Udostępnij za pośrednictwem

Usługa Microsoft Defender dla punktu końcowego w systemie Windows Server z oprogramowaniem SAP

  • Artykuł

Dotyczy:

Jeśli Twoja organizacja korzysta z oprogramowania SAP, należy zrozumieć zgodność i obsługę programów antywirusowych i EDR w usłudze Microsoft Defender for Endpoint i aplikacjach SAP. Ten artykuł ułatwia zrozumienie pomocy technicznej zapewnianej przez oprogramowanie SAP dla rozwiązań zabezpieczeń programu Endpoint Protection, takich jak Defender for Endpoint, oraz sposobu interakcji z aplikacjami SAP.

W tym artykule opisano sposób używania usługi Microsoft Defender for Endpoint w systemie Windows Server wraz z aplikacjami SAP, takimi jak NetWeaver i S4 Hana, oraz aparatami autonomicznymi SAP, takimi jak LiveCache. W tym artykule skoncentrujemy się na programie antywirusowym i możliwościach EDR w usłudze Defender for Endpoint. Aby zapoznać się ze wszystkimi możliwościami usługi Defender for Endpoint, zobacz Usługa Microsoft Defender dla punktu końcowego.

Ten artykuł nie obejmuje oprogramowania klienckiego SAP, takiego jak OPROGRAMOWANIE SAPGUI lub program antywirusowy Microsoft Defender na urządzeniach klienckich z systemem Windows.

Zabezpieczenia przedsiębiorstwa i twój zespół SAP Basis

Zabezpieczenia przedsiębiorstwa to rola specjalistyczna, a działania opisane w tym artykule powinny być planowane jako wspólna działalność zespołu ds. zabezpieczeń przedsiębiorstwa i zespołu SAP Basis. Zespół ds. zabezpieczeń przedsiębiorstwa musi koordynować działania z zespołem SAP Basis i wspólnie zaprojektować konfigurację usługi Defender for Endpoint i przeanalizować wszelkie wykluczenia.

Zapoznaj się z omówieniem usługi Defender for Endpoint

Usługa Defender for Endpoint jest składnikiem usługi Microsoft Defender XDR i może być zintegrowana z rozwiązaniem SIEM/SOAR.

Zanim zaczniesz planować lub wdrażać usługę Defender for Endpoint w systemie Windows Server za pomocą oprogramowania SAP, poświęć chwilę na omówienie usługi Defender for Endpoint. Poniższe wideo zawiera omówienie:

Aby uzyskać bardziej szczegółowe informacje na temat usługi Defender for Endpoint i ofert zabezpieczeń firmy Microsoft, zobacz następujące zasoby:

Usługa Defender for Endpoint obejmuje możliwości wykraczane poza zakres tego artykułu. W tym artykule skupimy się na dwóch głównych obszarach:

  • Ochrona nowej generacji (obejmująca ochronę antywirusową). Ochrona nowej generacji jest produktem antywirusowym, podobnie jak inne rozwiązania antywirusowe dla środowisk systemu Windows.
  • Wykrywanie i reagowanie punktów końcowych (EDR). Funkcje EDR wykrywają podejrzane działania i wywołania systemowe oraz zapewniają dodatkową warstwę ochrony przed zagrożeniami, które pomijają ochronę antywirusową.

Firma Microsoft i inni dostawcy oprogramowania zabezpieczającego śledzą zagrożenia i udostępniają informacje o trendach. Aby uzyskać informacje, zobacz Cyberthreats, viruses, and malware - Microsoft Security Intelligence (Cyberodświadcz, wirusy i złośliwe oprogramowanie — Microsoft Security Intelligence).

Uwaga

Aby uzyskać informacje na temat usługi Microsoft Defender for SAP w systemie Linux, zobacz Wskazówki dotyczące wdrażania usługi Microsoft Defender dla punktu końcowego w systemie Linux dla systemu SAP. Usługa Defender for Endpoint w systemie Linux znacznie różni się od wersji systemu Windows.

