共用方式為


適用於端點的 Microsoft Defender 中的疑難解答模式案例

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Microsoft Defender 疑難解答模式可讓您從裝置啟用各種 Microsoft Defender 防病毒軟體功能,並測試不同的案例,即使它們是由組織原則所控制。 根據預設,疑難解答模式會停用,而且需要您針對裝置 (和/或裝置群組開啟,) 一段有限的時間。 這是僅限企業功能,需要 Microsoft Defender 全面偵測回應 存取權。

如需針對與 Microsoft Defender 防病毒軟體相關的效能特定問題進行疑難解答,請參閱:Microsoft Defender 防病毒軟體的效能分析器

提示

  • 在疑難解答模式中,您可以在 Windows 裝置上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true
  • 若要檢查 竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找 IsTamperProtectedRealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

案例 1:無法安裝應用程式

如果您想要安裝應用程式,但收到 Microsoft Defender 防病毒軟體和竄改保護已開啟的錯誤訊息,請使用下列程式來針對問題進行疑難解答。

  1. 要求安全性系統管理員開啟疑難解答模式。 疑難解答模式啟動后,您會收到 Windows 安全性 通知。

  2. 使用終端機服務連線到裝置 (,例如) 具有本機系統管理員許可權。

  3. 啟動 進程監視 ( ProcMon) 。 請參閱針對 即時保護相關的效能問題進行疑難解答中所述的步驟。

  4. 移至 Windows 安全>性威脅 & 病毒防護>管理設定>竄改保護>關閉

    或者,在疑難解答模式中,您可以在 Windows 裝置上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true

    若要檢查 竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找 IsTamperProtectedRealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

  5. 啟動提升許可權的 PowerShell 命令提示字元,並關閉 即時保護

    • 執行 Get-MpComputerStatus 以檢查即時保護的狀態。
    • 執行 Set-MpPreference -DisableRealtimeMonitoring $true 以關閉即時保護。
    • 再次執行 Get-MpComputerStatus 以確認狀態。
  6. 請嘗試安裝應用程式。

案例 2:因 Windows Defender (MsMpEng.exe) 而造成高 CPU 使用量

有時候在排程掃描期間,MsMpEng.exe 可能會耗用高 CPU。

  1. 移至 [ 任務管理器>詳細數據] 索 引標籤, MsMpEng.exe 確認這是高 CPU 使用量背後的原因。 另請檢查排程掃描目前是否正在進行。

  2. 在CPU尖峰期間執行 進程監視 ( ProcMon) 約五分鐘,然後檢閱 ProcMon 記錄檔以取得線索。

  3. 判斷根本原因時,請開啟疑難解答模式。

  4. 登入裝置,並啟動提升許可權的 PowerShell 命令提示字元。

  5. 使用下列其中一個命令, (本文所述的路徑、延伸模組和進程排除專案,根據 ProcMon 結果新增進程/檔案/資料夾/擴展名排除專案,只是範例) :

    Set-mppreference -ExclusionPath例如, () C:\DB\DataFilesSet-mppreference –ExclusionExtension (例如 .dbx ,) Set-mppreference –ExclusionProcess (,例如) C:\DB\Bin\Convertdb.exe

  6. 新增排除項目之後,請檢查CPU使用量是否已下降。

如需 Microsoft Defender Set-MpPreference 防病毒軟體掃描和更新的 Cmdlet 組態喜好設定詳細資訊,請參閱 Set-MpPreference

案例 3:應用程式需要較長的時間來執行動作

開啟 Microsoft Defender 防病毒軟體即時保護時,應用程式可能需要較長的時間來執行基本工作。 若要關閉即時保護並針對問題進行疑難解答,請使用下列程式。

  1. 要求安全性系統管理員在裝置上開啟疑難解答模式。

  2. 若要停用此案例的實時保護,請先關閉 竄改保護。 您可以在 Windows 裝置上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true

    若要檢查竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找 IsTamperProtectedRealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

    如需詳細資訊,請 參閱使用竄改保護來保護安全性設定

  3. 一旦停用竄改保護,請登入裝置。

  4. 啟動提升權限的 PowerShell 命令提示字元,然後執行下列命令:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. 停用 即時保護之後,請檢查應用程式是否變慢。

案例 4:受攻擊面縮小封鎖的 Microsoft Office 外掛程式

受攻擊面縮小不允許 Microsoft Office 外掛程式正常運作,因為 封鎖所有 Office 應用程式建立子進程 已設定為封鎖模式。

  1. 開啟疑難解答模式,並登入裝置。

  2. 啟動提升權限的 PowerShell 命令提示字元,然後執行下列命令:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. 停用 ASR 規則之後,請確認 Microsoft Office 外掛程式現在可以運作。

如需詳細資訊,請參 閱受攻擊面縮小概觀

案例 5:網路保護封鎖的網域

網路保護封鎖了 Microsoft 網域,讓用戶無法存取它。

  1. 開啟疑難解答模式,並登入裝置。

  2. 啟動提升權限的 PowerShell 命令提示字元,然後執行下列命令:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. 停用網路保護之後,請檢查網域是否已允許。

如需詳細資訊,請 參閱使用網路保護來協助防止連線到不正確的網站

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。