Uç Nokta için Microsoft Defender'de sorun giderme modu senaryoları

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender
• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Uç Nokta için Microsoft Defender sorun giderme modu, çeşitli Microsoft Defender Virüsten Koruma özelliklerini cihazdan etkinleştirerek ve kuruluş ilkesi tarafından denetlense bile farklı senaryoları test ederek sorun gidermenize olanak tanır. Sorun giderme modu varsayılan olarak devre dışıdır ve bir cihaz (ve/veya cihaz grubu) için sınırlı bir süre için açmanızı gerektirir. Bu yalnızca kurumsal bir özelliktir ve Microsoft Defender XDR erişim gerektirir.

Microsoft Defender Virüsten Koruma ile ilgili performansa özgü sorunları gidermek için bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.

İpucu

• Sorun giderme modu sırasında Windows cihazlarında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true kullanabilirsiniz.
• Kurcalama korumasının durumunu denetlemek için Get-MpComputerStatus PowerShell cmdlet'ini kullanabilirsiniz. Sonuç listesinde veya RealTimeProtectionEnabledöğesini arayınIsTamperProtected. ( True değeri, kurcalama korumasının etkinleştirildiği anlamına gelir.)

Senaryo 1: Uygulama yüklenemiyor

Bir uygulama yüklemek istiyor ancak Virüsten Koruma ve kurcalama korumasının açık Microsoft Defender bir hata iletisi alıyorsanız, sorunu gidermek için aşağıdaki yordamı kullanın.

1. Güvenlik yöneticisinden sorun giderme modunu açmasını isteyin. Sorun giderme modu başladıktan sonra Windows Güvenliği bildirimi alırsınız.

2. Yerel yönetici izinleriyle cihaza bağlanın (örneğin Terminal Hizmetleri'ni kullanarak).

3. İşlem İzleyicisi'ni (ProcMon) başlatın. Gerçek zamanlı korumayla ilgili performans sorunlarını giderme başlığında açıklanan adımlara bakın.

4. Windows güvenliği>Tehdit & virüs koruması>Ayarları> yönetKurcalama koruması>Kapalı'ya gidin.

   Alternatif olarak, sorun giderme modu sırasında Windows cihazlarında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true kullanabilirsiniz.

   Kurcalama korumasının durumunu denetlemek için Get-MpComputerStatus PowerShell cmdlet'ini kullanabilirsiniz. Sonuç listesinde veya RealTimeProtectionEnabledöğesini arayınIsTamperProtected. ( True değeri, kurcalama korumasının etkinleştirildiği anlamına gelir.)

5. Yükseltilmiş bir PowerShell komut istemi başlatın ve gerçek zamanlı korumayı kapatın.

   • Gerçek zamanlı korumanın durumunu denetlemek için komutunu çalıştırın Get-MpComputerStatus .
   • Gerçek zamanlı korumayı kapatmak için komutunu çalıştırın Set-MpPreference -DisableRealtimeMonitoring $true .
   • Durumu doğrulamak için yeniden çalıştırın Get-MpComputerStatus .

6. Uygulamayı yüklemeyi deneyin.

Senaryo 2: Windows Defender nedeniyle yüksek CPU kullanımı (MsMpEng.exe)

Bazen zamanlanmış tarama sırasında MsMpEng.exe yüksek CPU kullanabilir.

1. Yüksek CPU kullanımının nedeninin bu olduğunu MsMpEng.exe onaylamak için Görev Yöneticisi>Ayrıntıları sekmesine gidin. Ayrıca, zamanlanmış taramanın şu anda devam ediyor olup olmadığını denetleyin.

2. Cpu artışı sırasında yaklaşık beş dakika boyunca İşlem İzleyicisi'ni (ProcMon) çalıştırın ve ipuçları için ProcMon günlüğünü gözden geçirin.

