Introdução ao modo de resolução de problemas no Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Microsoft Defender para Ponto de Extremidade
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

O modo de resolução de problemas no Microsoft Defender para Ponto de Extremidade permite que os administradores resolvam vários Microsoft Defender funcionalidades do Antivírus, mesmo que os dispositivos sejam geridos por políticas organizacionais. Por exemplo, se a proteção contra adulteração estiver ativada, determinadas definições não podem ser modificadas ou desativadas, mas pode utilizar o modo de resolução de problemas num dispositivo para editar essas definições temporariamente.

O modo de resolução de problemas está desativado por predefinição e requer que o ative para um dispositivo (e/ou grupo de dispositivos) durante um período de tempo limitado. O modo de resolução de problemas é exclusivamente uma funcionalidade apenas para empresas e requer Microsoft Defender acesso ao portal.

Este artigo descreve o modo de resolução de problemas para dispositivos Windows. Para obter informações sobre o modo de resolução de problemas no Mac, consulte o artigo Modo de resolução de problemas no Microsoft Defender para Ponto de Extremidade no macOS.

Dica

• Durante o modo de resolução de problemas, pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell em dispositivos Windows.
• Para marcar o estado da proteção contra adulteração, pode utilizar o cmdlet Do PowerShell Get-MpComputerStatus. Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de verdadeiro significa que a proteção contra adulteração está ativada.)
• Para dispositivos Mac, consulte o artigo Modo de resolução de problemas no Microsoft Defender para Ponto de Extremidade no macOS.

Do que você precisa saber para começar?

Durante o modo de resolução de problemas, pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell ou, nos sistemas operativos cliente, a aplicação Centro de Segurança para desativar temporariamente a proteção contra adulteração no seu dispositivo e fazer as alterações de configuração necessárias.

Pode utilizar o modo de resolução de problemas para resolver problemas ou marcar compatibilidade de aplicações com Microsoft Defender Antivírus, como quando ocorrem falsos positivos com blocos de aplicações.

Com as permissões adequadas, os administradores locais podem alterar a configuração em dispositivos individuais que estão normalmente bloqueados pela política. Ter um dispositivo no modo de resolução de problemas pode ser útil ao diagnosticar Microsoft Defender cenários de compatibilidade e desempenho do Antivírus. Os administradores locais não podem desativar Microsoft Defender Antivírus nem desinstalá-lo. Os administradores locais podem configurar todas as outras definições de segurança no conjunto de Microsoft Defender Antivírus (por exemplo, proteção da cloud, proteção contra adulteração).

Os administradores têm de ter permissões de "Gerir Definições de segurança" para ativar o modo de resolução de problemas.

O Defender para Endpoint recolhe registos e dados de investigação ao longo do processo de resolução de problemas.

• Uma snapshot de é realizada antes do MpPreference início do modo de resolução de problemas.
• Uma segunda snapshot é realizada imediatamente antes de o modo de resolução de problemas expirar.
• Os registos operacionais de durante o modo de resolução de problemas também são recolhidos.
• Os registos e instantâneos são recolhidos e estão disponíveis para um administrador recolher com a funcionalidade Recolher pacote de investigação na página do dispositivo. A Microsoft não remove estes dados do dispositivo até que um administrador os recolha.

Os administradores também podem rever as alterações nas definições que ocorrem durante o modo de resolução de problemas no Visualizador de Eventos no próprio dispositivo.

• Abra Visualizador de Eventos e, em seguida, expanda Registos de Aplicações e Serviços>microsoft>Windows>Defender e, em seguida, selecione Operacional.
• Os eventos potenciais podem incluir eventos com IDs 5000, 5001, 5004, 5007 e outros. Veja mais detalhes em Rever registos de eventos e códigos de erro para resolver problemas com o Antivírus do Microsoft Defender.

O modo de resolução de problemas desliga-se automaticamente depois de atingir a hora de expiração (dura 4 horas). Quando o modo de resolução de problemas expirar, todas as configurações geridas por políticas tornam-se novamente só de leitura e reverter à forma como o dispositivo foi configurado antes de ativar o modo de resolução de problemas.

Pode demorar até 15 minutos a partir do momento em que o comando é enviado de Microsoft Defender XDR para quando fica ativo no dispositivo.

