Ismerkedés a Végponthoz készült Microsoft Defender hibaelhárítási módjával

A Végponthoz készült Microsoft Defender hibaelhárítási módja lehetővé teszi a rendszergazdák számára a különböző Microsoft Defender víruskereső funkciók hibaelhárítását, még akkor is, ha az eszközöket szervezeti szabályzatok kezelik. Ha például az illetéktelen módosítás elleni védelem engedélyezve van, bizonyos beállítások nem módosíthatók vagy kapcsolhatók ki, de az eszközön a hibaelhárítási mód használatával ideiglenesen szerkesztheti ezeket a beállításokat.

A hibaelhárítási mód alapértelmezés szerint le van tiltva, és korlátozott ideig be kell kapcsolnia egy eszközön (és/vagy eszközcsoporton). A hibaelhárítási mód kizárólag vállalati funkció, és Microsoft Defender portálhoz való hozzáférést igényel.

Ez a cikk a Windows-eszközök hibaelhárítási módját ismerteti. További információ a Mac hibaelhárítási módjáról: Hibaelhárítási mód a macOS Végponthoz készült Microsoft Defender-ben.

Tipp

• A hibaelhárítási mód során használhatja a PowerShell-parancsot Set-MPPreference -DisableTamperProtection $true Windows-eszközökön.
• Az illetéktelen módosítás elleni védelem állapotának ellenőrzéséhez használja a Get-MpComputerStatus PowerShell-parancsmagot. Az eredmények listájában keresse meg a vagy RealTimeProtectionEnableda IsTamperProtected elemet. (Az igaz érték azt jelenti, hogy az illetéktelen módosítás elleni védelem engedélyezve van.)
• Mac-eszközök esetén lásd: Hibaelhárítási mód Végponthoz készült Microsoft Defender macOS rendszeren.

Mit kell tudnia a kezdés előtt?

A hibaelhárítási mód során használhatja a PowerShell-parancsot Set-MPPreference -DisableTamperProtection $true , vagy az ügyféloldali operációs rendszereken a Security Center alkalmazással ideiglenesen letilthatja az illetéktelen módosítás elleni védelmet az eszközön, és elvégezheti a szükséges konfigurációs módosításokat.

A hibaelhárítási móddal elháríthatja vagy ellenőrizheti az alkalmazáskompatibilitást Microsoft Defender víruskeresővel, például ha az alkalmazásblokkok téves pozitív eredményt adnak.

A megfelelő engedélyekkel a helyi rendszergazdák módosíthatják a konfigurációt az olyan eszközökön, amelyeket általában szabályzat zárol. Az eszközök hibaelhárítási módban való használata hasznos lehet Microsoft Defender víruskereső teljesítmény- és kompatibilitási forgatókönyveinek diagnosztizálásakor. A helyi rendszergazdák nem kapcsolhatják ki Microsoft Defender víruskeresőt, és nem távolíthatják el. A helyi rendszergazdák a Microsoft Defender víruskereső csomagban konfigurálhatják az összes többi biztonsági beállítást (például felhővédelmet, illetéktelen módosítás elleni védelmet).

A rendszergazdáknak "Biztonsági beállítások kezelése" engedéllyel kell rendelkezniük a hibaelhárítási mód bekapcsolásához.

A Végponthoz készült Defender a hibaelhárítási folyamat során naplókat és vizsgálati adatokat gyűjt.

• A hibaelhárítási MpPreference mód megkezdése előtt pillanatkép készül a pillanatképről.
• A hibaelhárítási mód lejárata előtt készül egy második pillanatkép.
• A hibaelhárítási módból származó működési naplókat is gyűjtjük.
• A rendszer naplókat és pillanatképeket gyűjt, amelyeket a rendszergazda az eszközoldal Vizsgálati csomag összegyűjtése funkciójával gyűjthet. A Microsoft addig nem távolítja el ezeket az adatokat az eszközről, amíg egy rendszergazda nem gyűjti azokat.

A rendszergazdák az eszköz eseménymegtekintő hibaelhárítási módjában végrehajtott beállítások módosításait is áttekinthetik.

• Nyissa meg eseménymegtekintő, majd bontsa ki az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>Windows Defender elemet, majd válassza az Operatív lehetőséget.
• A lehetséges események közé tartozhatnak az 5000,5001, 5004, 5007 és egyéb azonosítójú események. További részletekért lásd: Eseménynaplók és hibakódok áttekintése a Microsoft Defender víruskeresővel kapcsolatos problémák elhárításához.

A hibaelhárítási mód automatikusan kikapcsol a lejárati idő elérése után (4 óráig tart). Ha a hibaelhárítási mód lejárt, az összes szabályzattal felügyelt konfiguráció újra írásvédetté válik, és a hibaelhárítási mód engedélyezése előtt visszaállítja az eszköz konfigurálásának módját.

