Uç Nokta için Microsoft Defender'de sorun giderme modunu kullanmaya başlama
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Uç Nokta için Microsoft Defender'deki sorun giderme modu, cihazlar kuruluş ilkeleri tarafından yönetilse bile yöneticilerin çeşitli Microsoft Defender Virüsten Koruma özellikleriyle ilgili sorunları gidermesine olanak tanır. Örneğin, kurcalama koruması etkinse , bazı ayarlar değiştirilemez veya kapatılamaz, ancak bu ayarları geçici olarak düzenlemek için bir cihazda sorun giderme modunu kullanabilirsiniz.
Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Sorun giderme modu yalnızca kurumsal bir özelliktir ve portal erişimi Microsoft Defender gerektirir.
İpucu
- Sorun giderme modu sırasında Windows cihazlarında PowerShell komutunu
Set-MPPreference -DisableTamperProtection $true
kullanabilirsiniz. -
Kurcalama korumasının durumunu denetlemek için Get-MpComputerStatus PowerShell cmdlet'ini kullanabilirsiniz. Sonuç listesinde veya
RealTimeProtectionEnabled
öğesini arayınIsTamperProtected
. ( True değeri, kurcalama korumasının etkinleştirildiği anlamına gelir.) .
Başlamadan önce bilmeniz gerekenler
Sorun giderme modu sırasında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true
veya istemci işletim sistemlerinde Güvenlik Merkezi uygulamasını kullanarak cihazınızda kurcalama korumasını geçici olarak devre dışı bırakabilir ve gerekli yapılandırma değişikliklerinizi yapabilirsiniz.
Kurcalama koruma ayarını devre dışı bırakmak/değiştirmek için sorun giderme modunu kullanın:
- Microsoft Defender Virüsten koruma işlevsel sorun giderme /uygulama uyumluluğu (hatalı pozitif uygulama blokları).
Uygun izinlere sahip yerel yöneticiler, genellikle ilke tarafından kilitlenen tek tek uç noktalarda yapılandırmaları değiştirebilir. Microsoft Defender Virüsten Koruma performans ve uyumluluk senaryolarını tanılamak için bir cihazın sorun giderme modunda olması yararlı olabilir.
Yerel yöneticiler Virüsten Koruma Microsoft Defender kapatamaz veya kaldıramaz.
Yerel yöneticiler Microsoft Defender Virüsten Koruma paketindeki diğer tüm güvenlik ayarlarını yapılandırabilir (örneğin, bulut koruması, kurcalama koruması).
"Güvenlik ayarlarını yönetme" izinlerine sahip yöneticilerin sorun giderme modunu açma erişimi vardır.
Uç Nokta için Microsoft Defender, sorun giderme işlemi boyunca günlükleri ve araştırma verilerini toplar.
Sorun giderme modu başlamadan önce anlık görüntüsü
MpPreference
alınır.Sorun giderme modunun süresi dolmadan hemen önce ikinci bir anlık görüntü alınır.
Sorun giderme modu sırasında gelen işlem günlükleri de toplanır.
Günlükler ve anlık görüntüler toplanır ve yöneticinin cihaz sayfasındaki Araştırma paketini topla özelliğini kullanarak toplaması için kullanılabilir. Microsoft, bir yönetici tarafından toplanana kadar bu verileri cihazdan kaldırmaz.
Yöneticiler, cihazın kendisinde Olay Görüntüleyicisi sorun giderme modu sırasında gerçekleşen ayarlardaki değişiklikleri de gözden geçirebilir.
- Olay Görüntüleyicisi'ı açın, Ardından Uygulama ve Hizmet Günlükleri>Microsoft>Windows Windows>Defender'ı genişletin ve ardından İşletimsel'i seçin.
- Olası olaylar 5000, 5001, 5004, 5007 ve diğer kimliklere sahip olayları içerebilir. Microsoft Defender Virüsten Koruma ile ilgili sorunları gidermek için olay günlüklerini ve hata kodlarını gözden geçirme makalesinde daha fazla ayrıntıya bakın.
Sorun giderme modu, süre sonu süresine ulaştıktan sonra otomatik olarak kapanır (4 saat sürer). Süre dolduktan sonra, ilkeyle yönetilen tüm yapılandırmalar yeniden salt okunur hale gelir ve sorun giderme modunu etkinleştirmeden önce cihazın nasıl yapılandırıldığına geri döner.
Komutun Microsoft Defender XDR cihazda etkin hale gelmesi 15 dakika kadar sürebilir.
Sorun giderme modu başladığında ve sorun giderme modu sona erdiğinde kullanıcıya bildirimler gönderilir. Sorun giderme modunun yakında sona erdiğini belirten bir uyarı da gönderilir.
Sorun giderme modunun başlangıcı ve sonu, cihaz sayfasındaki Cihaz Zaman Çizelgesi'nde tanımlanır.
Gelişmiş tehdit avcılığında tüm sorun giderme modu olaylarını sorgulayabilirsiniz.