Instrukcja pomocy technicznej sap w usłudze Defender for Endpoint i innych rozwiązaniach zabezpieczeń

Oprogramowanie SAP udostępnia podstawową dokumentację konwencjonalnych rozwiązań antywirusowych do skanowania plików. Konwencjonalne rozwiązania antywirusowe do skanowania plików porównują sygnatury plików z bazą danych znanych zagrożeń. Po zidentyfikowaniu zainfekowanego pliku oprogramowanie antywirusowe zwykle wysyła alerty i podda go kwarantannie. Mechanizmy i zachowanie rozwiązań antywirusowych do skanowania plików są dość dobrze znane i przewidywalne; W związku z tym obsługa oprogramowania SAP może zapewnić podstawowy poziom obsługi aplikacji SAP, które wchodzą w interakcje z oprogramowaniem antywirusowym do skanowania plików.

Zagrożenia oparte na plikach są teraz tylko jednym z możliwych wektorów złośliwego oprogramowania. Złośliwe oprogramowanie bez plików i złośliwe oprogramowanie, które żyje poza lądem, wysoce polimorficzne zagrożenia, które mutują szybciej niż tradycyjne rozwiązania, mogą nadążyć za atakami obsługiwanymi przez człowieka, które dostosowują się do tego, co przeciwnicy znajdują na urządzeniach, których bezpieczeństwo zostało naruszone. Tradycyjne rozwiązania zabezpieczeń antywirusowych nie wystarczą do powstrzymania takich ataków. Wymagane są funkcje wspierane przez sztuczną inteligencję (AI) i uczenie urządzeń (ML), takie jak blokowanie zachowań i hermetyzacja. Oprogramowanie zabezpieczające, takie jak Defender for Endpoint, ma zaawansowane funkcje ochrony przed zagrożeniami w celu wyeliminowania nowoczesnych zagrożeń.

Usługa Defender for Endpoint stale monitoruje wywołania systemu operacyjnego, takie jak odczyt plików, zapis plików, tworzenie gniazda i inne operacje na poziomie procesu. Czujnik EDR usługi Defender for Endpoint uzyskuje oportunistyczne blokady w lokalnych systemach plików NTFS i dlatego jest mało prawdopodobne, aby wpływał na aplikacje. Blokady oportunistyczne nie są możliwe w zdalnych systemach plików sieciowych. W rzadkich przypadkach blokada może powodować ogólne błędy niespecyficzne, takie jak odmowa dostępu w aplikacjach SAP.

Oprogramowanie SAP nie jest w stanie zapewnić żadnego poziomu obsługi oprogramowania EDR/XDR, takiego jak Microsoft Defender XDR lub Defender for Endpoint. Mechanizmy w takich rozwiązaniach są adaptacyjne; W związku z tym nie są przewidywalne. Ponadto problemy mogą nie być powtarzalne. Gdy problemy są identyfikowane w systemach z zaawansowanymi rozwiązaniami zabezpieczeń, firma SAP zaleca wyłączenie oprogramowania zabezpieczającego, a następnie podjęcie próby odtworzenia problemu. Następnie można zgłaszać zgłoszenie do dostawcy oprogramowania zabezpieczającego.

Aby uzyskać więcej informacji na temat zasad pomocy technicznej sap, zobacz 3356389 — oprogramowanie antywirusowe lub inne oprogramowanie zabezpieczające wpływające na operacje SAP.

Oto lista artykułów sap, których można użyć w razie potrzeby:

Aplikacje SAP w systemie Windows Server: 10 najważniejszych zaleceń

  1. Ogranicz dostęp do serwerów SAP, zablokuj porty sieciowe i podejmij wszystkie inne typowe środki ochrony zabezpieczeń. Ten pierwszy krok jest niezbędny. Krajobraz zagrożeń ewoluował od wirusów opartych na plikach do złożonych i zaawansowanych zagrożeń bez plików. Akcje, takie jak blokowanie portów i ograniczanie logowania/dostępu do maszyn wirtualnych , nie są już uważane za wystarczające do pełnego wyeliminowania nowoczesnych zagrożeń.

