Scenario's voor probleemoplossingsmodus in Microsoft Defender voor Eindpunt

Van toepassing op:

• Microsoft Defender voor Eindpunt
• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

met Microsoft Defender voor Eindpunt probleemoplossingsmodus kunt u verschillende Microsoft Defender Antivirus-functies oplossen door ze in te schakelen vanaf het apparaat en verschillende scenario's te testen, zelfs als ze worden beheerd door het organisatiebeleid. De probleemoplossingsmodus is standaard uitgeschakeld en vereist dat u deze gedurende een beperkte tijd inschakelt voor een apparaat (en/of groep apparaten). Dit is uitsluitend een functie voor ondernemingen en vereist Microsoft Defender XDR toegang.

Zie Prestatieanalyse voor Microsoft Defender Antivirus voor het oplossen van prestatiespecifieke problemen met betrekking tot Microsoft Defender Antivirus.

Tip

• Tijdens de probleemoplossingsmodus kunt u de PowerShell-opdracht Set-MPPreference -DisableTamperProtection $true op Windows-apparaten gebruiken.
• Als u de status van manipulatiebeveiliging wilt controleren, kunt u de PowerShell-cmdlet Get-MpComputerStatus gebruiken. Zoek in de lijst met resultaten naar IsTamperProtected of RealTimeProtectionEnabled. (De waarde true betekent dat manipulatiebeveiliging is ingeschakeld.)

Scenario 1: kan de toepassing niet installeren

Als u een toepassing wilt installeren maar een foutbericht ontvangt dat Microsoft Defender Antivirus- en manipulatiebeveiliging is ingeschakeld, gebruikt u de volgende procedure om het probleem op te lossen.

1. Vraag de beveiligingsbeheerder om de probleemoplossingsmodus in te schakelen. U krijgt een Windows-beveiliging melding zodra de probleemoplossingsmodus wordt gestart.

2. Maak verbinding met het apparaat (bijvoorbeeld met behulp van Terminal Services) met lokale beheerdersmachtigingen.

3. Procescontrole (ProcMon) starten. Zie de stappen die worden beschreven in Prestatieproblemen met betrekking tot realtime-beveiliging oplossen.

4. Ga naar Windows-beveiliging>Bedreiging & virusbeveiliging>Instellingen voor>manipulatiebeveiliging> beherenUit.

   U kunt ook tijdens de probleemoplossingsmodus de PowerShell-opdracht Set-MPPreference -DisableTamperProtection $true op Windows-apparaten gebruiken.

   Als u de status van manipulatiebeveiliging wilt controleren, kunt u de PowerShell-cmdlet Get-MpComputerStatus gebruiken. Zoek in de lijst met resultaten naar IsTamperProtected of RealTimeProtectionEnabled. (De waarde true betekent dat manipulatiebeveiliging is ingeschakeld.)

5. Start een PowerShell-opdrachtprompt met verhoogde bevoegdheid en schakel realtime-beveiliging uit.

   • Voer uit Get-MpComputerStatus om de status van realtime-beveiliging te controleren.
   • Voer uit Set-MpPreference -DisableRealtimeMonitoring $true om realtime-beveiliging uit te schakelen.
   • Voer opnieuw uit Get-MpComputerStatus om de status te controleren.

6. Probeer de toepassing te installeren.

Scenario 2: hoog CPU-gebruik vanwege Windows Defender (MsMpEng.exe)

Soms kan tijdens een geplande scan MsMpEng.exe een hoge CPU verbruiken.

1. Ga naar het tabbladDetailsvan Taakbeheer> om te bevestigen dat dit MsMpEng.exe de reden is achter het hoge CPU-gebruik. Controleer ook of er momenteel een geplande scan wordt uitgevoerd.

2. Voer Process Monitor (ProcMon) uit tijdens de CPU-piek gedurende ongeveer vijf minuten en controleer vervolgens het ProcMon-logboek op aanwijzingen.

