適用於端點的 Microsoft Defender 中的疑難解答模式案例

適用於：

• 適用於端點的 Microsoft Defender
• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Microsoft Defender 疑難解答模式可讓您從裝置啟用各種 Microsoft Defender 防病毒軟體功能，並測試不同的案例，即使它們是由組織原則所控制。 根據預設，疑難解答模式會停用，而且需要您針對裝置 (和/或裝置群組開啟，) 一段有限的時間。 這是僅限企業功能，需要 Microsoft Defender 全面偵測回應 存取權。

如需針對與 Microsoft Defender 防病毒軟體相關的效能特定問題進行疑難解答，請參閱：Microsoft Defender 防病毒軟體的效能分析器。

提示

• 在疑難解答模式中，您可以在 Windows 裝置上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 。
• 若要檢查 竄改保護的狀態，您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中，尋找 IsTamperProtected 或 RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

案例 1：無法安裝應用程式

如果您想要安裝應用程式，但收到 Microsoft Defender 防病毒軟體和竄改保護已開啟的錯誤訊息，請使用下列程式來針對問題進行疑難解答。

1. 要求安全性系統管理員開啟疑難解答模式。 疑難解答模式啟動后，您會收到 Windows 安全性 通知。

2. 使用終端機服務連線到裝置 (，例如) 具有本機系統管理員許可權。

3. 啟動 進程監視 ( ProcMon) 。 請參閱針對 即時保護相關的效能問題進行疑難解答中所述的步驟。

4. 移至 Windows 安全>性威脅 & 病毒防護>管理設定>竄改保護>關閉。

   或者，在疑難解答模式中，您可以在 Windows 裝置上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 。

   若要檢查 竄改保護的狀態，您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中，尋找 IsTamperProtected 或 RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

5. 啟動提升許可權的 PowerShell 命令提示字元，並關閉 即時保護。

   • 執行 Get-MpComputerStatus 以檢查即時保護的狀態。
   • 執行 Set-MpPreference -DisableRealtimeMonitoring $true 以關閉即時保護。
   • 再次執行 Get-MpComputerStatus 以確認狀態。

6. 請嘗試安裝應用程式。

案例 2：因 Windows Defender (MsMpEng.exe) 而造成高 CPU 使用量

有時候在排程掃描期間，MsMpEng.exe 可能會耗用高 CPU。

1. 移至 [ 任務管理器>詳細數據] 索 引標籤， MsMpEng.exe 確認這是高 CPU 使用量背後的原因。 另請檢查排程掃描目前是否正在進行。

2. 在CPU尖峰期間執行 進程監視 ( ProcMon) 約五分鐘，然後檢閱 ProcMon 記錄檔以取得線索。

3. 判斷根本原因時，請開啟疑難解答模式。

4. 登入裝置，並啟動提升許可權的 PowerShell 命令提示字元。

5. 使用下列其中一個命令， (本文所述的路徑、延伸模組和進程排除專案，根據 ProcMon 結果新增進程/檔案/資料夾/擴展名排除專案，只是範例) ：

   Set-mppreference -ExclusionPath例如， () C:\DB\DataFilesSet-mppreference –ExclusionExtension (例如 .dbx ，) Set-mppreference –ExclusionProcess (，例如) C:\DB\Bin\Convertdb.exe

6. 新增排除項目之後，請檢查CPU使用量是否已下降。

如需 Microsoft Defender Set-MpPreference 防病毒軟體掃描和更新的 Cmdlet 組態喜好設定詳細資訊，請參閱 Set-MpPreference。

案例 3：應用程式需要較長的時間來執行動作

開啟 Microsoft Defender 防病毒軟體即時保護時，應用程式可能需要較長的時間來執行基本工作。 若要關閉即時保護並針對問題進行疑難解答，請使用下列程式。

1. 要求安全性系統管理員在裝置上開啟疑難解答模式。

2. 若要停用此案例的實時保護，請先關閉 竄改保護。 您可以在 Windows 裝置上使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 。

   若要檢查竄改保護的狀態，您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中，尋找 IsTamperProtected 或 RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

   如需詳細資訊，請 參閱使用竄改保護來保護安全性設定。

3. 一旦停用竄改保護，請登入裝置。

4. 啟動提升權限的 PowerShell 命令提示字元，然後執行下列命令：

   Set-mppreference -DisableRealtimeMonitoring $true

5. 停用 即時保護之後，請檢查應用程式是否變慢。

案例 4：受攻擊面縮小封鎖的 Microsoft Office 外掛程式

受攻擊面縮小不允許 Microsoft Office 外掛程式正常運作，因為 封鎖所有 Office 應用程式建立子進程 已設定為封鎖模式。

1. 開啟疑難解答模式，並登入裝置。

2. 啟動提升權限的 PowerShell 命令提示字元，然後執行下列命令：

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. 停用 ASR 規則之後，請確認 Microsoft Office 外掛程式現在可以運作。

如需詳細資訊，請參 閱受攻擊面縮小概觀。

案例 5：網路保護封鎖的網域

網路保護封鎖了 Microsoft 網域，讓用戶無法存取它。

1. 開啟疑難解答模式，並登入裝置。

2. 啟動提升權限的 PowerShell 命令提示字元，然後執行下列命令：

   Set-MpPreference -EnableNetworkProtection Disabled

3. 停用網路保護之後，請檢查網域是否已允許。

如需詳細資訊，請 參閱使用網路保護來協助防止連線到不正確的網站。

另請參閱

• 啟用疑難解答模式
• 使用竄改防護來保護安全性設定
• Set-MpPreference
• 取得適用於端點的 Microsoft Defender 概觀

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。