Share via

Uç Nokta için Microsoft Defender'de sorun giderme modunu kullanmaya başlama

  • Makale

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Uç Nokta için Microsoft Defender'deki sorun giderme modu, cihazlar kuruluş ilkeleri tarafından yönetilse bile yöneticilerin çeşitli Microsoft Defender Virüsten Koruma özellikleriyle ilgili sorunları gidermesine olanak tanır. Örneğin, kurcalama koruması etkinse , bazı ayarlar değiştirilemez veya kapatılamaz, ancak bu ayarları geçici olarak düzenlemek için bir cihazda sorun giderme modunu kullanabilirsiniz.

Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Sorun giderme modu yalnızca kurumsal bir özelliktir ve portal erişimi Microsoft Defender gerektirir.

İpucu

  • Sorun giderme modu sırasında Windows cihazlarında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true kullanabilirsiniz.
  • Kurcalama korumasının durumunu denetlemek için Get-MpComputerStatus PowerShell cmdlet'ini kullanabilirsiniz. Sonuç listesinde veya RealTimeProtectionEnabledöğesini arayınIsTamperProtected. ( True değeri, kurcalama korumasının etkinleştirildiği anlamına gelir.) .

Başlamadan önce bilmeniz gerekenler

Sorun giderme modu sırasında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true veya istemci işletim sistemlerinde Güvenlik Merkezi uygulamasını kullanarak cihazınızda kurcalama korumasını geçici olarak devre dışı bırakabilir ve gerekli yapılandırma değişikliklerinizi yapabilirsiniz.

  • Kurcalama koruma ayarını devre dışı bırakmak/değiştirmek için sorun giderme modunu kullanın:

    • Microsoft Defender Virüsten koruma işlevsel sorun giderme /uygulama uyumluluğu (hatalı pozitif uygulama blokları).

  • Uygun izinlere sahip yerel yöneticiler, genellikle ilke tarafından kilitlenen tek tek uç noktalarda yapılandırmaları değiştirebilir. Microsoft Defender Virüsten Koruma performans ve uyumluluk senaryolarını tanılamak için bir cihazın sorun giderme modunda olması yararlı olabilir.

    • Yerel yöneticiler Virüsten Koruma Microsoft Defender kapatamaz veya kaldıramaz.

    • Yerel yöneticiler Microsoft Defender Virüsten Koruma paketindeki diğer tüm güvenlik ayarlarını yapılandırabilir (örneğin, bulut koruması, kurcalama koruması).

  • "Güvenlik ayarlarını yönetme" izinlerine sahip yöneticilerin sorun giderme modunu açma erişimi vardır.

  • Uç Nokta için Microsoft Defender, sorun giderme işlemi boyunca günlükleri ve araştırma verilerini toplar.

    • Sorun giderme modu başlamadan önce anlık görüntüsü MpPreference alınır.

    • Sorun giderme modunun süresi dolmadan hemen önce ikinci bir anlık görüntü alınır.

    • Sorun giderme modu sırasında gelen işlem günlükleri de toplanır.

    • Günlükler ve anlık görüntüler toplanır ve yöneticinin cihaz sayfasındaki Araştırma paketini topla özelliğini kullanarak toplaması için kullanılabilir. Microsoft, bir yönetici tarafından toplanana kadar bu verileri cihazdan kaldırmaz.

  • Yöneticiler, cihaz sayfasındaki Olay Görüntüleyicisi sorun giderme modu sırasında gerçekleşen ayarlardaki değişiklikleri de gözden geçirebilir.

  • Sorun giderme modu, süre sonu süresine ulaştıktan sonra otomatik olarak kapanır (4 saat sürer). Süre dolduktan sonra, ilkeyle yönetilen tüm yapılandırmalar yeniden salt okunur hale gelir ve sorun giderme modunu etkinleştirmeden önce cihazın nasıl yapılandırıldığına geri döner.

  • Komutun Microsoft Defender XDR cihazda etkin hale gelmesi 15 dakika kadar sürebilir.

  • Sorun giderme modu başladığında ve sorun giderme modu sona erdiğinde kullanıcıya bildirimler gönderilir. Sorun giderme modunun yakında sona erdiğini belirten bir uyarı da gönderilir.

  • Sorun giderme modunun başlangıcı ve sonu, cihaz sayfasındaki Cihaz Zaman Çizelgesi'nde tanımlanır.

  • Gelişmiş tehdit avcılığında tüm sorun giderme modu olaylarını sorgulayabilirsiniz.

