Problembehandlungsmodusszenarien in Microsoft Defender for Endpoint

Gilt für:

• Microsoft Defender für Endpunkt
• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Microsoft Defender for Endpoint Problembehandlungsmodus ermöglicht Es Ihnen, verschiedene Microsoft Defender Antivirus-Features zu behandeln, indem Sie sie auf dem Gerät aktivieren und verschiedene Szenarien testen, auch wenn sie durch die organization-Richtlinie gesteuert werden. Der Problembehandlungsmodus ist standardmäßig deaktiviert und erfordert, dass Sie ihn für ein Gerät (und/oder eine Gruppe von Geräten) für einen begrenzten Zeitraum einschalten. Dies ist ausschließlich ein reines Unternehmensfeature und erfordert Microsoft Defender XDR Zugriff.

Informationen zur Behandlung leistungsspezifischer Probleme im Zusammenhang mit Microsoft Defender Antivirus finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Tipp

• Während des Problembehandlungsmodus können Sie den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true auf Windows-Geräten verwenden.
• Um den Status des Manipulationsschutzes zu überprüfen, können Sie das PowerShell-Cmdlet Get-MpComputerStatus verwenden. Suchen Sie in der Ergebnisliste nach IsTamperProtected oder RealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.)

Szenario 1: Installation der Anwendung nicht möglich

Wenn Sie eine Anwendung installieren möchten, aber eine Fehlermeldung erhalten, dass Microsoft Defender Antiviren- und Manipulationsschutz aktiviert ist, gehen Sie wie folgt vor, um das Problem zu beheben.

1. Bitten Sie den Sicherheitsadministrator, den Problembehandlungsmodus zu aktivieren. Sie erhalten eine Windows-Sicherheit Benachrichtigung, sobald der Problembehandlungsmodus gestartet wird.

2. Stellen Sie eine Verbindung mit dem Gerät her (z. B. über Terminaldienste) mit lokalen Administratorberechtigungen.

3. Prozessmonitor starten (ProcMon). Weitere Informationen finden Sie in den Schritten unter Behandeln von Leistungsproblemen im Zusammenhang mit dem Echtzeitschutz.

4. Wechseln Sie zu Windows-Sicherheit>Bedrohungs- & Virenschutz>Einstellungen> verwaltenManipulationsschutz>aus.

   Alternativ können Sie im Problembehandlungsmodus den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true auf Windows-Geräten verwenden.

   Um den Status des Manipulationsschutzes zu überprüfen, können Sie das PowerShell-Cmdlet Get-MpComputerStatus verwenden. Suchen Sie in der Ergebnisliste nach IsTamperProtected oder RealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.)

5. Starten Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und deaktivieren Sie den Echtzeitschutz.

   • Führen Sie ausGet-MpComputerStatus, um die status des Echtzeitschutzes zu überprüfen.
   • Führen Sie aus Set-MpPreference -DisableRealtimeMonitoring $true , um den Echtzeitschutz zu deaktivieren.
   • Führen Sie erneut ausGet-MpComputerStatus, um status zu überprüfen.

6. Versuchen Sie, die Anwendung zu installieren.

Szenario 2: Hohe CPU-Auslastung aufgrund von Windows Defender (MsMpEng.exe)

Manchmal können MsMpEng.exe während einer geplanten Überprüfung eine hohe CPU-Auslastung verursachen.

1. Wechseln Sie zur RegisterkarteDetails des Task-Managers>, um zu bestätigen, dass MsMpEng.exe dies der Grund für die hohe CPU-Auslastung ist. Überprüfen Sie außerdem, ob derzeit eine geplante Überprüfung ausgeführt wird.

2. Führen Sie den Prozessmonitor (ProcMon) während der CPU-Spitze etwa fünf Minuten lang aus, und überprüfen Sie dann das ProcMon-Protokoll auf Hinweise.