3. Kök neden belirlendiğinde sorun giderme modunu açın.

4. Cihazda oturum açın ve yükseltilmiş bir PowerShell komut istemi başlatın.

5. Aşağıdaki komutlardan birini kullanarak ProcMon bulgularına göre işlem/dosya/klasör/uzantı dışlamaları ekleyin (bu makalede bahsedilen yol, uzantı ve işlem dışlamaları yalnızca örneklerdir):

   Set-mppreference -ExclusionPath (örneğin, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (örneğin, .dbx) Set-mppreference –ExclusionProcess (örneğin, C:\DB\Bin\Convertdb.exe)

6. Dışlama ekledikten sonra CPU kullanımının bırakılıp bırakılmadığını denetleyin.

Microsoft Defender Virüsten Koruma taramaları ve güncelleştirmeleri için cmdlet yapılandırma tercihleri hakkında Set-MpPreference daha fazla bilgi için bkz. Set-MpPreference.

Senaryo 3: Uygulamanın eylem gerçekleştirmesi daha uzun sürüyor

Microsoft Defender Virüsten Koruma gerçek zamanlı koruma etkinleştirildiğinde, uygulamaların temel görevleri gerçekleştirmesi daha uzun sürebilir. Gerçek zamanlı korumayı kapatmak ve sorunu gidermek için aşağıdaki yordamı kullanın.

1. Güvenlik yöneticisinden cihazda sorun giderme modunu açmasını isteyin.

2. Bu senaryo için gerçek zamanlı korumayı devre dışı bırakmak için önce kurcalama korumasını kapatın. Windows cihazlarında PowerShell komutunu Set-MPPreference -DisableTamperProtection $true kullanabilirsiniz.

   Kurcalama korumasının durumunu denetlemek için Get-MpComputerStatus PowerShell cmdlet'ini kullanabilirsiniz. Sonuç listesinde veya RealTimeProtectionEnabledöğesini arayınIsTamperProtected. ( True değeri, kurcalama korumasının etkinleştirildiği anlamına gelir.)

   Daha fazla bilgi için bkz . Kurcalama koruması ile güvenlik ayarlarını koruma.

3. Kurcalama koruması devre dışı bırakıldıktan sonra cihazda oturum açın.

4. Yükseltilmiş bir PowerShell komut istemi başlatın ve aşağıdaki komutu çalıştırın:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Gerçek zamanlı korumayı devre dışı bırakdıktan sonra uygulamanın yavaş olup olmadığını denetleyin.

Senaryo 4: Microsoft Office eklentisi Saldırı Yüzeyi Azaltma tarafından engellendi

Tüm Office uygulamalarının alt işlemler oluşturmasını engelle ayarı engelleme moduna ayarlandığından saldırı yüzeyini azaltma özelliği Microsoft Office eklentisinin düzgün çalışmasına izin vermiyor.

1. Sorun giderme modunu açın ve cihazda oturum açın.

2. Yükseltilmiş bir PowerShell komut istemi başlatın ve aşağıdaki komutu çalıştırın:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. ASR Kuralını devre dışı bırakdıktan sonra, Microsoft Office eklentisinin artık çalıştığını onaylayın.

Daha fazla bilgi için bkz. Saldırı yüzeyini azaltmaya genel bakış.

Senaryo 5: Ağ Koruması tarafından engellenen etki alanı

Ağ Koruması Microsoft etki alanını engelleyerek kullanıcıların etki alanına erişmesini engelliyor.

1. Sorun giderme modunu açın ve cihazda oturum açın.

2. Yükseltilmiş bir PowerShell komut istemi başlatın ve aşağıdaki komutu çalıştırın:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Ağ Koruması'nı devre dışı bırakdıktan sonra etki alanına artık izin verilip verilmediğini denetleyin.

Daha fazla bilgi için bkz. Hatalı sitelerle bağlantıları önlemeye yardımcı olmak için ağ korumasını kullanma.

Ayrıca bkz.

• Sorun giderme modunu etkinleştirme
• Değişiklik korumasıyla güvenlik ayarlarını koruyun
• Set-MpPreference
• Uç Nokta için Microsoft Defender genel bakışını edinin

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.