • A helyi rendszergazdák konfigurálhatják a Microsoft Defender víruskereső programcsomag összes többi biztonsági beállítását (például a felhővédelmet, az illetéktelen módosítás elleni védelmet).

• A "Biztonsági beállítások kezelése" engedélyekkel rendelkező rendszergazdák hozzáférhetnek a hibaelhárítási mód bekapcsolásához.

• A Végponthoz készült Microsoft Defender a hibaelhárítási folyamat során naplókat és vizsgálati adatokat gyűjt.

  • A hibaelhárítási MpPreference mód megkezdése előtt pillanatkép készül a pillanatképről.

  • A hibaelhárítási mód lejárata előtt készül egy második pillanatkép.

  • A hibaelhárítási módból származó működési naplókat is gyűjtjük.

  • A rendszer összegyűjti a naplókat és a pillanatképeket, és az eszközoldalon található Vizsgálati csomag összegyűjtése funkcióval a rendszergazdák számára elérhetők. A Microsoft addig nem távolítja el ezeket az adatokat az eszközről, amíg egy rendszergazda nem gyűjti azokat.

• A rendszergazdák az eszköz Eseménynaplójának hibaelhárítási módjában végrehajtott beállítások módosításait is áttekinthetik.

  • Nyissa meg az Eseménynaplót, majd bontsa ki az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>Windows Defender elemet, majd válassza az Operatív lehetőséget.
  • A lehetséges események közé tartozhatnak az 5000,5001, 5004, 5007 és egyéb azonosítójú események. További részletekért lásd: Eseménynaplók és hibakódok áttekintése a Microsoft Defender víruskeresővel kapcsolatos problémák elhárításához.

• A hibaelhárítási mód automatikusan kikapcsol a lejárati idő elérése után (4 óráig tart). A lejárat után a szabályzattal felügyelt összes konfiguráció újra írásvédetté válik, és a hibaelhárítási mód engedélyezése előtt visszaáll az eszköz konfigurálásának módjára.

• Akár 15 percet is igénybe vehet, amíg a parancsot a Rendszer elküldi a Microsoft Defender XDR-ből, amíg az aktívvá válik az eszközön.

• A rendszer értesítéseket küld a felhasználónak a hibaelhárítási mód kezdetekor és a hibaelhárítási mód végekor. A rendszer egy figyelmeztetést is küld, amely jelzi, hogy a hibaelhárítási mód hamarosan véget ér.

• A hibaelhárítási mód kezdetét és végét az eszközoldal Eszköz idővonala területén találja.

• Speciális veszélyforrás-keresés esetén lekérdezheti az összes hibaelhárítási módú eseményt.

Megjegyzés:

A szabályzatkezelési módosítások akkor lépnek életbe az eszközön, ha az aktívan hibaelhárítási módban van. A módosítások azonban csak a hibaelhárítási mód lejárata után lépnek érvénybe. Emellett a Microsoft Defender víruskereső platform frissítései nem lesznek alkalmazva a hibaelhárítási módban. A platformfrissítések akkor lesznek alkalmazva, ha a hibaelhárítási mód windowsos frissítéssel végződik.

Előfeltételek

• Windows 10 (19044.1618-es vagy újabb verzió), Windows 11, Windows Server 2019 vagy Windows Server 2022 rendszerű eszköz.

  Félév/Vöröskő	Operációs rendszer verziója	Kiadás
  21H2/SV1	>=22000,593	KB5011563: Microsoft Update Catalog
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543: Microsoft Update Catalog
  Windows Server 2022	>=20348.617	KB5011558: Microsoft Update Catalog
  Windows Server 2019 (RS5)	>=17763,2746	KB5011551: Microsoft Update-katalógus

• A hibaelhárítási mód a Windows Server 2012 R2 és a Windows Server 2016 modern, egységesített megoldását futtató gépeken is elérhető. A hibaelhárítási mód használata előtt győződjön meg arról, hogy az alábbi összetevők mindegyike naprakész:

  • Sense verzió 10.8049.22439.1084 vagy újabb (KB5005292: Microsoft Update Catalog)
  • Microsoft Defender víruskereső – Platform: 4.18.2207.7 vagy újabb (KB4052623: Microsoft Update Catalog)
  • Microsoft Defender víruskereső – Motor: 1.1.19500.2 vagy újabb (KB2267602: Microsoft Update Catalog)

• A hibaelhárítási mód alkalmazásához a Végponthoz készült Microsoft Defendernek bérlői regisztrációval kell rendelkeznie, és aktívnak kell lennie az eszközön.

• Az eszköznek aktívan futtatnia kell a Microsoft Defender víruskereső 4.18.2203-es vagy újabb verzióját.

Hibaelhárítási mód engedélyezése

1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.

2. Keresse meg annak az eszköznek az eszközoldalát/gépoldalát, amelyen be szeretné kapcsolni a hibaelhárítási módot. Válassza a Hibaelhárítási mód bekapcsolása lehetőséget. A Végponthoz készült Microsoft Defenderhez "Biztonsági beállítások kezelése a Security Centerben" engedélyekkel kell rendelkeznie.

   

Megjegyzés:

A Hibaelhárítási mód bekapcsolása lehetőség minden eszközön elérhető, még akkor is, ha az eszköz nem felel meg a hibaelhárítási mód előfeltételeinek.

3. Győződjön meg arról, hogy be szeretné kapcsolni az eszköz hibaelhárítási módját.

   

4. Az eszközoldalon látható, hogy az eszköz hibaelhárítási módban van.

   

Speciális keresési lekérdezések

Íme néhány előre összeállított speciális veszélyforrás-keresési lekérdezés, amely betekintést nyújt a környezetben előforduló hibaelhárítási eseményekbe. Ezekkel a lekérdezésekkel észlelési szabályokat is létrehozhat riasztások létrehozásához, ha az eszközök hibaelhárítási módban vannak.

Adott eszköz hibaelhárítási eseményeinek lekérése

Keressen a deviceId vagy a deviceName alapján a megfelelő sorok megjegyzésével.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Jelenleg hibaelhárítási módban lévő eszközök

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Hibaelhárítási módú példányok száma eszközönként

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Teljes szám

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Kapcsolódó cikkek

Tipp

Teljesítménnyel kapcsolatos tipp Számos tényező miatt a Microsoft Defender víruskereső más víruskereső szoftverekhez hasonlóan teljesítményproblémákat okozhat a végponteszközökön. Bizonyos esetekben előfordulhat, hogy a teljesítményproblémák enyhítése érdekében hangolnia kell a Microsoft Defender víruskereső teljesítményét. A Microsoft Teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni, hogy mely fájlok, fájlelérési utak, folyamatok és fájlkiterjesztések okozhatnak teljesítményproblémákat; néhány példa:

• A vizsgálati időt befolyásoló leggyakoribb elérési utak
• A vizsgálati időt befolyásoló leggyakoribb fájlok
• A vizsgálati időt befolyásoló legfontosabb folyamatok
• A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
• Kombinációk – például:
  • top files per extension
  • top paths per extension
  • top process per path
  • top scans per file
  • top scans per file per process

A Teljesítményelemzővel összegyűjtött információk segítségével jobban felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat. Lásd: Teljesítményelemző a Microsoft Defender víruskeresőhöz.

• Hibaelhárítási mód forgatókönyvei
• A biztonsági beállítások védelme az illetéktelen módosítás elleni védelemmel

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.