Scenari di modalità di risoluzione dei problemi in Microsoft Defender per endpoint
Si applica a:
- Microsoft Defender per endpoint
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Microsoft Defender per endpoint modalità di risoluzione dei problemi consente di risolvere i problemi relativi a varie funzionalità di antivirus Microsoft Defender abilitandole dal dispositivo e testando scenari diversi, anche se sono controllate dai criteri dell'organizzazione. La modalità di risoluzione dei problemi è disabilitata per impostazione predefinita e richiede l'attivazione per un dispositivo (e/o un gruppo di dispositivi) per un periodo di tempo limitato. Si tratta esclusivamente di una funzionalità solo aziendale e richiede l'accesso Microsoft Defender XDR.
Per la risoluzione dei problemi specifici delle prestazioni correlati all'antivirus Microsoft Defender, vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.
Consiglio
- Durante la modalità di risoluzione dei problemi, è possibile usare il comando
Set-MPPreference -DisableTamperProtection $true
PowerShell nei dispositivi Windows. - Per controllare lo stato di protezione dalle manomissioni, è possibile usare il cmdlet Di PowerShell Get-MpComputerStatus . Nell'elenco dei risultati cercare
IsTamperProtected
oRealTimeProtectionEnabled
. Il valore true indica che la protezione da manomissione è abilitata.
Scenario 1: Impossibile installare l'applicazione
Se si vuole installare un'applicazione ma viene visualizzato un messaggio di errore che indica che Microsoft Defender antivirus e la protezione dalle manomissioni è attiva, usare la procedura seguente per risolvere il problema.
Richiedere all'amministratore della sicurezza di attivare la modalità di risoluzione dei problemi. Una volta avviata la modalità di risoluzione dei problemi, viene visualizzata una notifica di Sicurezza di Windows.
Connettersi al dispositivo (ad esempio tramite Servizi terminal) con autorizzazioni di amministratore locale.
Avviare Monitoraggio processo (ProcMon). Vedere la procedura descritta in Risolvere i problemi di prestazioni correlati alla protezione in tempo reale.
Passare a Sicurezza> di WindowsMinaccia & protezione> antivirusGestire le impostazioni>Protezione da> manomissioneDisattivata.
In alternativa, durante la modalità di risoluzione dei problemi, è possibile usare il comando
Set-MPPreference -DisableTamperProtection $true
PowerShell nei dispositivi Windows.Per controllare lo stato di protezione dalle manomissioni, è possibile usare il cmdlet Di PowerShell Get-MpComputerStatus . Nell'elenco dei risultati cercare
IsTamperProtected
oRealTimeProtectionEnabled
. Il valore true indica che la protezione da manomissione è abilitata.Avviare un prompt dei comandi di PowerShell con privilegi elevati e disattivare la protezione in tempo reale.
- Eseguire
Get-MpComputerStatus
per controllare lo stato della protezione in tempo reale. - Eseguire
Set-MpPreference -DisableRealtimeMonitoring $true
per disattivare la protezione in tempo reale. - Eseguire
Get-MpComputerStatus
di nuovo per verificare lo stato.
- Eseguire
Provare a installare l'applicazione.
Scenario 2: utilizzo elevato della CPU a causa di Windows Defender (MsMpEng.exe)
In alcuni casi, durante un'analisi pianificata, MsMpEng.exe possono usare cpu elevate.
Passare alla schedaDettagligestione> attività per verificare che
MsMpEng.exe
sia il motivo dell'utilizzo elevato della CPU. Controllare anche se è attualmente in corso un'analisi pianificata.Eseguire Monitoraggio processo (ProcMon) durante il picco della CPU per circa cinque minuti e quindi esaminare il log di ProcMon per individuare gli indizi.
Quando viene determinata la causa radice, attivare la modalità di risoluzione dei problemi.
Accedere al dispositivo e avviare un prompt dei comandi di PowerShell con privilegi elevati.
Aggiungere esclusioni di processo/file/cartella/estensione in base ai risultati di ProcMon usando uno dei comandi seguenti (il percorso, l'estensione e le esclusioni di processo indicati in questo articolo sono solo esempi):
Set-mppreference -ExclusionPath
(ad esempio,C:\DB\DataFiles
)Set-mppreference –ExclusionExtension
(ad esempio,.dbx
)Set-mppreference –ExclusionProcess
(ad esempio,C:\DB\Bin\Convertdb.exe
)Dopo aver aggiunto l'esclusione, verificare se l'utilizzo della CPU è stato eliminato.
Per altre informazioni sulle preferenze di Set-MpPreference
configurazione dei cmdlet per le analisi e gli aggiornamenti di antivirus Microsoft Defender, vedere Set-MpPreference.
Scenario 3: l'applicazione richiede più tempo per eseguire un'azione
Quando Microsoft Defender protezione antivirus in tempo reale è attivata, le applicazioni possono richiedere più tempo per eseguire attività di base. Per disattivare la protezione in tempo reale e risolvere il problema, seguire questa procedura.
Richiedere all'amministratore della sicurezza di attivare la modalità di risoluzione dei problemi nel dispositivo.
Per disabilitare la protezione in tempo reale per questo scenario, disattivare prima di tutto la protezione dalle manomissioni. È possibile usare il comando
Set-MPPreference -DisableTamperProtection $true
PowerShell nei dispositivi Windows.Per controllare lo stato di protezione dalle manomissioni, è possibile usare il cmdlet Di PowerShell Get-MpComputerStatus . Nell'elenco dei risultati cercare
IsTamperProtected
oRealTimeProtectionEnabled
. Il valore true indica che la protezione da manomissione è abilitata.Per altre informazioni, vedere Proteggere le impostazioni di sicurezza con la protezione da manomissioni.
Dopo aver disabilitato la protezione dalle manomissioni, accedere al dispositivo.
Avviare un prompt dei comandi di PowerShell con privilegi elevati ed eseguire il comando seguente:
Set-mppreference -DisableRealtimeMonitoring $true
Dopo aver disabilitato la protezione in tempo reale, verificare se l'applicazione è lenta.
Scenario 4: Plug-in di Microsoft Office bloccato dalla riduzione della superficie di attacco
La riduzione della superficie di attacco non consente il corretto funzionamento del plug-in di Microsoft Office perché Blocca la creazione di processi figlio in tutte le applicazioni di Office è impostato sulla modalità blocco.
Attivare la modalità di risoluzione dei problemi e accedere al dispositivo.
Avviare un prompt dei comandi di PowerShell con privilegi elevati ed eseguire il comando seguente:
Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Dopo aver disabilitato la regola asr, verificare che il plug-in di Microsoft Office funzioni ora.
Per altre informazioni, vedere Panoramica della riduzione della superficie di attacco.
Scenario 5: Dominio bloccato da Protezione rete
Protezione di rete blocca il dominio Microsoft, impedendo agli utenti di accederle.
Attivare la modalità di risoluzione dei problemi e accedere al dispositivo.
Avviare un prompt dei comandi di PowerShell con privilegi elevati ed eseguire il comando seguente:
Set-MpPreference -EnableNetworkProtection Disabled
Dopo aver disabilitato Protezione di rete, verificare se il dominio è ora consentito.
Per altre informazioni, vedere Usare la protezione di rete per impedire connessioni a siti non validi.
Vedere anche
- Abilitare la modalità di risoluzione dei problemi
- Proteggere le impostazioni di sicurezza con protezione antimanomissione
- Set-MpPreference
- Panoramica di Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.