Not

sorun giderme modunda etkin durumdayken cihaza ilke yönetimi değişiklikleri uygulanır. Ancak, sorun giderme modunun süresi dolana kadar değişiklikler geçerli olmaz. Ayrıca, Microsoft Defender Virüsten Koruma Platformu güncelleştirmeleri Sorun Giderme modu sırasında uygulanmaz. Sorun giderme modu bir Windows güncelleştirmesi ile sona erdiğinde platform güncelleştirmeleri uygulanır.

Önkoşullar

  • Windows 10 (sürüm 19044.1618 veya üzeri), Windows 11, Windows Server 2019 veya Windows Server 2022 çalıştıran bir cihaz.

    Sömestr/Redstone İşletim sistemi sürümü Sürüm
    21H2/SV1 >=22000.593 KB5011563: Microsoft Update Kataloğu
    20H1/20H2/21H1 >=19042.1620
    >=19041.1620
    >=19043.1620    		 KB5011543: Microsoft Update Kataloğu
    Windows Server 2022 >=20348.617 KB5011558: Microsoft Update Kataloğu
    Windows Server 2019 (RS5) >=17763.2746 KB5011551: Microsoft Update Kataloğu

  • Sorun giderme modu, Windows Server 2012 R2 ve Windows Server 2016 için modern, birleşik çözümü çalıştıran makineler için de kullanılabilir. Sorun giderme modunu kullanmadan önce aşağıdaki bileşenlerin tümünün güncel olduğundan emin olun:

  • Sorun giderme modunun uygulanabilmesi için Uç Nokta için Microsoft Defender cihazda kiracıya kaydedilmiş ve etkin olmalıdır.

  • Cihazın virüsten koruma Microsoft Defender 4.18.2203 veya sonraki bir sürümü etkin olarak çalıştırıyor olması gerekir.

Sorun giderme modunu etkinleştirme

  1. Microsoft Defender portalına ()https://security.microsoft.com gidin ve oturum açın.

  2. Sorun giderme modunu açmak istediğiniz cihazın cihaz sayfasına/makine sayfasına gidin. Sorun giderme modunu aç'ı seçin. Uç Nokta için Microsoft Defender için "Güvenlik Merkezi'nde güvenlik ayarlarını yönetme" izinlerine sahip olmanız gerekir.

    Sorun giderme modunu açma

Not

Sorun giderme modunu aç seçeneği, cihaz sorun giderme modu önkoşullarını karşılamasa bile tüm cihazlarda kullanılabilir.

  1. Cihaz için sorun giderme modunu açmak istediğinizi onaylayın.

    Yapılandırma açılır öğesi

  2. Cihaz sayfasında cihazın artık sorun giderme modunda olduğu gösterilir.

    Cihaz artık sorun giderme modunda

Gelişmiş tehdit avcılığı sorguları

Aşağıda, ortamınızda gerçekleşen sorun giderme olaylarına görünürlük sağlamak için önceden oluşturulmuş bazı gelişmiş tehdit avcılığı sorguları yer alır. Bu sorguları, cihazlar sorun giderme modundayken uyarı oluşturmak üzere algılama kuralları oluşturmak için de kullanabilirsiniz.

Belirli bir cihaz için sorun giderme olaylarını alma

İlgili satırları açıklama satırı yaparak deviceId veya deviceName ile Arama.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Şu anda sorun giderme modunda olan cihazlar

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Cihaza göre sorun giderme modu örneklerinin sayısı

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Toplam sayı

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

İpucu

Performans ipucu Çeşitli faktörler nedeniyle, diğer virüsten koruma yazılımları gibi Virüsten Koruma Microsoft Defender uç nokta cihazlarında performans sorunlarına neden olabilir. Bazı durumlarda, bu performans sorunlarını gidermek için Microsoft Defender Virüsten Koruma'nın performansını ayarlamanız gerekebilir. Microsoft'un Performans çözümleyicisi hangi dosyaların, dosya yollarının, işlemlerin ve dosya uzantılarının performans sorunlarına neden olabileceğini belirlemeye yardımcı olan bir PowerShell komut satırı aracıdır; bazı örnekler şunlardır:

  • Tarama süresini etkileyen en iyi yollar
  • Tarama süresini etkileyen en önemli dosyalar
  • Tarama süresini etkileyen en önemli işlemler
  • Tarama süresini etkileyen en iyi dosya uzantıları
  • Kombinasyonlar – örneğin:
    • uzantı başına en çok kullanılan dosyalar
    • uzantı başına en iyi yollar
    • yol başına en üstteki işlemler
    • dosya başına en çok tarama
    • işlem başına dosya başına en çok tarama

Performans sorunlarını daha iyi değerlendirmek ve düzeltme eylemleri uygulamak için Performans çözümleyicisi kullanılarak toplanan bilgileri kullanabilirsiniz. Bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.