通过

Microsoft Defender for Endpoint中的模式方案疑难解答

  • 项目

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

Microsoft Defender for Endpoint故障排除模式允许你通过从设备启用防病毒功能并测试不同的方案来对各种Microsoft Defender防病毒功能进行故障排除,即使这些功能受组织策略控制也是如此。 故障排除模式默认处于禁用状态,并且要求你在有限时间内为设备 (和/或设备组) 启用它。 这是一项仅限企业的功能,需要Microsoft Defender XDR访问权限。

若要排查与Microsoft Defender防病毒相关的特定于性能的问题,请参阅:Microsoft Defender防病毒的性能分析器

提示

  • 在故障排除模式下,可以在 Windows 设备上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true
  • 若要检查篡改防护的状态,可以使用 Get-MpComputerStatus PowerShell cmdlet。 在结果列表中,查找 IsTamperProtectedRealTimeProtectionEnabled。 (值为 true 表示已启用篡改防护。)

方案 1:无法安装应用程序

如果想要安装应用程序,但收到一条错误消息,指出防病毒和篡改保护处于打开Microsoft Defender,请使用以下过程来排查问题。

  1. 请求安全管理员打开故障排除模式。 故障排除模式启动后,你将收到Windows 安全中心通知。

  2. 使用终端服务 (连接到设备,例如具有本地管理员权限) 。

  3. 启动 进程监视器 (ProcMon) 。 请参阅 排查与实时保护相关的性能问题中所述的步骤。

  4. 转到 Windows 安全>威胁 & 病毒防护>管理设置>篡改防护>关闭

    或者,在故障排除模式下,可以在 Windows 设备上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true

    若要检查篡改防护的状态,可以使用 Get-MpComputerStatus PowerShell cmdlet。 在结果列表中,查找 IsTamperProtectedRealTimeProtectionEnabled。 (值为 true 表示已启用篡改防护。)

  5. 启动提升的 PowerShell 命令提示符,并关闭 实时保护

    • 运行 Get-MpComputerStatus 以检查实时保护的状态。
    • 运行 Set-MpPreference -DisableRealtimeMonitoring $true 以关闭实时保护。
    • 再次运行 Get-MpComputerStatus 以验证状态。

  6. 尝试安装应用程序。

方案 2:由于Windows Defender (MsMpEng.exe) 导致 CPU 使用率过高

有时,在计划扫描期间,MsMpEng.exe 可能会消耗高 CPU。

  1. 转到 “任务管理器>详细信息 ”选项卡, MsMpEng.exe 确认这是 CPU 使用率过高背后的原因。 此外,检查查看计划扫描当前是否正在进行中。

  2. 在 CPU 高峰期间运行 进程监视器 (ProcMon) 大约五分钟,然后查看 ProcMon 日志以获取线索。

  3. 确定根本原因后,打开故障排除模式。

  4. 登录到设备,并启动提升的 PowerShell 命令提示符。

  5. 使用以下命令之一基于 ProcMon 发现添加 process/file/folder/extension 排除项, (本文中提到的路径、扩展和进程排除项仅) 示例:

    Set-mppreference -ExclusionPath例如, C:\DB\DataFiles () Set-mppreference –ExclusionExtension (, .dbx 例如) Set-mppreference –ExclusionProcess () C:\DB\Bin\Convertdb.exe

  6. 添加排除项后,检查查看 CPU 使用率是否已下降。

有关Set-MpPreferenceMicrosoft Defender防病毒扫描和更新的 cmdlet 配置首选项的详细信息,请参阅 Set-MpPreference

方案 3:应用程序执行操作的时间更长

启用Microsoft Defender防病毒实时保护后,应用程序可能需要更长时间来执行基本任务。 若要关闭实时保护并排查问题,请使用以下过程。

  1. 请求安全管理员在设备上打开故障排除模式。

  2. 若要禁用此方案的实时保护,请先关闭 篡改保护。 可以在 Windows 设备上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true

    若要检查篡改防护的状态,可以使用 Get-MpComputerStatus PowerShell cmdlet。 在结果列表中,查找 IsTamperProtectedRealTimeProtectionEnabled。 (值为 true 表示已启用篡改防护。)

    有关详细信息,请参阅 使用防篡改保护安全设置

  3. 禁用篡改防护后,登录到设备。

  4. 启动提升的 PowerShell 命令提示符,并运行以下命令:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. 禁用实时保护后,检查查看应用程序是否缓慢。

方案 4:攻击面减少阻止的 Microsoft Office 插件

攻击面减少不允许 Microsoft Office 插件正常工作,因为 阻止所有 Office 应用程序创建子进程 设置为阻止模式。

  1. 打开故障排除模式,然后登录到设备。

  2. 启动提升的 PowerShell 命令提示符,并运行以下命令:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. 禁用 ASR 规则后,确认 Microsoft Office 插件现在正常工作。

有关详细信息,请参阅 攻击面减少概述

方案 5:网络保护阻止的域

网络保护正在阻止 Microsoft 域,阻止用户访问它。

  1. 打开故障排除模式,然后登录到设备。

  2. 启动提升的 PowerShell 命令提示符,并运行以下命令:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. 禁用网络保护后,检查查看现在是否允许该域。

有关详细信息,请参阅 使用网络保护帮助防止连接到错误站点

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区