Устранение неполадок в сценариях режима в Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки
• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Microsoft Defender для конечной точки режим устранения неполадок позволяет устранять неполадки с различными функциями антивирусной программы Microsoft Defender, включив их с устройства и проверив различные сценарии, даже если они контролируются политикой организации. Режим устранения неполадок отключен по умолчанию и требует включить его для устройства (или группы устройств) на ограниченное время. Эта функция является исключительно корпоративной и требует Microsoft Defender XDR доступа.

Сведения об устранении проблем с производительностью, связанных с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для антивирусной программы Microsoft Defender.

Совет

• В режиме устранения неполадок можно использовать команду Set-MPPreference -DisableTamperProtection $true PowerShell на устройствах Windows.
• Чтобы проверка состояние защиты от незаконного изменения, можно использовать командлет PowerShell Get-MpComputerStatus. В списке результатов найдите IsTamperProtected или RealTimeProtectionEnabled. (Значение true означает, что включена защита от незаконного изменения.)

Сценарий 1. Не удается установить приложение

Если вы хотите установить приложение, но получаете сообщение об ошибке, Microsoft Defender антивирусная программа и защита от незаконного изменения включена, выполните следующую процедуру для устранения проблемы.

1. Попросите администратора безопасности включить режим устранения неполадок. После запуска режима устранения неполадок вы получите уведомление о Безопасность Windows.

2. Подключитесь к устройству (например, с помощью служб терминалов) с разрешениями локального администратора.

3. Запуск монитора процессов (ProcMon). См. инструкции, описанные в статье Устранение проблем с производительностью, связанных с защитой в режиме реального времени.

4. Перейдите в раздел Безопасность Windows>& защита от> вирусовУправление параметрами Защита>от незаконного> изменениявыкл.

   Кроме того, в режиме устранения неполадок можно использовать команду Set-MPPreference -DisableTamperProtection $true PowerShell на устройствах Windows.

   Чтобы проверка состояние защиты от незаконного изменения, можно использовать командлет PowerShell Get-MpComputerStatus. В списке результатов найдите IsTamperProtected или RealTimeProtectionEnabled. (Значение true означает, что включена защита от незаконного изменения.)

5. Запустите командную строку PowerShell с повышенными привилегиями и отключите защиту в режиме реального времени.

   • Выполните Get-MpComputerStatus команду, чтобы проверка состояние защиты в режиме реального времени.
   • Выполните команду Set-MpPreference -DisableRealtimeMonitoring $true , чтобы отключить защиту в режиме реального времени.
   • Запустите Get-MpComputerStatus еще раз, чтобы проверить состояние.

6. Попробуйте установить приложение.

Сценарий 2. Высокая загрузка ЦП из-за Защитник Windows (MsMpEng.exe)

Иногда во время запланированной проверки MsMpEng.exe может потреблять большой объем ЦП.

1. Перейдите на вкладкуСведения одиспетчере> задач, чтобы убедиться, что MsMpEng.exe это причина высокой загрузки ЦП. Кроме того, проверка, чтобы узнать, выполняется ли запланированное сканирование.

2. Запустите монитор процесса (ProcMon) во время скачка ЦП в течение пяти минут, а затем просмотрите журнал ProcMon на наличие подсказок.

3. Когда первопричина определена, включите режим устранения неполадок.

4. Войдите в устройство и запустите командную строку PowerShell с повышенными привилегиями.

5. Добавьте исключения process/file/folder/extension на основе результатов ProcMon с помощью одной из следующих команд (исключения пути, расширения и процесса, упомянутые в этой статье, являются только примерами):

   Set-mppreference -ExclusionPath (например, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (например, .dbx) Set-mppreference –ExclusionProcess (например, C:\DB\Bin\Convertdb.exe).

6. После добавления исключения проверка, чтобы узнать, снизилась ли загрузка ЦП.

Дополнительные сведения о Set-MpPreference параметрах конфигурации командлетов для проверки и обновлений антивирусной программы Microsoft Defender см. в разделе Set-MpPreference.

Сценарий 3. Выполнение действия приложением требуется больше времени

Если защита Microsoft Defender антивирусной программы в режиме реального времени включена, для выполнения основных задач приложений может потребоваться больше времени. Чтобы отключить защиту в режиме реального времени и устранить проблему, выполните следующую процедуру.

1. Попросите администратора безопасности включить режим устранения неполадок на устройстве.

2. Чтобы отключить защиту в режиме реального времени для этого сценария, сначала отключите защиту от незаконного изменения. Вы можете использовать команду Set-MPPreference -DisableTamperProtection $true PowerShell на устройствах Windows.

   Чтобы проверка состояние защиты от незаконного изменения, можно использовать командлет PowerShell Get-MpComputerStatus. В списке результатов найдите IsTamperProtected или RealTimeProtectionEnabled. (Значение true означает, что включена защита от незаконного изменения.)

   Дополнительные сведения см. в разделе Защита параметров безопасности с помощью защиты от незаконного изменения.

3. После отключения защиты от незаконного изменения войдите на устройство.

4. Запустите командную строку PowerShell с повышенными привилегиями и выполните следующую команду:

   Set-mppreference -DisableRealtimeMonitoring $true

5. После отключения защиты в режиме реального времени проверка, чтобы узнать, работает ли приложение медленно.

Сценарий 4. Подключаемый модуль Microsoft Office заблокирован сокращением направлений атаки

Сокращение направлений атак не позволяет подключаемым модулям Microsoft Office работать должным образом, так как параметр Блокировать все приложения Office от создания дочерних процессов настроен в режим блокировки.

1. Включите режим устранения неполадок и войдите на устройство.

2. Запустите командную строку PowerShell с повышенными привилегиями и выполните следующую команду:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. После отключения правила ASR убедитесь, что подключаемый модуль Microsoft Office теперь работает.

Дополнительные сведения см. в статье Общие сведения о сокращении направлений атак.

Сценарий 5. Домен заблокирован защитой сети

Защита сети блокирует домен Майкрософт, препятствуя доступу пользователей к нему.

1. Включите режим устранения неполадок и войдите на устройство.

2. Запустите командную строку PowerShell с повышенными привилегиями и выполните следующую команду:

   Set-MpPreference -EnableNetworkProtection Disabled

3. После отключения защиты сети проверка, чтобы узнать, разрешен ли домен.

Дополнительные сведения см. в статье Использование защиты сети для предотвращения подключений к неверным сайтам.

См. также

• Включение режима устранения неполадок
• Защита параметров безопасности с помощью защиты от подделки
• Set-MpPreference
• Обзор Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.