Megjegyzés:

A hibaelhárítási mód eszközönként napi 8 órára van korlátozva. Ez nem módosítható. A 8 órás kvóta alaphelyzetbe állítása a hibaelhárítási mód első engedélyezése után 24 órával történik.

A parancs Microsoft Defender XDR-ból való elküldésétől számítva akár 15 percet is igénybe vehet, amikor az aktívvá válik az eszközön.

A rendszer értesítéseket küld a felhasználónak a hibaelhárítási mód kezdetekor és a hibaelhárítási mód végekor. A rendszer egy figyelmeztetést is küld, amely jelzi, hogy a hibaelhárítási mód hamarosan véget ér. A hibaelhárítási mód kezdetét és végét is azonosítja a Microsoft Defender portáleszközoldalának Eszköz ütemterve területén.

Speciális veszélyforrás-keresés esetén lekérdezheti az összes hibaelhárítási módú eseményt.

Megjegyzés:

A szabályzatkezelési módosításokat a rendszer akkor alkalmazza az eszközre, ha az aktívan hibaelhárítási módban van. A módosítások azonban csak a hibaelhárítási mód lejárata után lépnek érvénybe. Emellett a Microsoft Defender víruskereső platform frissítései nem lesznek alkalmazva a hibaelhárítási módban. A platformfrissítések akkor lesznek alkalmazva, ha a hibaelhárítási mód windowsos frissítéssel végződik.

Előfeltételek

• Az eszközöknek támogatott operációs rendszert kell futtatniuk.

  • Windows 10 (19044.1618-es vagy újabb verzió)

  • Windows 11

  • 2019-Windows Server és újabb verziók

  • Azure Stack HCI operációs rendszer, 23H2-es és újabb verzió.

    Félév/Vöröskő	Operációs rendszer verziója	Kiadás
    21H2/SV1	22000.593 vagy újabb	KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1	19042.1620 vagy újabb 19041.1620 vagy újabb 19043.1620 vagy újabb	KB5011543: Microsoft Update Catalog
    2022-Windows Server vagy újabb verzió	20348.617 vagy újabb	KB5011558: Microsoft Update Catalog
    Windows Server 2019 (RS5)	17763.2746 vagy újabb	KB5011551: Microsoft Update-katalógus

  • Windows Server 2012 R2 és Windows Server 2016 a modern egységesített megoldással, az alábbi összetevőkkel együtt:

    Összetevő	Verzió	Kiadás
    Segédverzió	10.8049.22439.1084 vagy újabb	KB5005292: Microsoft Update-katalógus
    Microsoft Defender víruskereső	Platform: 4.18.2207.7 vagy újabb	KB4052623: Microsoft Update Catalog
    Microsoft Defender víruskereső	Motor: 1.1.19500.2 vagy újabb	KB2267602: Microsoft Update Catalog

• A Végponthoz készült Defendernek bérlői regisztrációval kell rendelkeznie, és aktívnak kell lennie az eszközön.

• Az eszközöknek aktívan futtatniuk kell Microsoft Defender víruskereső verzióját4.18.2203 or later.

• MacOS-eszközök esetén lásd: A Mac hibaelhárítási módjának előfeltételei.

Hibaelhárítási mód engedélyezése

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. Keresse meg annak az eszköznek az eszközoldalát/gépoldalát, amelyen be szeretné kapcsolni a hibaelhárítási módot. Válassza a Hibaelhárítási mód bekapcsolása lehetőséget. A Végponthoz készült Microsoft Defender "Biztonsági beállítások kezelése a Security Centerben" engedélyekkel kell rendelkeznie.

   

   Megjegyzés:

   A Hibaelhárítási mód bekapcsolása lehetőség minden eszközön elérhető, még akkor is, ha az eszköz nem felel meg a hibaelhárítási mód előfeltételeinek.

3. Győződjön meg arról, hogy be szeretné kapcsolni az eszköz hibaelhárítási módját.

   

4. Az eszközoldalon látható, hogy az eszköz hibaelhárítási módban van.

   

Speciális keresési lekérdezések

Íme néhány előre összeállított speciális veszélyforrás-keresési lekérdezés, amely betekintést nyújt a környezetben előforduló hibaelhárítási eseményekbe. Ezekkel a lekérdezésekkel észlelési szabályokat is létrehozhat riasztások létrehozásához, ha az eszközök hibaelhárítási módban vannak.

Adott eszköz hibaelhárítási eseményeinek lekérése

Keressen a deviceId vagy a deviceName alapján a megfelelő sorok megjegyzésével.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Jelenleg hibaelhárítási módban lévő eszközök

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Hibaelhárítási módú példányok száma eszközönként

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Teljes szám

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Kapcsolódó cikkek

• Hibaelhárítási mód Végponthoz készült Microsoft Defender macOS rendszeren
• Teljesítményelemző Microsoft Defender víruskeresőhöz.
• Hibaelhárítási mód forgatókönyvei
• A biztonsági beállítások védelme az illetéktelen módosítás elleni védelemmel

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.