Wprowadzenie do trybu rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Tryb rozwiązywania problemów w Ochrona punktu końcowego w usłudze Microsoft Defender umożliwia administratorom rozwiązywanie problemów z różnymi funkcjami programu antywirusowego Microsoft Defender, nawet jeśli urządzenia są zarządzane przez zasady organizacji. Jeśli na przykład włączono ochronę przed naruszeniami , niektórych ustawień nie można modyfikować ani wyłączać, ale możesz użyć trybu rozwiązywania problemów na urządzeniu, aby tymczasowo edytować te ustawienia.
Tryb rozwiązywania problemów jest domyślnie wyłączony i wymaga włączenia go dla urządzenia (i/lub grupy urządzeń) przez ograniczony czas. Tryb rozwiązywania problemów jest wyłącznie funkcją tylko dla przedsiębiorstw i wymaga dostępu Microsoft Defender portalu.
Porada
- W trybie rozwiązywania problemów można użyć polecenia
Set-MPPreference -DisableTamperProtection $true
programu PowerShell na urządzeniach z systemem Windows. - Aby sprawdzić stan ochrony przed naruszeniami, możesz użyć polecenia cmdlet Get-MpComputerStatus programu PowerShell. Na liście wyników wyszukaj
IsTamperProtected
lubRealTimeProtectionEnabled
. (Wartość true oznacza, że ochrona przed naruszeniami jest włączona). .
Co należy wiedzieć przed rozpoczęciem?
W trybie rozwiązywania problemów możesz użyć polecenia Set-MPPreference -DisableTamperProtection $true
programu PowerShell lub w systemach operacyjnych klienta aplikacji Security Center, aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu i wprowadzić niezbędne zmiany konfiguracji.
Użyj trybu rozwiązywania problemów, aby wyłączyć/zmienić ustawienie ochrony przed naruszeniami, aby wykonać następujące czynności:
- Microsoft Defender rozwiązywanie problemów funkcjonalnych programu antywirusowego /zgodność aplikacji (fałszywie dodatnie bloki aplikacji).
Administratorzy lokalni z odpowiednimi uprawnieniami mogą zmieniać konfiguracje w poszczególnych punktach końcowych, które są zwykle zablokowane przez zasady. Posiadanie urządzenia w trybie rozwiązywania problemów może być przydatne podczas diagnozowania Microsoft Defender scenariuszy dotyczących wydajności i zgodności oprogramowania antywirusowego.
Administratorzy lokalni nie mogą wyłączyć programu antywirusowego Microsoft Defender ani odinstalować go.
Administratorzy lokalni mogą skonfigurować wszystkie inne ustawienia zabezpieczeń w pakiecie Microsoft Defender Antivirus (na przykład ochrona w chmurze, ochrona przed naruszeniami).
Administratorzy z uprawnieniami "Zarządzanie ustawieniami zabezpieczeń" mają dostęp do włączania trybu rozwiązywania problemów.
Ochrona punktu końcowego w usłudze Microsoft Defender zbiera dzienniki i dane badania w całym procesie rozwiązywania problemów.
Migawka jest wykonywana
MpPreference
przed rozpoczęciem trybu rozwiązywania problemów.Druga migawka jest wykonywana tuż przed wygaśnięciem trybu rozwiązywania problemów.
Zbierane są również dzienniki operacyjne z trybu rozwiązywania problemów.
Dzienniki i migawki są zbierane i są dostępne dla administratora do zbierania przy użyciu funkcji Collect investigation package na stronie urządzenia. Firma Microsoft nie usuwa tych danych z urządzenia, dopóki administrator nie zbierze ich.
Administratorzy mogą również przejrzeć zmiany ustawień, które mają miejsce podczas trybu rozwiązywania problemów w Podgląd zdarzeń na samym urządzeniu.
- Otwórz Podgląd zdarzeń, a następnie rozwiń węzeł Dzienniki> aplikacji i usługMicrosoft>Windows>Defender, a następnie wybierz pozycję Operacje.
- Potencjalne zdarzenia mogą obejmować zdarzenia o identyfikatorach 5000, 5001, 5004, 5007 i innych. Zobacz więcej szczegółów na stronie Przeglądanie dzienników zdarzeń i kodów błędów, aby rozwiązać problemy z programem antywirusowym Microsoft Defender.
Tryb rozwiązywania problemów automatycznie wyłącza się po osiągnięciu czasu wygaśnięcia (trwa 4 godziny). Po wygaśnięciu wszystkie konfiguracje zarządzane przez zasady ponownie staną się tylko do odczytu i powrócą do sposobu skonfigurowania urządzenia przed włączeniem trybu rozwiązywania problemów.
Może upłynąć do 15 minut od momentu wysłania polecenia z Microsoft Defender XDR do momentu, gdy stanie się aktywne na urządzeniu.
Powiadomienia są wysyłane do użytkownika po rozpoczęciu trybu rozwiązywania problemów i zakończeniu trybu rozwiązywania problemów. Zostanie również wysłane ostrzeżenie wskazujące, że tryb rozwiązywania problemów wkrótce się kończy.
Początek i zakończenie trybu rozwiązywania problemów są identyfikowane na osi czasu urządzenia na stronie urządzenia.
W zaawansowanym wyszukiwaniu można wykonywać zapytania dotyczące wszystkich zdarzeń trybu rozwiązywania problemów.
