Share via

Feilsøking av modusscenarioer i Microsoft Defender for endepunkt

  • Artikkel

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Microsoft Defender for endepunkt feilsøkingsmodus kan du feilsøke ulike Microsoft Defender antivirusfunksjoner ved å aktivere dem fra enheten og teste ulike scenarier, selv om de kontrolleres av organisasjonspolicyen. Feilsøkingsmodusen er deaktivert som standard og krever at du aktiverer den for en enhet (og/eller gruppe enheter) i en begrenset periode. Dette er utelukkende en funksjon som bare gjelder for virksomheter, og krever Microsoft Defender XDR tilgang.

Hvis du vil feilsøke ytelsesspesifikke problemer relatert til Microsoft Defender Antivirus, kan du se: Ytelsesanalyse for Microsoft Defender Antivirus.

Tips

  • I feilsøkingsmodus kan du bruke PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheter.
  • Hvis du vil kontrollere tilstanden til manipuleringsbeskyttelse, kan du bruke Get-MpComputerStatus PowerShell-cmdleten. Se etter IsTamperProtected eller RealTimeProtectionEnabledi listen over resultater. (Verdien sann betyr at manipuleringsbeskyttelse er aktivert.)

Scenario 1: Kan ikke installere programmet

Hvis du vil installere et program, men får en feilmelding om at Microsoft Defender antivirus- og manipuleringsbeskyttelse er aktivert, bruker du følgende fremgangsmåte for å feilsøke problemet.

  1. Be sikkerhetsadministratoren om å aktivere feilsøkingsmodus. Du får et Windows Sikkerhet varsel når feilsøkingsmodusen starter.

  2. Koble til enheten (for eksempel ved hjelp av Terminal Services) med lokale administratortillatelser.

  3. Start prosessovervåking (ProcMon). Se trinnene som er beskrevet i Feilsøke ytelsesproblemer relatert til sanntidsbeskyttelse.

  4. Gå til Windows sikkerhetstrussel>& virusbeskyttelse>Administrer innstillinger>Manipuleringsbeskyttelse>Av.

    Du kan også bruke PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheter under feilsøkingsmodus.

    Hvis du vil kontrollere tilstanden til manipuleringsbeskyttelse, kan du bruke Get-MpComputerStatus PowerShell-cmdleten. Se etter IsTamperProtected eller RealTimeProtectionEnabledi listen over resultater. (Verdien sann betyr at manipuleringsbeskyttelse er aktivert.)

  5. Start en hevet PowerShell-ledetekst, og slå av sanntidsbeskyttelse.

    • Kjør Get-MpComputerStatus for å kontrollere statusen for sanntidsbeskyttelse.
    • Kjør Set-MpPreference -DisableRealtimeMonitoring $true for å deaktivere sanntidsbeskyttelse.
    • Kjør på Get-MpComputerStatus nytt for å bekrefte statusen.

  6. Prøv å installere programmet.

Scenario 2: Høy prosessorbruk på grunn av Windows Defender (MsMpEng.exe)

Noen ganger under en planlagt skanning kan MsMpEng.exe bruke høy CPU.

  1. Gå tilOppgavebehandlingsdetaljer-fanen> for å bekrefte at det MsMpEng.exe er årsaken til den høye CPU-bruken. Kontroller også om en planlagt skanning er i gang.

  2. Kjør Prosessovervåking (ProcMon) under CPU-innsamlingslageret i rundt fem minutter, og se deretter gjennom ProcMon-loggen for å finne ledetråder.

  3. Når hovedårsaken er fastslått, aktiverer du feilsøkingsmodus.

  4. Logg deg på enheten, og start en hevet PowerShell-ledetekst.

  5. Legg til prosess-/fil-/mappe-/utvidelsesutelukker basert på ProcMon-funn ved hjelp av én av følgende kommandoer (banen, utvidelsen og prosessutelukkelsene som nevnes i denne artikkelen, er bare eksempler):

    Set-mppreference -ExclusionPath (for eksempel) C:\DB\DataFilesSet-mppreference –ExclusionExtension (for eksempel .dbx) Set-mppreference –ExclusionProcess (for eksempel C:\DB\Bin\Convertdb.exe)

  6. Når du har lagt til utelukkelsen, kontrollerer du om prosessorbruken er forkastet.

Hvis du vil ha mer informasjon om Set-MpPreference konfigurasjonsinnstillinger for cmdlet for Microsoft Defender antivirusskanninger og -oppdateringer, kan du se Set-MpPreference.

Scenario 3: Programmet tar lengre tid å utføre en handling

Når Microsoft Defender antivirusbeskyttelse i sanntid er aktivert, kan det ta lengre tid å utføre grunnleggende oppgaver. Hvis du vil deaktivere sanntidsbeskyttelse og feilsøke problemet, bruker du følgende fremgangsmåte.

  1. Be sikkerhetsadministrator om å aktivere feilsøkingsmodus på enheten.

  2. Hvis du vil deaktivere sanntidsbeskyttelse for dette scenarioet, må du først deaktivere beskyttelse mot manipulering. Du kan bruke PowerShell-kommandoen Set-MPPreference -DisableTamperProtection $true på Windows-enheter.

    Hvis du vil kontrollere tilstanden til manipuleringsbeskyttelse, kan du bruke Get-MpComputerStatus PowerShell-cmdleten. Se etter IsTamperProtected eller RealTimeProtectionEnabledi listen over resultater. (Verdien sann betyr at manipuleringsbeskyttelse er aktivert.)

    Hvis du vil ha mer informasjon, kan du se Beskytt sikkerhetsinnstillinger med beskyttelse mot manipulering.

  3. Når beskyttelse mot manipulering er deaktivert, logger du på enheten.

  4. Start en hevet PowerShell-ledetekst, og kjør følgende kommando:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. Når du har deaktivert sanntidsbeskyttelsen, må du kontrollere om programmet er tregt.

Scenario 4: Microsoft Office-plugin-modul blokkert av Attack Surface Reduction

Reduksjon av angrepsoverflate tillater ikke at Microsoft Office-plugin-modulen fungerer som den skal, fordi Blokker alle Office-programmer fra å opprette underordnede prosesser er satt til blokkmodus.

  1. Aktiver feilsøkingsmodus, og logg på enheten.

  2. Start en hevet PowerShell-ledetekst, og kjør følgende kommando:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. Når du har deaktivert ASR-regelen, må du bekrefte at Microsoft Office-plugin-modulen nå fungerer.

Hvis du vil ha mer informasjon, kan du se Oversikt over reduksjon av angrepsoverflaten.

Scenario 5: Domene blokkert av Nettverksbeskyttelse

Nettverksbeskyttelse blokkerer Microsoft-domenet, og hindrer brukere i å få tilgang til det.

  1. Aktiver feilsøkingsmodus, og logg på enheten.

  2. Start en hevet PowerShell-ledetekst, og kjør følgende kommando:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. Når du har deaktivert Nettverksbeskyttelse, kontrollerer du om domenet nå er tillatt.

Hvis du vil ha mer informasjon, kan du se Bruke nettverksbeskyttelse til å forhindre tilkoblinger til ugyldige områder.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.