  2. Przed wdrożeniem w systemach produkcyjnych wdróż usługę Defender for Endpoint w systemach nieprodukcyjnych. Wdrażanie usługi Defender for Endpoint bezpośrednio w systemach produkcyjnych bez testowania jest wysoce ryzykowne i może prowadzić do przestojów. Jeśli nie możesz opóźnić wdrażania usługi Defender for Endpoint w systemach produkcyjnych, rozważ tymczasowe wyłączenie ochrony przed naruszeniami i ochrony w czasie rzeczywistym.

  3. Pamiętaj, że ochrona w czasie rzeczywistym jest domyślnie włączona w systemie Windows Server. Jeśli zostaną zidentyfikowane problemy, które mogą być związane z usługą Defender for Endpoint, zaleca się skonfigurowanie wykluczeń i/lub otwarcie zgłoszenia pomocy technicznej za pośrednictwem portalu usługi Microsoft Defender.

  4. Zespół SAP Basis i twój zespół ds. zabezpieczeń współpracują ze sobą we wdrożeniu usługi Defender for Endpoint. Oba zespoły muszą wspólnie utworzyć etapowy plan wdrażania, testowania i monitorowania.

  5. Narzędzia takie jak PerfMon (Windows) umożliwiają utworzenie punktu odniesienia wydajności przed wdrożeniem i aktywowaniem usługi Defender for Endpoint. Porównaj wykorzystanie wydajności przed aktywacją usługi Defender for Endpoint i po jej uaktywnieniu. Zobacz perfmon.

  6. Wdróż najnowszą wersję usługi Defender for Endpoint i użyj najnowszych wersji systemu Windows, najlepiej systemu Windows Server 2019 lub nowszego. Zobacz Minimalne wymagania dotyczące usługi Microsoft Defender dla punktu końcowego.

  7. Skonfiguruj pewne wykluczenia dla programu antywirusowego Microsoft Defender. Obejmują one:

    • Pliki danych DBMS, pliki dziennika i pliki tymczasowe, w tym dyski zawierające pliki kopii zapasowej
    • Cała zawartość katalogu SAPMNT
    • Cała zawartość katalogu SAPLOC
    • Cała zawartość katalogu TRANS
    • Cała zawartość katalogów dla silników autonomicznych, takich jak TREX

    Użytkownicy zaawansowani mogą rozważyć użycie kontekstowych wykluczeń plików i folderów.

    Aby uzyskać więcej informacji na temat wykluczeń DBMS, użyj następujących zasobów:

  8. Sprawdź ustawienia usługi Defender dla punktu końcowego. Program antywirusowy Microsoft Defender z aplikacjami SAP powinien mieć następujące ustawienia w większości przypadków:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Użyj narzędzi, takich jak usługa Intune lub zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint , aby skonfigurować usługę Defender dla punktu końcowego. Takie narzędzia mogą pomóc w zapewnieniu, że usługa Defender for Endpoint jest skonfigurowana poprawnie i jednolicie wdrożona.

    Aby użyć zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint, w portalu usługi Microsoft Defender przejdź do obszaruZasady zabezpieczeń punktu końcowegozarządzania konfiguracją>punktów końcowych> programu Endpoint, a następnie wybierz pozycję Utwórz nowe zasady. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami zabezpieczeń punktu końcowego w usłudze Microsoft Defender for Endpoint.

  10. Użyj najnowszej wersji usługi Defender for Endpoint. W usłudze Defender for Endpoint w systemie Windows zaimplementowano kilka nowych funkcji, które zostały przetestowane za pomocą systemów SAP. Te nowe funkcje zmniejszają blokowanie i zmniejszają zużycie procesora CPU. Aby uzyskać więcej informacji na temat nowych funkcji, zobacz Co nowego w usłudze Microsoft Defender for Endpoint.