Not
sorun giderme modunda etkin durumdayken cihaza ilke yönetimi değişiklikleri uygulanır. Ancak, sorun giderme modunun süresi dolana kadar değişiklikler geçerli olmaz. Ayrıca, Microsoft Defender Virüsten Koruma Platformu güncelleştirmeleri Sorun Giderme modu sırasında uygulanmaz. Sorun giderme modu bir Windows güncelleştirmesi ile sona erdiğinde platform güncelleştirmeleri uygulanır.
Önkoşullar
Windows 10 (sürüm 19044.1618 veya üzeri), Windows 11, Windows Server 2019 veya Windows Server 2022 çalıştıran bir cihaz.
Sömestr/Redstone İşletim sistemi sürümü Sürüm 21H2/SV1 >=22000.593 KB5011563: Microsoft Update Kataloğu 20H1/20H2/21H1 >=19042.1620
>=19041.1620
>=19043.1620KB5011543: Microsoft Update Kataloğu Windows Server 2022 >=20348.617 KB5011558: Microsoft Update Kataloğu Windows Server 2019 (RS5) >=17763.2746 KB5011551: Microsoft Update Kataloğu Sorun giderme modu, Windows Server 2012 R2 ve Windows Server 2016 için modern, birleşik çözümü çalıştıran makineler için de kullanılabilir. Sorun giderme modunu kullanmadan önce aşağıdaki bileşenlerin tümünün güncel olduğundan emin olun:
- Akıllı sürüm
10.8049.22439.1084
veya üzeri (KB5005292: Microsoft Update Kataloğu) - Microsoft Defender Virüsten Koruma - Platform:
4.18.2207.7
veya üzeri (KB4052623: Microsoft Update Kataloğu) - Microsoft Defender Virüsten Koruma - Altyapı:
1.1.19500.2
veya üzeri (KB2267602: Microsoft Update Kataloğu)
- Akıllı sürüm
Sorun giderme modunun uygulanabilmesi için Uç Nokta için Microsoft Defender cihazda kiracıya kaydedilmiş ve etkin olmalıdır.
Cihazın virüsten koruma Microsoft Defender 4.18.2203 veya sonraki bir sürümü etkin olarak çalıştırıyor olması gerekir.
Sorun giderme modunu etkinleştirme
Microsoft Defender portalına ()https://security.microsoft.com gidin ve oturum açın.
Sorun giderme modunu açmak istediğiniz cihazın cihaz sayfasına/makine sayfasına gidin. Sorun giderme modunu aç'ı seçin. Uç Nokta için Microsoft Defender için "Güvenlik Merkezi'nde güvenlik ayarlarını yönetme" izinlerine sahip olmanız gerekir.
Not
Sorun giderme modunu aç seçeneği, cihaz sorun giderme modu önkoşullarını karşılamasa bile tüm cihazlarda kullanılabilir.
Cihaz için sorun giderme modunu açmak istediğinizi onaylayın.
Cihaz sayfasında cihazın artık sorun giderme modunda olduğu gösterilir.
Gelişmiş tehdit avcılığı sorguları
Aşağıda, ortamınızda gerçekleşen sorun giderme olaylarına görünürlük sağlamak için önceden oluşturulmuş bazı gelişmiş tehdit avcılığı sorguları yer alır. Bu sorguları, cihazlar sorun giderme modundayken uyarı oluşturmak üzere algılama kuralları oluşturmak için de kullanabilirsiniz.
Belirli bir cihaz için sorun giderme olaylarını alma
İlgili satırları açıklama satırı yaparak deviceId veya deviceName ölçütüne göre arama gerçekleştirin.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Şu anda sorun giderme modunda olan cihazlar
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Cihaza göre sorun giderme modu örneklerinin sayısı
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Toplam sayı
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
İlgili makaleler
İpucu
Performans ipucu Çeşitli faktörler nedeniyle, diğer virüsten koruma yazılımları gibi Virüsten Koruma Microsoft Defender uç nokta cihazlarında performans sorunlarına neden olabilir. Bazı durumlarda, bu performans sorunlarını gidermek için Microsoft Defender Virüsten Koruma'nın performansını ayarlamanız gerekebilir. Microsoft'un Performans çözümleyicisi hangi dosyaların, dosya yollarının, işlemlerin ve dosya uzantılarının performans sorunlarına neden olabileceğini belirlemeye yardımcı olan bir PowerShell komut satırı aracıdır; bazı örnekler şunlardır:
- Tarama süresini etkileyen en iyi yollar
- Tarama süresini etkileyen en önemli dosyalar
- Tarama süresini etkileyen en önemli işlemler
- Tarama süresini etkileyen en iyi dosya uzantıları
- Kombinasyonlar – örneğin:
- uzantı başına en çok kullanılan dosyalar
- uzantı başına en iyi yollar
- yol başına en üstteki işlemler
- dosya başına en çok tarama
- işlem başına dosya başına en çok tarama
Performans sorunlarını daha iyi değerlendirmek ve düzeltme eylemleri uygulamak için Performans çözümleyicisi kullanılarak toplanan bilgileri kullanabilirsiniz. Bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.