As notificações são enviadas ao utilizador quando o modo de resolução de problemas começa e quando o modo de resolução de problemas termina. Também é enviado um aviso para indicar que o modo de resolução de problemas está a terminar em breve. O início e o fim do modo de resolução de problemas também são identificados no portal Microsoft Defender, na Linha Cronológica do Dispositivo na página do dispositivo.

Pode consultar todos os eventos do modo de resolução de problemas na investigação avançada.

Observação

As alterações de gestão de políticas são aplicadas ao dispositivo quando está ativamente no modo de resolução de problemas. No entanto, as alterações só entrarão em vigor quando o modo de resolução de problemas expirar. Além disso, Microsoft Defender as atualizações da Plataforma Antivírus não são aplicadas durante o modo de Resolução de Problemas. As atualizações da plataforma são aplicadas quando o modo de resolução de problemas termina com uma atualização do Windows.

Pré-requisitos

• Os dispositivos têm de estar a executar um sistema operativo suportado.

  • Windows 10 (versão 19044.1618 ou posterior), Windows 11, Windows Server 2019, Windows Server 2022 ou Windows Server 2025.

    Semestre/Redstone	Versão do SO	Lançar
    21H2/SV1	22000.593 ou posterior	KB5011563: Catálogo Microsoft Update
    20H1/20H2/21H1	19042.1620 ou posterior 19041.1620 ou posterior 19043.1620 ou posterior	KB5011543: Catálogo Microsoft Update
    Windows Server 2022 ou posterior	20348.617 ou posterior	KB5011558: Catálogo Microsoft Update
    Windows Server 2019 (RS5)	17763.2746 ou posterior	KB5011551: Catálogo Microsoft Update

  • Windows Server 2012 R2 e Windows Server 2016 a utilizar a solução unificada moderna, com todos os seguintes componentes atualizados:

    Componente	Versão	Lançar
    Versão de deteção	10.8049.22439.1084 ou posterior	KB5005292: Catálogo Microsoft Update
    Microsoft Defender Antivírus	Plataforma: 4.18.2207.7 ou posterior	KB4052623: Catálogo Microsoft Update
    Microsoft Defender Antivírus	Motor: 1.1.19500.2 ou posterior	KB2267602: Catálogo Microsoft Update

• O Defender para Ponto Final tem de estar inscrito no inquilino e ativo no dispositivo.

• Os dispositivos têm de estar a executar ativamente Microsoft Defender Antivírus, versão 4.18.2203 or later.

• Para dispositivos macOS, consulte Pré-requisitos para o modo de resolução de problemas no Mac.

Ativar o modo de resolução de problemas

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. Navegue para a página/página do dispositivo do dispositivo que pretende ativar o modo de resolução de problemas. Selecione Ativar o modo de resolução de problemas. Tem de ter permissões "Gerir definições de segurança no Centro de Segurança" para Microsoft Defender para Ponto de Extremidade.

   

   Observação

   A opção Ativar modo de resolução de problemas está disponível em todos os dispositivos, mesmo que o dispositivo não cumpra os pré-requisitos para o modo de resolução de problemas.

3. Confirme que pretende ativar o modo de resolução de problemas para o dispositivo.

   

4. A página do dispositivo mostra que o dispositivo está agora no modo de resolução de problemas.

   

Consultas de investigação avançadas

Seguem-se algumas consultas de investigação avançadas pré-criadas para lhe dar visibilidade sobre os eventos de resolução de problemas que estão a ocorrer no seu ambiente. Também pode utilizar estas consultas para criar regras de deteção para gerar alertas quando os dispositivos estão no modo de resolução de problemas.

Obter eventos de resolução de problemas para um dispositivo específico

Pesquise por deviceId ou deviceName ao comentar as respetivas linhas.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Dispositivos atualmente no modo de resolução de problemas

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Contagem de instâncias do modo de resolução de problemas por dispositivo

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Contagem total

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Artigos relacionados

• Modo de resolução de problemas no Microsoft Defender para Ponto de Extremidade no macOS
• Analisador de desempenho do Antivírus Microsoft Defender.
• Cenários do modo de solução de problemas
• Proteger as configurações de segurança com proteção contra adulteração

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.