Solução de problemas de cenários de modo em Microsoft Defender para Ponto de Extremidade

Aplica-se a:

• Microsoft Defender para Ponto de Extremidade
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Microsoft Defender para Ponto de Extremidade modo de solução de problemas permite solucionar problemas de vários recursos Microsoft Defender Antivírus, habilitando-os no dispositivo e testando cenários diferentes, mesmo que sejam controlados pela política de organização. O modo de solução de problemas é desabilitado por padrão e exige que você o ative para um dispositivo (e/ou grupo de dispositivos) por um tempo limitado. Esse é exclusivamente um recurso somente empresarial e requer acesso Microsoft Defender XDR.

Para solucionar problemas específicos de desempenho relacionados ao Microsoft Defender Antivírus, consulte: Analisador de desempenho para Microsoft Defender Antivírus.

Dica

• Durante o modo de solução de problemas, você pode usar o comando Set-MPPreference -DisableTamperProtection $true PowerShell em dispositivos Windows.
• Para marcar o estado da proteção contra adulteração, você pode usar o cmdlet Get-MpComputerStatus PowerShell. Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de true significa que a proteção contra adulteração está habilitada.)

Cenário 1: não é possível instalar o aplicativo

Se você quiser instalar um aplicativo, mas receber uma mensagem de erro na qual Microsoft Defender Proteção contra antivírus e adulteração, use o procedimento a seguir para solucionar o problema.

1. Solicite ao administrador de segurança para ativar o modo de solução de problemas. Você receberá uma notificação Segurança do Windows quando o modo de solução de problemas for iniciado.

2. Conecte-se ao dispositivo (usando os Serviços de Terminal, por exemplo) com permissões de administrador local.

3. Iniciar o Monitor de Processos (ProcMon). Confira as etapas descritas em Solucionar problemas de desempenho relacionados à proteção em tempo real.

4. Acesse Proteção contra ameaças à segurança>do Windows & proteção>contra vírus Gerenciar configurações>Proteção contra adulteração>desativada.

   Alternativamente, durante o modo de solução de problemas, você pode usar o comando Set-MPPreference -DisableTamperProtection $true PowerShell em dispositivos Windows.

   Para marcar o estado da proteção contra adulteração, você pode usar o cmdlet Get-MpComputerStatus PowerShell. Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de true significa que a proteção contra adulteração está habilitada.)

5. Inicie um prompt de comando do PowerShell elevado e alterne a proteção em tempo real.

   • Execute Get-MpComputerStatus para marcar o status de proteção em tempo real.
   • Execute Set-MpPreference -DisableRealtimeMonitoring $true para desativar a proteção em tempo real.
   • Execute Get-MpComputerStatus novamente para verificar status.

6. Tente instalar o aplicativo.

Cenário 2: Alto uso de CPU devido a Windows Defender (MsMpEng.exe)

Às vezes, durante uma verificação agendada, MsMpEng.exe pode consumir CPU alta.

1. Acesse a guia Detalhes do Gerenciador> deTarefas para confirmar se esse MsMpEng.exe é o motivo por trás do alto uso da CPU. Também marcar para ver se uma verificação agendada está em andamento no momento.

2. Execute o ProcMon (Monitor de Processo) durante o pico da CPU por cerca de cinco minutos e examine o log do ProcMon em busca de pistas.

3. Quando a causa raiz for determinada, ative o modo de solução de problemas.

4. Entre no dispositivo e inicie um prompt de comando do PowerShell elevado.

5. Adicione exclusões de processo/arquivo/pasta/extensão com base em descobertas do ProcMon usando um dos seguintes comandos (as exclusões de caminho, extensão e processo mencionadas neste artigo são apenas exemplos):

   Set-mppreference -ExclusionPath (por exemplo, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (por exemplo, .dbx) Set-mppreference –ExclusionProcess (por exemplo, C:\DB\Bin\Convertdb.exe)

6. Depois de adicionar a exclusão, marcar para ver se o uso da CPU caiu.

Para obter mais informações sobre Set-MpPreference as preferências de configuração de cmdlet para Microsoft Defender verificações e atualizações antivírus, consulte Set-MpPreference.

Cenário 3: Aplicativo demorando mais para executar uma ação

Quando Microsoft Defender proteção antivírus em tempo real é ativada, os aplicativos podem levar mais tempo para executar tarefas básicas. Para desativar a proteção em tempo real e solucionar problemas, use o procedimento a seguir.

1. Solicite um administrador de segurança para ativar o modo de solução de problemas no dispositivo.

2. Para desabilitar a proteção em tempo real para esse cenário, primeiro desative a proteção contra adulteração. Você pode usar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell em dispositivos Windows.

   Para marcar o estado da proteção contra adulteração, você pode usar o cmdlet Get-MpComputerStatus PowerShell. Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de true significa que a proteção contra adulteração está habilitada.)

   Para obter mais informações, consulte Proteger configurações de segurança com proteção contra adulteração.

3. Depois que a proteção contra adulteração for desabilitada, entre no dispositivo.

4. Inicie um prompt de comando do PowerShell elevado e execute o seguinte comando:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Depois de desabilitar a proteção em tempo real, marcar para ver se o aplicativo está lento.

Cenário 4: Plug-in do Microsoft Office bloqueado pela Redução de Superfície de Ataque

A redução da superfície de ataque não permite que o plug-in do Microsoft Office funcione corretamente porque Bloquear todos os aplicativos do Office de criar processos filho está definido como modo de bloqueio.

1. Ative o modo de solução de problemas e entre no dispositivo.

2. Inicie um prompt de comando do PowerShell elevado e execute o seguinte comando:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Depois de desabilitar a Regra do ASR, confirme se o plug-in do Microsoft Office agora funciona.

Para obter mais informações, consulte Visão geral da redução da superfície de ataque.

Cenário 5: Domínio bloqueado pela Proteção de Rede

A Proteção de Rede está bloqueando o domínio da Microsoft, impedindo que os usuários o acessem.

1. Ative o modo de solução de problemas e entre no dispositivo.

2. Inicie um prompt de comando do PowerShell elevado e execute o seguinte comando:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Depois de desabilitar a Proteção de Rede, marcar para ver se o domínio agora é permitido.

Para obter mais informações, consulte Usar a proteção de rede para ajudar a evitar conexões com sites ruins.

Confira também

• Habilitar o modo de solução de problemas
• Proteger as configurações de segurança com proteção contra adulteração
• Set-MpPreference
• Obtenha uma visão geral do Microsoft Defender para Ponto de Extremidade

Dica

Você deseja aprender mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Comunidade Tecnológica.