Metodologia wdrażania

Zarówno oprogramowanie SAP, jak i firma Microsoft nie zalecają wdrażania usługi Defender for Endpoint w systemie Windows bezpośrednio we wszystkich systemach deweloperskich, qas i produkcyjnych jednocześnie i/lub bez starannego testowania i monitorowania. Klienci, którzy wdrożyli usługę Defender for Endpoint i inne podobne oprogramowanie w niekontrolowany sposób bez odpowiedniego testowania, doświadczyli przestoju systemu.

Usługa Defender for Endpoint w systemie Windows oraz wszelkie inne zmiany oprogramowania lub konfiguracji należy najpierw wdrożyć w systemach deweloperskich, zweryfikować je w usłudze QAS, a dopiero następnie wdrożyć w środowiskach produkcyjnych.

Użycie narzędzi, takich jak zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint w celu wdrożenia usługi Defender for Endpoint w całym środowisku SAP bez testowania, może powodować przestoje.

Poniżej przedstawiono listę elementów, które należy sprawdzić:

  1. Wdróż usługę Defender for Endpoint z włączoną ochroną przed naruszeniami. Jeśli wystąpią problemy, włącz tryb rozwiązywania problemów, wyłącz ochronę przed naruszeniami, wyłącz ochronę w czasie rzeczywistym i skonfiguruj zaplanowane skanowanie.

  2. Wyklucz pliki DBMS i pliki wykonywalne zgodnie z zaleceniami dostawcy usługi DBMS.

  3. Analizowanie katalogów SAPMNT, SAP TRANS_DIR, Spool i Job Log. Jeśli istnieje więcej niż 100 000 plików, rozważ archiwizowanie w celu zmniejszenia liczby plików.

  4. Potwierdź limity wydajności i limity przydziału udostępnionego systemu plików używanego w systemie SAPMNT. Źródłem udziału SMB może być urządzenie NetApp, dysk udostępniony systemu Windows Server lub SMB usługi Azure Files.

  5. Skonfiguruj wykluczenia, aby wszystkie serwery aplikacji SAP nie skanują jednocześnie udziału SAPMNT, ponieważ mogą przeciążyć udostępniony serwer magazynu.

  6. Ogólnie rzecz biorąc, pliki interfejsu hosta na dedykowanym serwerze plików innych niż SAP. Pliki interfejsu są rozpoznawane jako wektor ataku. Na tym dedykowanym serwerze plików należy aktywować ochronę w czasie rzeczywistym. Serwery SAP Nigdy nie powinny być używane jako serwery plików dla plików interfejsu.

    Uwaga

    Niektóre duże systemy SAP mają ponad 20 serwerów aplikacji SAP, z których każdy ma połączenie z tym samym udziałem SMB SAPMNT. 20 serwerów aplikacji jednocześnie skanujących ten sam serwer SMB może przeciążyć serwer SMB. Zaleca się wykluczenie oprogramowania SAPMNT z regularnych skanów.

Ważne ustawienia konfiguracji dla usługi Defender for Endpoint w systemie Windows Server z oprogramowaniem SAP

  1. Zapoznaj się z omówieniem usługi Microsoft Defender dla punktu końcowego. W szczególności zapoznaj się z informacjami na temat ochrony nowej generacji i EDR.

    Uwaga

    Termin Defender jest czasami używany do odwoływania się do całego zestawu produktów i rozwiązań. Zobacz Co to jest usługa Microsoft Defender XDR?. W tym artykule skoncentrujemy się na programie antywirusowym i możliwościach EDR w usłudze Defender for Endpoint.

  2. Sprawdź stan programu antywirusowego Microsoft Defender. Otwórz wiersz polecenia i uruchom następujące polecenia programu PowerShell:

    Get-MpComputerStatus, w następujący sposób:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Oczekiwane dane wyjściowe dla Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference, w następujący sposób:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Oczekiwane dane wyjściowe dla Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Sprawdź stan EDR. Otwórz wiersz polecenia, a następnie uruchom następujące polecenie:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Powinny zostać wyświetlone dane wyjściowe podobne do następującego fragmentu kodu:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Wartości, które chcesz zobaczyć, to Status: Running i StartType: Automatic.

