Ismerkedés a Végponthoz készült Microsoft Defender hibaelhárítási módjával

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Microsoft Defender hibaelhárítási módja lehetővé teszi a rendszergazdák számára a különböző Microsoft Defender víruskereső funkciók hibaelhárítását, még akkor is, ha az eszközöket szervezeti szabályzatok kezelik. Ha például az illetéktelen módosítás elleni védelem engedélyezve van, bizonyos beállítások nem módosíthatók vagy kapcsolhatók ki, de az eszközön a hibaelhárítási mód használatával ideiglenesen szerkesztheti ezeket a beállításokat.

A hibaelhárítási mód alapértelmezés szerint le van tiltva, és korlátozott ideig be kell kapcsolnia egy eszközön (és/vagy eszközcsoporton). A hibaelhárítási mód kizárólag vállalati funkció, és Microsoft Defender portálhoz való hozzáférést igényel.

Tipp

  • A hibaelhárítási mód során használhatja a PowerShell-parancsot Set-MPPreference -DisableTamperProtection $true Windows-eszközökön.
  • Az illetéktelen módosítás elleni védelem állapotának ellenőrzéséhez használja a Get-MpComputerStatus PowerShell-parancsmagot. Az eredmények listájában keresse meg a vagy RealTimeProtectionEnableda IsTamperProtected elemet. (Az igaz érték azt jelenti, hogy az illetéktelen módosítás elleni védelem engedélyezve van.) .

Mit kell tudnia a kezdés előtt?

A hibaelhárítási mód során használhatja a PowerShell-parancsot Set-MPPreference -DisableTamperProtection $true , vagy az ügyféloldali operációs rendszereken a Security Center alkalmazással ideiglenesen letilthatja az illetéktelen módosítás elleni védelmet az eszközön, és elvégezheti a szükséges konfigurációs módosításokat.

  • Használja a hibaelhárítási módot az illetéktelen módosítás elleni védelem letiltásához/módosításához a következő műveletek végrehajtásához:

    • Microsoft Defender víruskereső működési hibaelhárítása /alkalmazáskompatibilitás (téves pozitív alkalmazásblokkok).

  • A megfelelő engedélyekkel rendelkező helyi rendszergazdák módosíthatják az egyes végpontok konfigurációit, amelyeket általában szabályzat zárol. Az eszközök hibaelhárítási módban való használata hasznos lehet Microsoft Defender víruskereső teljesítmény- és kompatibilitási forgatókönyveinek diagnosztizálásakor.

    • A helyi rendszergazdák nem kapcsolhatják ki Microsoft Defender víruskeresőt, és nem távolíthatják el.

    • A helyi rendszergazdák az Microsoft Defender víruskereső csomagban konfigurálhatják az összes többi biztonsági beállítást (például a felhővédelmet, az illetéktelen módosítás elleni védelmet).

  • A "Biztonsági beállítások kezelése" engedélyekkel rendelkező rendszergazdák hozzáférhetnek a hibaelhárítási mód bekapcsolásához.

  • Végponthoz készült Microsoft Defender a hibaelhárítási folyamat során naplókat és vizsgálati adatokat gyűjt.

    • A hibaelhárítási MpPreference mód megkezdése előtt pillanatkép készül a pillanatképről.

    • A hibaelhárítási mód lejárata előtt készül egy második pillanatkép.

    • A hibaelhárítási módból származó működési naplókat is gyűjtjük.

    • A rendszer összegyűjti a naplókat és a pillanatképeket, és az eszközoldalon található Vizsgálati csomag összegyűjtése funkcióval a rendszergazdák számára elérhetők. A Microsoft addig nem távolítja el ezeket az adatokat az eszközről, amíg egy rendszergazda nem gyűjti azokat.

  • A rendszergazdák az eszközoldal eseménymegtekintő hibaelhárítási módjában végrehajtott beállítások módosításait is áttekinthetik.

  • A hibaelhárítási mód automatikusan kikapcsol a lejárati idő elérése után (4 óráig tart). A lejárat után a szabályzattal felügyelt összes konfiguráció újra írásvédetté válik, és a hibaelhárítási mód engedélyezése előtt visszaáll az eszköz konfigurálásának módjára.

  • Akár 15 percet is igénybe vehet attól az időponttól kezdve, amikor a parancs Microsoft Defender XDR-ból az eszközön aktívvá válik.

  • A rendszer értesítéseket küld a felhasználónak a hibaelhárítási mód kezdetekor és a hibaelhárítási mód végekor. A rendszer egy figyelmeztetést is küld, amely jelzi, hogy a hibaelhárítási mód hamarosan véget ér.