3. Wenn die Grundursache ermittelt wird, aktivieren Sie den Problembehandlungsmodus.

4. Melden Sie sich beim Gerät an, und starten Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten.

5. Fügen Sie Prozess-,Datei-,Ordner-/Erweiterungsausschlüsse basierend auf ProcMon-Ergebnissen mithilfe eines der folgenden Befehle hinzu (die in diesem Artikel erwähnten Pfad-, Erweiterungs- und Prozessausschlüsse sind nur Beispiele):

   Set-mppreference -ExclusionPath (Beispiel: C:\DB\DataFiles) Set-mppreference –ExclusionExtension (z. B .dbx. ) Set-mppreference –ExclusionProcess (z. B C:\DB\Bin\Convertdb.exe. )

6. Überprüfen Sie nach dem Hinzufügen des Ausschlusses, ob die CPU-Auslastung gesunken ist.

Weitere Informationen zu Set-MpPreference den Cmdlet-Konfigurationseinstellungen für Microsoft Defender Antivirusscans und -updates finden Sie unter Set-MpPreference.

Szenario 3: Anwendung dauert länger, um eine Aktion auszuführen

Wenn Microsoft Defender Antivirus-Echtzeitschutz aktiviert ist, kann es für Anwendungen länger dauern, grundlegende Aufgaben auszuführen. Gehen Sie wie folgt vor, um den Echtzeitschutz zu deaktivieren und das Problem zu beheben.

1. Fordern Sie den Sicherheitsadministrator auf, den Problembehandlungsmodus auf dem Gerät zu aktivieren.

2. Um den Echtzeitschutz für dieses Szenario zu deaktivieren, deaktivieren Sie zunächst den Manipulationsschutz. Sie können den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true auf Windows-Geräten verwenden.

   Um den Status des Manipulationsschutzes zu überprüfen, können Sie das PowerShell-Cmdlet Get-MpComputerStatus verwenden. Suchen Sie in der Ergebnisliste nach IsTamperProtected oder RealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.)

   Weitere Informationen finden Sie unter Schützen von Sicherheitseinstellungen mit Manipulationsschutz.

3. Sobald der Manipulationsschutz deaktiviert ist, melden Sie sich beim Gerät an.

4. Starten Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Überprüfen Sie nach dem Deaktivieren des Echtzeitschutzes, ob die Anwendung langsam ist.

Szenario 4: Microsoft Office-Plug-In durch Verringerung der Angriffsfläche blockiert

Die Verringerung der Angriffsfläche lässt nicht zu, dass das Microsoft Office-Plug-In ordnungsgemäß funktioniert, da Das Erstellen untergeordneter Prozesse für alle Office-Anwendungen blockieren auf den Blockmodus festgelegt ist.

1. Aktivieren Sie den Problembehandlungsmodus, und melden Sie sich beim Gerät an.

2. Starten Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Vergewissern Sie sich nach dem Deaktivieren der ASR-Regel, dass das Microsoft Office-Plug-In jetzt funktioniert.

Weitere Informationen finden Sie unter Übersicht über die Verringerung der Angriffsfläche.

Szenario 5: Durch Netzwerkschutz blockierte Domäne

Der Netzwerkschutz blockiert die Microsoft-Domäne und verhindert, dass Benutzer darauf zugreifen können.

1. Aktivieren Sie den Problembehandlungsmodus, und melden Sie sich beim Gerät an.

2. Starten Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Überprüfen Sie nach dem Deaktivieren des Netzwerkschutzes, ob die Domäne jetzt zulässig ist.

Weitere Informationen finden Sie unter Verwenden des Netzwerkschutzes, um Verbindungen mit ungültigen Standorten zu verhindern.

Siehe auch

• Aktivieren des Problembehandlungsmodus
• Schützen von Sicherheitseinstellungen mit Manipulationsschutz
• Set-MpPreference
• Verschaffen Sie sich einen Überblick über Microsoft Defender für Endpunkt

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.