    Aby uzyskać więcej informacji na temat danych wyjściowych, zobacz Przeglądanie zdarzeń i błędów przy użyciu podglądu zdarzeń.

  4. Upewnij się, że program antywirusowy Microsoft Defender jest aktualny. Najlepszym sposobem na upewnienie się, że ochrona antywirusowa jest aktualna, jest użycie usługi Windows Update. Jeśli wystąpią problemy lub wystąpi błąd, skontaktuj się z zespołem ds. zabezpieczeń.

    Aby uzyskać więcej informacji na temat aktualizacji, zobacz Analiza zabezpieczeń programu antywirusowego Microsoft Defender i aktualizacje produktów.

  5. Upewnij się, że monitorowanie zachowania jest włączone. Po włączeniu ochrony przed naruszeniami monitorowanie zachowania jest domyślnie włączone. Użyj domyślnej konfiguracji włączonej ochrony przed naruszeniami, włączonego monitorowania zachowania i włączonego monitorowania w czasie rzeczywistym, chyba że zostanie zidentyfikowany konkretny problem.

    Aby uzyskać więcej informacji, zobacz Wbudowana ochrona pomaga chronić przed oprogramowaniem wymuszającym okup.

  6. Upewnij się, że ochrona w czasie rzeczywistym jest włączona. Bieżącą rekomendacją dla usługi Defender for Endpoint w systemie Windows jest włączenie skanowania w czasie rzeczywistym z włączoną ochroną przed naruszeniami, włączonym monitorowaniem zachowania i włączonym monitorowaniem w czasie rzeczywistym, chyba że zostanie zidentyfikowany konkretny problem.

    Aby uzyskać więcej informacji, zobacz Wbudowana ochrona pomaga chronić przed oprogramowaniem wymuszającym okup.

  7. Należy pamiętać, jak skany działają z udziałami sieciowymi. Domyślnie składnik programu antywirusowego Microsoft Defender w systemie Windows skanuje udostępnione systemy plików sieciowych SMB (na przykład udział \\server\smb-share serwera systemu Windows lub udział NetApp), gdy te pliki są dostępne dla procesów.

    Usługa Defender for Endpoint EDR w systemie Windows może skanować udostępnione systemy plików sieciowych SMB. Czujnik EDR skanuje niektóre pliki, które są identyfikowane jako interesujące dla analizy EDR podczas operacji modyfikowania, usuwania i przenoszenia plików.

    Usługa Defender for Endpoint w systemie Linux nie skanuje systemów plików NFS podczas zaplanowanych skanów.

  8. Rozwiązywanie problemów z kondycją lub niezawodnością wykrywania. Aby rozwiązać takie problemy, użyj narzędzia Defender for Endpoint Client Analyzer. Analizator klienta usługi Defender for Endpoint może być przydatny podczas diagnozowania problemów z kondycją czujnika lub niezawodnością na dołączonych urządzeniach z systemem Windows, Linux lub macOS. Pobierz najnowszą wersję analizatora klienta usługi Defender for Endpoint tutaj: https://aka.ms/MDEAnalyzer.

  9. Otwórz zgłoszenie do pomocy technicznej , jeśli potrzebujesz pomocy. Zobacz Kontakt z pomocą techniczną usługi Microsoft Defender dla punktów końcowych.

  10. Jeśli używasz produkcyjnych maszyn wirtualnych SAP z usługą Microsoft Defender for Cloud, pamiętaj, że usługa Defender for Cloud wdraża rozszerzenie Defender for Endpoint na wszystkich maszynach wirtualnych. Jeśli maszyna wirtualna nie jest dołączona do usługi Defender for Endpoint, może być używana jako wektor ataku. Jeśli potrzebujesz więcej czasu na przetestowanie usługi Defender pod kątem punktu końcowego przed przejściem do środowiska produkcyjnego, skontaktuj się z pomocą techniczną.

