Rozwiązywanie problemów ze scenariuszami trybu w Ochrona punktu końcowego w usłudze Microsoft Defender

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ochrona punktu końcowego w usłudze Microsoft Defender tryb rozwiązywania problemów umożliwia rozwiązywanie problemów z różnymi funkcjami programu antywirusowego Microsoft Defender, włączając je z urządzenia i testując różne scenariusze, nawet jeśli są one kontrolowane przez zasady organizacji. Tryb rozwiązywania problemów jest domyślnie wyłączony i wymaga włączenia go dla urządzenia (i/lub grupy urządzeń) przez ograniczony czas. Jest to wyłącznie funkcja tylko dla przedsiębiorstw i wymaga Microsoft Defender XDR dostępu.

Aby rozwiązać problemy związane z wydajnością związane z programem antywirusowym Microsoft Defender, zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender.

Porada

• W trybie rozwiązywania problemów można użyć polecenia Set-MPPreference -DisableTamperProtection $true programu PowerShell na urządzeniach z systemem Windows.
• Aby sprawdzić stan ochrony przed naruszeniami, możesz użyć polecenia cmdlet Get-MpComputerStatus programu PowerShell. Na liście wyników wyszukaj IsTamperProtected lub RealTimeProtectionEnabled. (Wartość true oznacza, że ochrona przed naruszeniami jest włączona).

Scenariusz 1. Nie można zainstalować aplikacji

Jeśli chcesz zainstalować aplikację, ale zostanie wyświetlony komunikat o błędzie Microsoft Defender program antywirusowy i ochrona przed naruszeniami, skorzystaj z poniższej procedury, aby rozwiązać ten problem.

1. Poproś administratora zabezpieczeń o włączenie trybu rozwiązywania problemów. Po uruchomieniu trybu rozwiązywania problemów zostanie wyświetlone powiadomienie Zabezpieczenia Windows.

2. Połącz się z urządzeniem (na przykład przy użyciu usług terminalowych) z uprawnieniami administratora lokalnego.

3. Uruchom monitor procesów (ProcMon). Zapoznaj się z krokami opisanymi w temacie Rozwiązywanie problemów z wydajnością związanych z ochroną w czasie rzeczywistym.

4. Przejdź do obszaru> Zabezpieczenia systemu WindowsOchrona przed>wirusami & Zarządzanie ustawieniami>Ochrona przed> naruszeniamiWyłączona.

   Alternatywnie w trybie rozwiązywania problemów można użyć polecenia Set-MPPreference -DisableTamperProtection $true programu PowerShell na urządzeniach z systemem Windows.

   Aby sprawdzić stan ochrony przed naruszeniami, możesz użyć polecenia cmdlet Get-MpComputerStatus programu PowerShell. Na liście wyników wyszukaj IsTamperProtected lub RealTimeProtectionEnabled. (Wartość true oznacza, że ochrona przed naruszeniami jest włączona).

5. Uruchom wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i wyłącz ochronę w czasie rzeczywistym.

   • Uruchom polecenie Get-MpComputerStatus , aby sprawdzić stan ochrony w czasie rzeczywistym.
   • Uruchom polecenie Set-MpPreference -DisableRealtimeMonitoring $true , aby wyłączyć ochronę w czasie rzeczywistym.
   • Uruchom Get-MpComputerStatus ponownie, aby zweryfikować stan.

6. Spróbuj zainstalować aplikację.

Scenariusz 2. Wysokie użycie procesora CPU z powodu Windows Defender (MsMpEng.exe)

Czasami podczas zaplanowanego skanowania MsMpEng.exe mogą zużywać wysokie użycie procesora CPU.

1. Przejdź do kartySzczegółymenedżera> zadań, aby potwierdzić, że jest to MsMpEng.exe przyczyna wysokiego użycia procesora CPU. Sprawdź również, czy zaplanowane skanowanie jest obecnie w toku.

2. Uruchom program Process Monitor (ProcMon) podczas wzrostu użycia procesora CPU przez około pięć minut, a następnie przejrzyj dziennik ProcMon, aby uzyskać wskazówki.

