適用於端點的 Microsoft Defender 中的疑難解答模式案例
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的 Microsoft Defender 疑難解答模式可讓您從裝置啟用各種 Microsoft Defender 防病毒軟體功能,並測試不同的案例,即使它們是由組織原則所控制。 根據預設,疑難解答模式會停用,而且需要您針對裝置 (和/或裝置群組開啟,) 一段有限的時間。 這是僅限企業功能,需要 Microsoft Defender 全面偵測回應 存取權。
如需針對與 Microsoft Defender 防病毒軟體相關的效能特定問題進行疑難解答,請參閱:Microsoft Defender 防病毒軟體的效能分析器。
提示
- 在疑難解答模式中,您可以在 Windows 裝置上使用 PowerShell 命令
Set-MPPreference -DisableTamperProtection $true
。 - 若要檢查 竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找
IsTamperProtected
或RealTimeProtectionEnabled
。 (值為 true 表示已啟用竄改保護。)
案例 1:無法安裝應用程式
如果您想要安裝應用程式,但收到 Microsoft Defender 防病毒軟體和竄改保護已開啟的錯誤訊息,請使用下列程式來針對問題進行疑難解答。
要求安全性系統管理員開啟疑難解答模式。 疑難解答模式啟動后,您會收到 Windows 安全性 通知。
使用終端機服務連線到裝置 (,例如) 具有本機系統管理員許可權。
啟動 進程監視 ( ProcMon) 。 請參閱針對 即時保護相關的效能問題進行疑難解答中所述的步驟。
移至 Windows 安全>性威脅 & 病毒防護>管理設定>竄改保護>關閉。
或者,在疑難解答模式中,您可以在 Windows 裝置上使用 PowerShell 命令
Set-MPPreference -DisableTamperProtection $true
。若要檢查 竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找
IsTamperProtected
或RealTimeProtectionEnabled
。 (值為 true 表示已啟用竄改保護。)啟動提升許可權的 PowerShell 命令提示字元,並關閉 即時保護。
- 執行
Get-MpComputerStatus
以檢查即時保護的狀態。 - 執行
Set-MpPreference -DisableRealtimeMonitoring $true
以關閉即時保護。 - 再次執行
Get-MpComputerStatus
以確認狀態。
- 執行
請嘗試安裝應用程式。
案例 2:因 Windows Defender (MsMpEng.exe) 而造成高 CPU 使用量
有時候在排程掃描期間,MsMpEng.exe 可能會耗用高 CPU。
移至 [ 任務管理器>詳細數據] 索 引標籤,
MsMpEng.exe
確認這是高 CPU 使用量背後的原因。 另請檢查排程掃描目前是否正在進行。在CPU尖峰期間執行 進程監視 ( ProcMon) 約五分鐘,然後檢閱 ProcMon 記錄檔以取得線索。
判斷根本原因時,請開啟疑難解答模式。
登入裝置,並啟動提升許可權的 PowerShell 命令提示字元。
使用下列其中一個命令, (本文所述的路徑、延伸模組和進程排除專案,根據 ProcMon 結果新增進程/檔案/資料夾/擴展名排除專案,只是範例) :
Set-mppreference -ExclusionPath
例如, ()C:\DB\DataFiles
Set-mppreference –ExclusionExtension
(例如.dbx
,)Set-mppreference –ExclusionProcess
(,例如)C:\DB\Bin\Convertdb.exe
新增排除項目之後,請檢查CPU使用量是否已下降。
如需 Microsoft Defender Set-MpPreference
防病毒軟體掃描和更新的 Cmdlet 組態喜好設定詳細資訊,請參閱 Set-MpPreference。
案例 3:應用程式需要較長的時間來執行動作
開啟 Microsoft Defender 防病毒軟體即時保護時,應用程式可能需要較長的時間來執行基本工作。 若要關閉即時保護並針對問題進行疑難解答,請使用下列程式。
要求安全性系統管理員在裝置上開啟疑難解答模式。
若要停用此案例的實時保護,請先關閉 竄改保護。 您可以在 Windows 裝置上使用 PowerShell 命令
Set-MPPreference -DisableTamperProtection $true
。若要檢查竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找
IsTamperProtected
或RealTimeProtectionEnabled
。 (值為 true 表示已啟用竄改保護。)如需詳細資訊,請 參閱使用竄改保護來保護安全性設定。
一旦停用竄改保護,請登入裝置。
啟動提升權限的 PowerShell 命令提示字元,然後執行下列命令:
Set-mppreference -DisableRealtimeMonitoring $true
停用 即時保護之後,請檢查應用程式是否變慢。
案例 4:受攻擊面縮小封鎖的 Microsoft Office 外掛程式
受攻擊面縮小不允許 Microsoft Office 外掛程式正常運作,因為 封鎖所有 Office 應用程式建立子進程 已設定為封鎖模式。
開啟疑難解答模式,並登入裝置。
啟動提升權限的 PowerShell 命令提示字元,然後執行下列命令:
Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
停用 ASR 規則之後,請確認 Microsoft Office 外掛程式現在可以運作。
如需詳細資訊,請參 閱受攻擊面縮小概觀。
案例 5:網路保護封鎖的網域
網路保護封鎖了 Microsoft 網域,讓用戶無法存取它。
開啟疑難解答模式,並登入裝置。
啟動提升權限的 PowerShell 命令提示字元,然後執行下列命令:
Set-MpPreference -EnableNetworkProtection Disabled
停用網路保護之後,請檢查網域是否已允許。
如需詳細資訊,請 參閱使用網路保護來協助防止連線到不正確的網站。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。