Microsoft Defender for Endpoint中的模式方案疑难解答
适用于:
- Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
希望体验 Defender for Endpoint? 注册免费试用版。
Microsoft Defender for Endpoint故障排除模式允许你通过从设备启用防病毒功能并测试不同的方案来对各种Microsoft Defender防病毒功能进行故障排除,即使这些功能受组织策略控制也是如此。 故障排除模式默认处于禁用状态,并且要求你在有限时间内为设备 (和/或设备组) 启用它。 请注意,这是一项仅限企业的功能,需要Microsoft 365 Defender访问权限。
若要排查与Microsoft Defender防病毒相关的特定于性能的问题,请参阅:Microsoft Defender防病毒的性能分析器。
方案 1:无法安装应用程序
如果要安装应用程序,但收到Microsoft Defender防病毒和篡改防护已启用的错误消息,请按照以下步骤排查问题。
请求安全管理员打开故障排除模式。 故障排除模式启动后,你将收到Windows 安全中心通知。
使用终端服务 (连接到设备,例如具有本地管理员权限) 。
启动进程监视器 (ProcMon) 。 请参阅 排查与实时保护相关的性能问题中所述的步骤。
转到“Windows 安全>威胁&病毒防护>”“管理设置>”“关闭篡改防护>”。
启动提升的 PowerShell 命令提示符,并关闭 RTP。
- 运行
Get-MpComputerStatus以检查 RealTimeProtection 状态。 - 运行
Set-mppreference -DisableRealtimeMonitoring $true以关闭 RTP。 - 再次运行
Get-MpComputerStatus以验证 RealTimeProtection 状态。
- 运行
尝试安装应用程序。
方案 2:由于Windows Defender (MsMpEng.exe) 导致 CPU 使用率过高
有时,在计划扫描期间,MsMpEng.exe可能会消耗高 CPU。
转到 “任务管理器>详细信息 ”选项卡,确认MsMpEng.exe是 CPU 使用率过高背后的原因。 此外,检查查看计划扫描当前是否正在进行中。
在 CPU 峰值期间运行 ProcMon 大约 5 分钟,然后查看 ProcMon 日志以获取线索。
确定根本原因后,打开故障排除模式。
登录到计算机并启动提升的 PowerShell 命令提示符。
使用以下命令之一基于 ProcMon 发现添加进程/文件/文件夹/扩展排除项 (下面提到的路径、扩展和进程排除项仅) 示例:
Set-mppreference -ExclusionPath(例如,C:\DB\DataFiles)Set-mppreference –ExclusionExtension例如, (.dbx)Set-mppreference –ExclusionProcess例如, (C:\DB\Bin\Convertdb.exe)
添加排除项后,检查查看 CPU 使用率是否已下降。
有关Windows Defender扫描和更新Set-MpPreference cmdlet 配置首选项的详细信息,请参阅 Set-MpPreference。
方案 3:应用程序执行操作的时间更长
启用Microsoft Defender防病毒实时保护后,应用程序需要很长时间才能执行基本任务。 若要关闭实时保护并排查问题,请执行以下步骤。
请求安全管理员在设备上打开故障排除模式。
若要为此方案禁用 RTP,请先关闭篡改保护。 有关详细信息,请参阅 使用防篡改保护安全设置。
禁用篡改保护后,登录到设备。
启动提升的 PowerShell 命令提示符。
Set-mppreference -DisableRealtimeMonitoring $true
禁用 RTP 后,检查查看应用程序是否缓慢。
方案 4:攻击面减少阻止的 Microsoft Office 插件
攻击面减少 (ASR) 不允许 Microsoft Office 插件正常工作,因为 阻止所有 Office 应用程序创建子进程 设置为阻止模式。
打开故障排除模式,然后登录到设备。
启动提升的 PowerShell 命令提示符。
Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
禁用 ASR 规则后,确认 Microsoft Office 插件现在正常工作。
有关详细信息,请参阅 攻击面减少概述。
方案 5:网络保护阻止的域
网络保护正在阻止 Microsoft 域,阻止用户访问它。
打开故障排除模式,然后登录到设备。
启动提升的 PowerShell 命令提示符。
Set-MpPreference -EnableNetworkProtection Disabled
禁用网络保护后,检查查看现在是否允许该域。
有关详细信息,请参阅 使用网络保护帮助防止连接到错误站点。
相关主题
提示
性能提示由于多种因素 (下面列出的示例) Microsoft Defender防病毒和其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化Microsoft Defender防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:
- 影响扫描时间的首要路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅:Microsoft Defender防病毒的性能分析器。