Przydatne polecenia: Usługa Microsoft Defender dla punktu końcowego z oprogramowaniem SAP w systemie Windows Server

W poniższych sekcjach opisano sposób potwierdzania lub konfigurowania ustawień punktu końcowego usługi Defender przy użyciu programu PowerShell i wiersza polecenia:

Ręczne aktualizowanie definicji programu antywirusowego Microsoft Defender

Użyj usługi Windows Update lub uruchom następujące polecenie:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Powinny zostać wyświetlone dane wyjściowe podobne do następującego fragmentu kodu:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Inną opcją jest użycie tego polecenia:

PS C:\Program Files\Windows Defender> Update-MpSignature

Aby uzyskać więcej informacji na temat tych poleceń, zobacz następujące zasoby:

Określanie, czy funkcja EDR w trybie bloku jest włączona

Środowisko EDR w trybie bloku zapewnia dodatkową ochronę przed złośliwymi artefaktami, gdy program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym i działa w trybie pasywnym. Możesz określić, czy funkcja EDR w trybie bloku jest włączona, uruchamiając następujące polecenie:

Get-MPComputerStatus|select AMRunningMode

Istnieją dwa tryby: tryb normalny i pasywny. Testowanie w systemach SAP odbywało się tylko w AMRunningMode = Normal przypadku systemów SAP.

Aby uzyskać więcej informacji na temat tego polecenia, zobacz Get-MpComputerStatus.

Konfigurowanie wykluczeń programu antywirusowego

Przed skonfigurowaniem wykluczeń upewnij się, że zespół SAP Basis koordynuje działania z zespołem ds. zabezpieczeń. Wykluczenia należy skonfigurować centralnie, a nie na poziomie maszyny wirtualnej. Wykluczenia, takie jak udostępniony system plików SAPMNT, należy wykluczyć za pośrednictwem zasad przy użyciu portalu administracyjnego usługi Intune.

Aby wyświetlić wykluczenia, użyj następującego polecenia:

Get-MpPreference | Select-Object -Property ExclusionPath

Aby uzyskać więcej informacji na temat tego polecenia, zobacz Get-MpComputerStatus.

Aby uzyskać więcej informacji na temat wykluczeń, zobacz następujące zasoby:

Konfigurowanie wykluczeń EDR

Nie zaleca się wykluczania plików, ścieżek ani procesów z EDR, ponieważ takie wykluczenia obejmują ochronę przed nowoczesnymi zagrożeniami niefiltrowanymi. W razie potrzeby otwórz zgłoszenie do pomocy technicznej firmy Microsoft za pośrednictwem portalu usługi Microsoft Defender, określając pliki wykonywalne i/lub ścieżki do wykluczenia. Zobacz Kontakt z pomocą techniczną usługi Microsoft Defender dla punktów końcowych.

Całkowite wyłączenie usługi Defender dla punktu końcowego w systemie Windows na potrzeby testowania

Uwaga

Nie zaleca się wyłączania oprogramowania zabezpieczającego, chyba że nie ma alternatywy do rozwiązania lub wyizolowania problemu.

Usługa Defender for Endpoint powinna być skonfigurowana z włączoną ochroną przed naruszeniami . Aby tymczasowo wyłączyć usługę Defender dla punktu końcowego w celu izolowania problemów, użyj trybu rozwiązywania problemów.

Aby zamknąć różne podkomponenty rozwiązania antywirusowego Microsoft Defender, uruchom następujące polecenia:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Aby uzyskać więcej informacji na temat tych poleceń, zobacz Set-MpPreference.

Ważna

Nie można wyłączyć podskładników EDR na urządzeniu. Jedynym sposobem wyłączenia EDR jest odłączenie urządzenia.

Aby wyłączyć ochronę dostarczaną w chmurze (Microsoft Advanced Protection Service lub MAPS), uruchom następujące polecenia:

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

Aby uzyskać więcej informacji na temat ochrony dostarczanej w chmurze, zobacz następujące zasoby: