Microsoft Defender for Endpoint中的故障排除模式入门

适用于：

• Microsoft Defender for Endpoint

希望体验 Defender for Endpoint？ 注册免费试用版。

Microsoft Defender for Endpoint故障排除模式允许你通过从设备启用防病毒功能并测试不同的方案来对各种Microsoft Defender防病毒功能进行故障排除，即使这些功能受组织策略控制也是如此。 故障排除模式默认处于禁用状态，并且要求你在有限时间内为设备 (和/或设备组) 启用它。 请注意，这是一项仅限企业的功能，需要Microsoft 365 Defender访问权限。

开始前，有必要了解什么？

在故障排除模式下，可以使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true ，或者在客户端操作系统上使用安全中心应用在设备上暂时禁用篡改保护并进行必要的配置更改。

• 使用故障排除模式禁用/更改篡改防护设置以执行以下操作：

  • Microsoft Defender防病毒功能故障排除 /application 兼容性 (误报应用程序块) 。
  • 使用故障排除模式并操作篡改防护和其他防病毒设置，Microsoft Defender防病毒性能故障排除。

• 例如，如果 (发生篡改事件， MpPreference) 更改或删除快照，则故障排除模式将结束，并将在设备上启用篡改防护。

• 具有适当权限的本地管理员可以更改通常由策略锁定的单个终结点上的配置。 在诊断Microsoft Defender防病毒性能和兼容性方案时，让设备处于故障排除模式可能会有所帮助。

  • 本地管理员无法关闭防病毒Microsoft Defender或卸载防病毒。
  • 本地管理员将能够配置Microsoft Defender防病毒套件中的所有其他安全设置， (例如云保护、篡改防护) 。

• 具有“管理安全设置”权限的管理员将有权打开故障排除模式。

• Microsoft Defender for Endpoint在整个故障排除过程中收集日志和调查数据。

  • MpPreference在故障排除模式开始之前，将拍摄 的快照。

  • 第二个快照将在故障排除模式到期前拍摄。

  • 还将收集故障排除模式下的操作日志。

  • 上述所有日志和快照都将收集，管理员可使用设备页上的“ 收集调查包 ”功能进行收集。 请注意，在管理员收集这些数据之前，Microsoft 不会从设备中删除这些数据。

• 管理员还可以在设备页上的 事件查看器 中查看在故障排除模式下发生的设置更改。

• 故障排除模式在达到过期时间后自动关闭， (它持续 3 小时) 。 过期后，所有策略托管的配置将再次变为只读，并将恢复为设置故障排除模式之前的方式。

• 从命令从 Microsoft 365 Defender 发送到设备上处于活动状态时，最长可能需要 15 分钟的时间。

• 当故障排除模式开始和故障排除模式结束时，将向最终用户发送通知。 还会发送警告，通知即将结束。

• 故障排除模式的开始和结束将在 设备的“设备时间线 ”页中标识。

• 可以在高级搜寻中查询所有故障排除模式事件。

注意

当计算机处于“故障排除”模式时，策略管理更改将应用于计算机。 但是，在故障排除模式过期之前，更改不会生效。 此外，Microsoft Defender防病毒平台更新不会在故障排除模式下应用。 当故障排除模式以 Windows 更新结束时，将应用平台更新。

先决条件

• 运行Windows 10 (版本 19044.1618 或更高版本) 、Windows 11、Windows Server 2019 或 Windows Server 2022 的设备。

  学期/红石	OS 版本	发布
  21H2/SV1	>=22000.593	KB5011563：Microsoft 更新目录
  20H1/20H2/21H1	>=19042.1620 >=19041.1620 >=19043.1620	KB5011543：Microsoft 更新目录
  Windows Server 2022	>=20348.617	KB5011558：Microsoft 更新目录
  Windows Server 2019 (RS5)	>=17763.2746	KB5011551：Microsoft 更新目录

• 对于运行适用于 Windows Server 2012 R2 和Windows Server 2016的新式统一解决方案的计算机，还可以使用故障排除模式。 在使用故障排除模式之前，请确保以下所有组件都是最新的：

  • Sense 版本 10.8049.22439.1084 或更高版本 (KB5005292：Microsoft 更新目录)

  • Defender 防病毒 - 平台：4.18.2207.7 或更高版本 (KB4052623：Microsoft 更新目录)

  • Defender 防病毒 - 引擎：1.1.19500.2 或更高版本 (KB2267602：Microsoft 更新目录)

• 若要应用故障排除模式，Microsoft Defender for Endpoint必须是租户注册且在设备上处于活动状态的。

• 设备必须主动运行Microsoft Defender防病毒版本 4.18.2203 或更高版本。

启用故障排除模式

1. 转到Microsoft 365 Defender门户 (https://security.microsoft.com) ，然后登录。

2. 导航到要打开故障排除模式的设备的设备页/计算机页。 选择“ 启用故障排除模式”。 请注意，这需要Microsoft Defender for Endpoint的“在安全中心管理安全设置”权限。

   

3. 确认要为设备启用故障排除模式。

   

4. 设备页显示设备现在处于故障排除模式。

   

高级搜寻查询

下面是一些预构建的高级搜寻查询，可让你了解环境中发生的故障排除事件。 还可以使用这些查询 来创建检测规则 ，这些规则会在设备处于故障排除模式时发出警报。

获取特定设备的故障排除事件

通过注释掉相应的行，按 deviceId 或 deviceName 进行搜索。

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

当前处于故障排除模式的设备

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

按设备统计的故障排除模式实例计数

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

总计计数

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

相关主题

提示

性能提示由于多种因素 (下面列出的示例) Microsoft Defender防病毒和其他防病毒软件一样，可能会导致终结点设备上的性能问题。 在某些情况下，可能需要优化Microsoft Defender防病毒的性能，以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具，可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括：

• 影响扫描时间的首要路径
• 影响扫描时间的热门文件
• 影响扫描时间的顶级进程
• 影响扫描时间的热门文件扩展名
• 组合 - 例如：
  • 每个扩展名的排名靠前的文件数
  • 每个扩展的顶部路径
  • 每个路径的顶级进程数
  • 每个文件的顶级扫描数
  • 每个进程的每个文件扫描数

可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅：Microsoft Defender防病毒的性能分析器。

• 故障排除模式方案
• 使用篡改保护保护安全设置