適用於端點的 Microsoft Defender 故障排除模式允許您透過裝置啟用各種 Microsoft Defender 防毒功能並測試不同情境,即使這些功能受組織政策控制,也能排查。 故障排除模式預設是關閉的,需要你為某個裝置 (或一組裝置) 開啟它,持續有限時間。 此功能僅限企業級使用,需 Microsoft Defender 全面偵測回應權限。
關於與 Microsoft Defender 防毒軟體相關的效能特定問題故障排除,請參見:Microsoft Defender 防毒軟體效能分析器。
提示
- 在故障排除模式中,你可以在 Windows 裝置上使用 PowerShell 指令
Set-MPPreference -DisableTamperProtection $true。 - 要檢查防 篡改狀態,可以使用 Get-MpComputerStatus PowerShell 指令檔。 在結果列表中,尋找或
IsTamperProtectedRealTimeProtectionEnabled。 (真 值 是 , 即已啟用防篡改保護。)
情境一:無法安裝應用程式
如果您想安裝應用程式,但收到錯誤訊息顯示 Microsoft Defender 防毒與防篡改已開啟,請依照以下程序排除問題。
請資安管理員開啟故障排除模式。 一旦開始故障排除模式,你會收到 Windows 安全性通知。
例如, (終端服務(Terminal Services)) 以本地管理員權限連接裝置。
啟動 程序監控,並查看與 即時保護相關的效能疑難排解步驟。
前往 Windows 安全>威脅 & 防毒 管理>設定> 篡改保護>關閉。
另外,在故障排除模式下,你也可以在 Windows 裝置上使用 PowerShell 指令
Set-MPPreference -DisableTamperProtection $true。要檢查防 篡改狀態,可以使用 Get-MpComputerStatus PowerShell 指令檔。 在結果列表中,尋找或
IsTamperProtectedRealTimeProtectionEnabled。 (真 值 是 , 即已啟用防篡改保護。)啟動提升級的 PowerShell 指令提示字元,並關閉 即時保護。
- 跑
Get-MpComputerStatus去檢查即時保護的狀態。 - 跑去
Set-MpPreference -DisableRealtimeMonitoring $true關閉即時保護。 - 再跑
Get-MpComputerStatus一次確認狀況。
- 跑
試著安裝這個應用程式。
情境二:因 Windows Defender (MsMpEng.exe) 導致 CPU 使用率高
有時候在排程掃描時,MsMpEng.exe 會消耗大量 CPU。
到 工作管理員>的詳細資料 標籤確認這是
MsMpEng.exe造成高 CPU 使用率的原因。 也請確認是否有排定的掃描正在進行中。在 CPU 高峰期間 (ProcMon) 執行 程序監控 器約五分鐘,然後查看 ProcMon 日誌尋找線索。
確定根本原因後,開啟故障排除模式。
登入裝置,並啟動提升級的 PowerShell 命令提示字元。
根據 ProcMon 的發現,使用以下指令之一添加 process/file/folder/extension 排除, (本文提及的路徑、擴展與程序排除僅為) 範例:
Set-mppreference -ExclusionPath(例如,C:\DB\DataFiles)Set-mppreference –ExclusionExtension(,.dbx)Set-mppreference –ExclusionProcess(,例如)C:\DB\Bin\Convertdb.exe新增排除後,檢查 CPU 使用率是否下降。
欲了解更多關於 Set-MpPreference Microsoft Defender 防毒軟體掃描與更新的 cmdlet 設定偏好,請參閱 Set-MpPreference。
情境三:應用程式執行動作的時間變長
當啟用 Microsoft Defender 防毒即時防護時,應用程式執行基本任務的時間可能會變長。 要關閉即時保護並排除問題,請使用以下程序。
請資安管理員開啟裝置的故障排除模式。
要關閉此情境下的即時保護,請先關閉 防篡改保護。 你可以在 Windows 裝置上使用 PowerShell 指令
Set-MPPreference -DisableTamperProtection $true。要檢查防篡改狀態,可以使用 Get-MpComputerStatus PowerShell 指令檔。 在結果列表中,尋找或
IsTamperProtectedRealTimeProtectionEnabled。 (真 值 是 , 即已啟用防篡改保護。)欲了解更多資訊,請參閱 「保護防篡改防護的安全設定」。
一旦防篡改保護解除,登入裝置。
啟動一個提升級的 PowerShell 命令提示字元,並執行以下指令:
Set-mppreference -DisableRealtimeMonitoring $true關閉 即時保護後,檢查應用程式是否緩慢。
情境四:Microsoft Office 外掛被攻擊面縮減阻擋
攻擊面減少導致 Microsoft Office 外掛無法正常運作,因為 「阻擋所有 Office 應用程式建立子程序 」設定為阻擋模式。
開啟故障排除模式,並登入裝置。
啟動一個提升級的 PowerShell 命令提示字元,並執行以下指令:
Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled關閉 ASR 規則後,確認 Microsoft Office 外掛現在是否正常運作。
欲了解更多資訊,請參閱 攻擊面縮減概述。
情境五:網域被網路保護封鎖
網路保護正在封鎖 Microsoft 網域,阻止使用者存取。
開啟故障排除模式,並登入裝置。
啟動一個提升級的 PowerShell 命令提示字元,並執行以下指令:
Set-MpPreference -EnableNetworkProtection Disabled關閉網路保護後,檢查該網域是否被允許使用。
欲了解更多資訊,請參閱 使用網路保護以協助防止連線至不良網站。