  • A hibaelhárítási mód kezdetét és végét az eszközoldal Eszköz idővonala területén találja.

  • Speciális veszélyforrás-keresés esetén lekérdezheti az összes hibaelhárítási módú eseményt.

Megjegyzés:

A szabályzatkezelési módosítások akkor lépnek életbe az eszközön, ha az aktívan hibaelhárítási módban van. A módosítások azonban csak a hibaelhárítási mód lejárata után lépnek érvénybe. Emellett Microsoft Defender víruskereső platform frissítései nem lesznek alkalmazva a hibaelhárítási módban. A platformfrissítések akkor lesznek alkalmazva, ha a hibaelhárítási mód windowsos frissítéssel végződik.

Előfeltételek

  • Windows 10 (19044.1618-es vagy újabb verzió), Windows 11, Windows Server 2019 vagy Windows Server 2022 rendszert futtató eszköz.

    Félév/Vöröskő Operációs rendszer verziója Kiadás
    21H2/SV1 >=22000,593 KB5011563: Microsoft Update Catalog
    20H1/20H2/21H1 >=19042.1620
    >=19041.1620
    >=19043.1620    		 KB5011543: Microsoft Update Catalog
    Windows Server 2022 >=20348.617 KB5011558: Microsoft Update Catalog
    Windows Server 2019 (RS5) >=17763,2746 KB5011551: Microsoft Update-katalógus

  • A hibaelhárítási mód az Windows Server 2012 R2 és Windows Server 2016 modern, egységesített megoldását futtató gépeken is elérhető. A hibaelhárítási mód használata előtt győződjön meg arról, hogy az alábbi összetevők mindegyike naprakész:

  • A hibaelhárítási mód alkalmazásához Végponthoz készült Microsoft Defender bérlői regisztrációval kell rendelkeznie, és aktívnak kell lennie az eszközön.

  • Az eszköznek aktívan futtatnia kell Microsoft Defender Víruskereső 4.18.2203-es vagy újabb verzióját.

Hibaelhárítási mód engedélyezése

  1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.

  2. Keresse meg annak az eszköznek az eszközoldalát/gépoldalát, amelyen be szeretné kapcsolni a hibaelhárítási módot. Válassza a Hibaelhárítási mód bekapcsolása lehetőséget. A Végponthoz készült Microsoft Defender "Biztonsági beállítások kezelése a Security Centerben" engedélyekkel kell rendelkeznie.

    Hibaelhárítási mód bekapcsolása

Megjegyzés:

A Hibaelhárítási mód bekapcsolása lehetőség minden eszközön elérhető, még akkor is, ha az eszköz nem felel meg a hibaelhárítási mód előfeltételeinek.

  1. Győződjön meg arról, hogy be szeretné kapcsolni az eszköz hibaelhárítási módját.

    A konfigurációs úszó panel

  2. Az eszközoldalon látható, hogy az eszköz hibaelhárítási módban van.

    Az eszköz hibaelhárítási módban van

Speciális keresési lekérdezések

Íme néhány előre összeállított speciális veszélyforrás-keresési lekérdezés, amely betekintést nyújt a környezetben előforduló hibaelhárítási eseményekbe. Ezekkel a lekérdezésekkel észlelési szabályokat is létrehozhat riasztások létrehozásához, ha az eszközök hibaelhárítási módban vannak.

Adott eszköz hibaelhárítási eseményeinek lekérése

Keresés deviceId vagy deviceName szerint a megfelelő sorok megjegyzésével.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Jelenleg hibaelhárítási módban lévő eszközök

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Hibaelhárítási módú példányok száma eszközönként

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Teljes szám

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Tipp

Teljesítménnyel kapcsolatos tipp Számos tényező miatt a Microsoft Defender víruskereső más víruskereső szoftverekhez hasonlóan teljesítményproblémákat okozhat a végponteszközökön. Bizonyos esetekben előfordulhat, hogy a teljesítményproblémák enyhítése érdekében hangolnia kell a Microsoft Defender víruskereső teljesítményét. A Microsoft Teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni, hogy mely fájlok, fájlelérési utak, folyamatok és fájlkiterjesztések okozhatnak teljesítményproblémákat; néhány példa:

  • A vizsgálati időt befolyásoló leggyakoribb elérési utak
  • A vizsgálati időt befolyásoló leggyakoribb fájlok
  • A vizsgálati időt befolyásoló legfontosabb folyamatok
  • A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
  • Kombinációk – például:
    • top files per extension
    • top paths per extension
    • top process per path
    • top scans per file
    • top scans per file per process

A Teljesítményelemzővel összegyűjtött információk segítségével jobban felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat. Lásd: Teljesítményelemző Microsoft Defender víruskeresőhöz.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.