Scénáře režimu řešení potíží v Microsoft Defender for Endpoint

Platí pro:

• Microsoft Defender for Endpoint
• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Microsoft Defender for Endpoint režim řešení potíží umožňuje řešit potíže s různými Microsoft Defender antivirovými funkcemi tím, že je povolíte ze zařízení a otestujete různé scénáře, i když jsou řízené zásadami organizace. Režim řešení potíží je ve výchozím nastavení zakázaný a vyžaduje, abyste ho na omezenou dobu zapnuli pro zařízení (nebo skupinu zařízení). Jedná se výhradně o funkci určenou pouze pro podniky a vyžaduje Microsoft Defender XDR přístup.

Informace o řešení potíží s výkonem souvisejících s Microsoft Defender Antivirus najdete v tématu Analyzátor výkonu pro Microsoft Defender Antivirovou ochranu.

Tip

• Během režimu řešení potíží můžete na zařízeních s Windows použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu.
• Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

Scénář 1: Nejde nainstalovat aplikaci

Pokud chcete nainstalovat aplikaci, ale zobrazí se chybová zpráva, že je zapnutá antivirová ochrana Microsoft Defender a ochrana před neoprávněným zásahem, při řešení tohoto problému použijte následující postup.

1. Požádejte správce zabezpečení, aby zapnul režim řešení potíží. Jakmile se spustí režim řešení potíží, dostanete oznámení o Zabezpečení Windows.

2. Připojte se k zařízení (například pomocí Terminálové služby) s oprávněními místního správce.

3. Spusťte sledování procesu a projděte si kroky popsané v tématu Řešení potíží s výkonem souvisejících s ochranou v reálném čase.

4. Přejděte na zabezpečení> WindowsThreat & antivirová ochrana>Spravovat nastavení>Ochrana před>falšováním Vypnuto.

   Alternativně můžete v režimu řešení potíží použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu na zařízeních s Windows.

   Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

5. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a vypněte ochranu v reálném čase.

   • Spuštěním příkazu Get-MpComputerStatus zkontrolujte stav ochrany v reálném čase.
   • Spuštěním příkazu Set-MpPreference -DisableRealtimeMonitoring $true vypněte ochranu v reálném čase.
   • Znovu spusťte příkaz Get-MpComputerStatus a ověřte stav.

6. Zkuste aplikaci nainstalovat.

Scénář 2: Vysoké využití procesoru kvůli Windows Defenderu (MsMpEng.exe)

Někdy může během naplánované kontroly MsMpEng.exe spotřebovávat vysoké využití procesoru.

1. Přejděte na kartuPodrobnostio Správci> úloh a ověřte, že MsMpEng.exe je důvodem vysokého využití procesoru. Zkontrolujte také, jestli právě probíhá naplánovaná kontrola.

2. Spusťte nástroj Process Monitor (ProcMon) během špičky procesoru přibližně pět minut a pak zkontrolujte protokol ProcMon, kde najdete stopy.

3. Po zjištění původní příčiny zapněte režim řešení potíží.

4. Přihlaste se k zařízení a spusťte příkazový řádek PowerShellu se zvýšenými oprávněními.

5. Přidejte vyloučení procesů, souborů, složek nebo rozšíření na základě zjištění aplikace ProcMon pomocí některého z následujících příkazů (vyloučení cest, rozšíření a procesů uvedených v tomto článku jsou pouze příklady):

   Set-mppreference -ExclusionPath (například C:\DB\DataFiles) Set-mppreference –ExclusionExtension (například .dbx) Set-mppreference –ExclusionProcess (například C:\DB\Bin\Convertdb.exe)

6. Po přidání vyloučení zkontrolujte, jestli nedošlo k poklesu využití procesoru.

Další informace o Set-MpPreference předvolbách konfigurace rutin pro Microsoft Defender antivirové kontroly a aktualizace najdete v tématu Set-MpPreference.

Scénář 3: Provedení akce aplikaci trvá déle

Když je zapnutá ochrana v reálném čase Microsoft Defender Antivirus, může provádění základních úloh aplikací trvat déle. Pokud chcete vypnout ochranu v reálném čase a vyřešit problém, použijte následující postup.

1. Požádejte správce zabezpečení, aby na zařízení zapnul režim řešení potíží.

2. Pokud chcete zakázat ochranu v reálném čase pro tento scénář, nejprve vypněte ochranu před falšováním. Na zařízeních s Windows můžete použít příkaz Set-MPPreference -DisableTamperProtection $true PowerShellu.

   Ke kontrole stavu ochrany před falšováním můžete použít rutinu PowerShellu Get-MpComputerStatus . V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

   Další informace najdete v tématu Ochrana nastavení zabezpečení pomocí ochrany před falšováním.

3. Jakmile je ochrana před neoprávněnou manipulací zakázaná, přihlaste se k zařízení.

4. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Po zakázání ochrany v reálném čase zkontrolujte, jestli je aplikace pomalá.

Scénář 4: Modul plug-in Microsoft Office blokovaný snížením potenciální plochy útoku

Zmenšení prostoru útoku neumožňuje správně fungovat modul plug-in Microsoft Office, protože blokování všech aplikací Office ve vytváření podřízených procesů je nastavené na režim blokování.

1. Zapněte režim řešení potíží a přihlaste se k zařízení.

2. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Po zakázání pravidla ASR ověřte, že modul plug-in Microsoft Office teď funguje.

Další informace najdete v tématu Přehled omezení prostoru pro útoky.

Scénář 5: Doména zablokovaná službou Network Protection

Ochrana sítě blokuje doménu Microsoftu a brání uživatelům v přístupu k doméně.

1. Zapněte režim řešení potíží a přihlaste se k zařízení.

2. Spusťte příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Po zakázání ochrany sítě zkontrolujte, jestli je doména teď povolená.

Další informace najdete v tématu Ochrana sítě, která pomáhá zabránit připojení ke špatným lokalitám.

Viz také

• Povolení režimu řešení potíží
• Ochrana nastavení zabezpečení pomocí ochrany před falšováním
• Set-MpPreference
• Přehled Microsoft Defender for Endpoint

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.