3. Po ustaleniu głównej przyczyny włącz tryb rozwiązywania problemów.

4. Zaloguj się do urządzenia i uruchom wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień.

5. Dodaj wykluczenia procesu/pliku/folderu/rozszerzenia na podstawie wyników procMon przy użyciu jednego z następujących poleceń (tylko przykłady to ścieżka, rozszerzenie i wykluczenia procesu wymienione w tym artykule):

   Set-mppreference -ExclusionPath (na przykład C:\DB\DataFiles) Set-mppreference –ExclusionExtension (na przykład .dbx) Set-mppreference –ExclusionProcess (na przykład C:\DB\Bin\Convertdb.exe)

6. Po dodaniu wykluczenia sprawdź, czy użycie procesora CPU spadło.

Aby uzyskać więcej informacji na Set-MpPreference temat preferencji konfiguracji poleceń cmdlet dla skanowania i aktualizacji programu antywirusowego Microsoft Defender, zobacz Set-MpPreference.

Scenariusz 3. Wykonywanie akcji przez aplikację trwa dłużej

Gdy Microsoft Defender ochrona antywirusowa w czasie rzeczywistym jest włączona, wykonywanie podstawowych zadań przez aplikacje może trwać dłużej. Aby wyłączyć ochronę w czasie rzeczywistym i rozwiązać problem, użyj poniższej procedury.

1. Poproś administratora zabezpieczeń o włączenie trybu rozwiązywania problemów na urządzeniu.

2. Aby wyłączyć ochronę w czasie rzeczywistym dla tego scenariusza, najpierw wyłącz ochronę przed naruszeniami. Możesz użyć polecenia Set-MPPreference -DisableTamperProtection $true programu PowerShell na urządzeniach z systemem Windows.

   Aby sprawdzić stan ochrony przed naruszeniami, możesz użyć polecenia cmdlet Get-MpComputerStatus programu PowerShell. Na liście wyników wyszukaj IsTamperProtected lub RealTimeProtectionEnabled. (Wartość true oznacza, że ochrona przed naruszeniami jest włączona).

   Aby uzyskać więcej informacji, zobacz Ochrona ustawień zabezpieczeń za pomocą ochrony przed naruszeniami.

3. Po wyłączeniu ochrony przed naruszeniami zaloguj się do urządzenia.

4. Uruchom wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Po wyłączeniu ochrony w czasie rzeczywistym sprawdź, czy aplikacja działa wolno.

Scenariusz 4. Wtyczka pakietu Microsoft Office zablokowana przez redukcję obszaru podatnego na ataki

Zmniejszenie obszaru podatnego na ataki nie umożliwia prawidłowego działania wtyczki pakietu Microsoft Office, ponieważ ustawienie Blokuj wszystkim aplikacjom pakietu Office możliwość tworzenia procesów podrzędnych jest ustawione na tryb blokowania.

1. Włącz tryb rozwiązywania problemów i zaloguj się do urządzenia.

2. Uruchom wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Po wyłączeniu reguły usługi ASR upewnij się, że wtyczka pakietu Microsoft Office działa teraz.

Aby uzyskać więcej informacji, zobacz Omówienie zmniejszania obszaru podatnego na ataki.

Scenariusz 5. Domena zablokowana przez ochronę sieci

Usługa Network Protection blokuje domenę firmy Microsoft, uniemożliwiając użytkownikom uzyskiwanie do niej dostępu.

1. Włącz tryb rozwiązywania problemów i zaloguj się do urządzenia.

2. Uruchom wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Po wyłączeniu ochrony sieci sprawdź, czy domena jest teraz dozwolona.

Aby uzyskać więcej informacji, zobacz Use network protection to help prevent connections to bad sites (Używanie ochrony sieci w celu zapobiegania połączeniom z nieprawidłowymi lokacjami).

Zobacz też

• Włącz tryb rozwiązywania problemów
• Chroń ustawienia zabezpieczeń z ochroną przed naruszeniami
• Set-MpPreference
• Omówienie Ochrona punktu końcowego w usłudze Microsoft Defender

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.