Uwaga
Zmiany zarządzania zasadami są stosowane do urządzenia, gdy jest aktywnie w trybie rozwiązywania problemów. Jednak zmiany nie wchodzą w życie, dopóki tryb rozwiązywania problemów nie wygaśnie. Ponadto Microsoft Defender aktualizacje platformy antywirusowej nie są stosowane w trybie rozwiązywania problemów. Aktualizacje platformy są stosowane, gdy tryb rozwiązywania problemów kończy się aktualizacją systemu Windows.
Wymagania wstępne
Urządzenie z systemem Windows 10 (wersja 19044.1618 lub nowsza), Windows 11, Windows Server 2019 lub Windows Server 2022.
Semestr/Redstone Wersja systemu operacyjnego Wydanie 21H2/SV1 >=22000.593 KB5011563: Microsoft Update Catalog 20H1/20H2/21H1 >=19042.1620
>=19041.1620
>=19043.1620KB5011543: Microsoft Update Catalog Windows Server 2022 >=20348.617 KB5011558: Microsoft Update Catalog Windows Server 2019 (RS5) >=17763.2746 KB5011551: Microsoft Update Catalog Tryb rozwiązywania problemów jest również dostępny dla maszyn z nowoczesnym, ujednoliconym rozwiązaniem dla Windows Server 2012 R2 i Windows Server 2016. Przed użyciem trybu rozwiązywania problemów upewnij się, że wszystkie następujące składniki są aktualne:
- Wersja
10.8049.22439.1084
sense lub nowsza (KB5005292: Katalog usługi Microsoft Update) - program antywirusowy Microsoft Defender — platforma:
4.18.2207.7
lub nowsza (KB4052623: Katalog usługi Microsoft Update) - program antywirusowy Microsoft Defender — aparat:
1.1.19500.2
lub nowszy (KB2267602: Katalog usługi Microsoft Update)
- Wersja
Aby można było zastosować tryb rozwiązywania problemów, Ochrona punktu końcowego w usłudze Microsoft Defender musi być zarejestrowana w dzierżawie i aktywna na urządzeniu.
Na urządzeniu musi być aktywnie uruchomiony program antywirusowy Microsoft Defender w wersji 4.18.2203 lub nowszej.
Włącz tryb rozwiązywania problemów
Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
Przejdź do strony urządzenia/strony komputera dla urządzenia, na które chcesz włączyć tryb rozwiązywania problemów. Wybierz pozycję Włącz tryb rozwiązywania problemów. Musisz mieć uprawnienia "Zarządzanie ustawieniami zabezpieczeń w usłudze Security Center" dla Ochrona punktu końcowego w usłudze Microsoft Defender.
Uwaga
Opcja Włącz tryb rozwiązywania problemów jest dostępna na wszystkich urządzeniach, nawet jeśli urządzenie nie spełnia wymagań wstępnych dotyczących trybu rozwiązywania problemów.
Upewnij się, że chcesz włączyć tryb rozwiązywania problemów dla urządzenia.
Na stronie urządzenia widać, że urządzenie jest teraz w trybie rozwiązywania problemów.
Zaawansowane zapytania dotyczące wyszukiwania zagrożeń
Oto kilka wstępnie utworzonych zaawansowanych zapytań dotyczących wyszukiwania zagrożeń, które zapewniają wgląd w zdarzenia rozwiązywania problemów występujące w danym środowisku. Te zapytania umożliwiają również tworzenie reguł wykrywania w celu generowania alertów, gdy urządzenia są w trybie rozwiązywania problemów.
Pobieranie zdarzeń rozwiązywania problemów dla określonego urządzenia
Wyszukaj według deviceId lub deviceName, komentując odpowiednie wiersze.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Urządzenia aktualnie w trybie rozwiązywania problemów
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Liczba wystąpień trybu rozwiązywania problemów według urządzenia
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Łączna liczba
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Artykuły pokrewne
Porada
Porada dotycząca wydajności Ze względu na różne czynniki program antywirusowy Microsoft Defender, podobnie jak inne oprogramowanie antywirusowe, może powodować problemy z wydajnością na urządzeniach punktu końcowego. W niektórych przypadkach może być konieczne dostosowanie wydajności programu antywirusowego Microsoft Defender w celu złagodzenia tych problemów z wydajnością. Analizator wydajności firmy Microsoft to narzędzie wiersza polecenia programu PowerShell, które pomaga określić, które pliki, ścieżki plików, procesy i rozszerzenia plików mogą powodować problemy z wydajnością; Oto kilka przykładów:
- Najważniejsze ścieżki wpływające na czas skanowania
- Najważniejsze pliki, które mają wpływ na czas skanowania
- Najważniejsze procesy wpływające na czas skanowania
- Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
- Kombinacje — na przykład:
- najważniejsze pliki na rozszerzenie
- górne ścieżki na rozszerzenie
- najważniejsze procesy na ścieżkę
- najczęściej skanuje na plik
- najczęściej skanuje na plik na proces
Informacje zebrane przy użyciu analizatora wydajności umożliwiają lepszą ocenę problemów z wydajnością i stosowanie akcji korygowania. Zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender.
- Scenariusze trybu rozwiązywania problemów
- Chroń ustawienia zabezpieczeń z ochroną przed naruszeniami
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.