3. Wanneer de hoofdoorzaak is vastgesteld, schakelt u de probleemoplossingsmodus in.

4. Meld u aan bij het apparaat en start een PowerShell-opdrachtprompt met verhoogde bevoegdheid.

5. Voeg uitsluitingen voor processen/bestanden/mappen/extensies toe op basis van ProcMon-bevindingen met behulp van een van de volgende opdrachten (de pad-, extensie- en procesuitsluitingen die in dit artikel worden vermeld, zijn alleen voorbeelden):

   Set-mppreference -ExclusionPath (bijvoorbeeld C:\DB\DataFiles) Set-mppreference –ExclusionExtension (bijvoorbeeld .dbx) Set-mppreference –ExclusionProcess (bijvoorbeeld C:\DB\Bin\Convertdb.exe)

6. Nadat u de uitsluiting hebt toegevoegd, controleert u of het CPU-gebruik is afgenomen.

Zie Set-MpPreference voor meer informatie over Set-MpPreference cmdlet-configuratievoorkeuren voor Microsoft Defender Antivirus-scans en -updates.

Scenario 3: Het uitvoeren van een actie duurt langer voor de toepassing

Wanneer Microsoft Defender Antivirus realtime-beveiliging is ingeschakeld, kan het langer duren voordat toepassingen basistaken uitvoeren. Gebruik de volgende procedure om realtime-beveiliging uit te schakelen en het probleem op te lossen.

1. Vraag de beveiligingsbeheerder om de probleemoplossingsmodus op het apparaat in te schakelen.

2. Als u realtime-beveiliging voor dit scenario wilt uitschakelen, schakelt u eerst manipulatiebeveiliging uit. U kunt de PowerShell-opdracht Set-MPPreference -DisableTamperProtection $true gebruiken op Windows-apparaten.

   Als u de status van manipulatiebeveiliging wilt controleren, kunt u de PowerShell-cmdlet Get-MpComputerStatus gebruiken. Zoek in de lijst met resultaten naar IsTamperProtected of RealTimeProtectionEnabled. (De waarde true betekent dat manipulatiebeveiliging is ingeschakeld.)

   Zie Beveiligingsinstellingen beveiligen met manipulatiebeveiliging voor meer informatie.

3. Zodra manipulatiebeveiliging is uitgeschakeld, meldt u zich aan bij het apparaat.

4. Start een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer de volgende opdracht uit:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Nadat u realtime-beveiliging hebt uitgeschakeld, controleert u of de toepassing traag is.

Scenario 4: Microsoft Office-invoegtoepassing geblokkeerd door Kwetsbaarheid voor aanvallen verminderen

Het verminderen van kwetsbaarheid voor aanvallen zorgt ervoor dat de Microsoft Office-invoegtoepassing niet goed werkt, omdat Blokkeren van alle Office-toepassingen voor het maken van onderliggende processen is ingesteld op de blokkeringsmodus.

1. Schakel de probleemoplossingsmodus in en meld u aan bij het apparaat.

2. Start een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer de volgende opdracht uit:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Nadat u de ASR-regel hebt uitgeschakeld, controleert u of de Microsoft Office-invoegtoepassing nu werkt.

Zie Overzicht van kwetsbaarheid voor aanvallen verminderen voor meer informatie.

Scenario 5: Domein geblokkeerd door Netwerkbeveiliging

Netwerkbeveiliging blokkeert het Microsoft-domein, waardoor gebruikers er geen toegang toe hebben.

1. Schakel de probleemoplossingsmodus in en meld u aan bij het apparaat.

2. Start een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer de volgende opdracht uit:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Nadat netwerkbeveiliging is uitgeschakeld, controleert u of het domein nu is toegestaan.

Zie Netwerkbeveiliging gebruiken om verbindingen met slechte sites te voorkomen voor meer informatie.

Zie ook

• Probleemoplossingsmodus inschakelen
• Beveiligingsinstellingen beveiligen tegen onrechtmatig wijzigen
• Set-MpPreference
• Een overzicht van Microsoft Defender voor Eindpunt

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.