Cenários do modo de resolução de problemas no Microsoft Defender para Endpoint

Aplica-se a:

• Microsoft Defender para Endpoint
• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Microsoft Defender para Endpoint modo de resolução de problemas permite-lhe resolver vários Microsoft Defender funcionalidades do Antivírus ao ativá-las a partir do dispositivo e testar diferentes cenários, mesmo que sejam controladas pela política da organização. O modo de resolução de problemas está desativado por predefinição e requer que o ligue para um dispositivo (e/ou grupo de dispositivos) durante um período de tempo limitado. Esta é exclusivamente uma funcionalidade apenas para empresas e requer acesso Microsoft Defender XDR.

Para resolver problemas específicos de desempenho relacionados com o Antivírus do Microsoft Defender, veja: Analisador de desempenho do Antivírus do Microsoft Defender.

Sugestão

• Durante o modo de resolução de problemas, pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell em dispositivos Windows.
• Para verificar o estado da proteção contra adulteração, pode utilizar o cmdlet Do PowerShell Get-MpComputerStatus . Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de verdadeiro significa que a proteção contra adulteração está ativada.)

Cenário 1: Não é possível instalar a aplicação

Se quiser instalar uma aplicação, mas receber uma mensagem de erro a indicar que Microsoft Defender a proteção contra antivírus e adulteração está ativada, utilize o seguinte procedimento para resolver o problema.

1. Peça ao administrador de segurança para ativar o modo de resolução de problemas. Receberá uma notificação de Segurança do Windows assim que o modo de resolução de problemas for iniciado.

2. Ligue-se ao dispositivo (por exemplo, através dos Serviços de Terminal) com permissões de administrador local.

3. Iniciar o Monitor de Processos (ProcMon). Veja os passos descritos em Resolver problemas de desempenho relacionados com a proteção em tempo real.

4. Aceda a Segurança> do WindowsAmeaça & proteção contra> vírusGerir definiçõesProteção contra adulteração>Desativada>.

   Em alternativa, durante o modo de resolução de problemas, pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell em dispositivos Windows.

   Para verificar o estado da proteção contra adulteração, pode utilizar o cmdlet Do PowerShell Get-MpComputerStatus . Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de verdadeiro significa que a proteção contra adulteração está ativada.)

5. Inicie uma linha de comandos elevada do PowerShell e desative a proteção em tempo real.

   • Execute Get-MpComputerStatus para verificar o estado da proteção em tempo real.
   • Execute Set-MpPreference -DisableRealtimeMonitoring $true para desativar a proteção em tempo real.
   • Execute Get-MpComputerStatus novamente para verificar o estado.

6. Experimente instalar a aplicação.

Cenário 2: utilização elevada da CPU devido a Windows Defender (MsMpEng.exe)

Por vezes, durante uma análise agendada, MsMpEng.exe podem consumir CPU elevada.

1. Aceda ao separador Detalhes do Gestor> deTarefas para confirmar que MsMpEng.exe é esse o motivo por detrás da elevada utilização da CPU. Verifique também se está a decorrer uma análise agendada.

2. Execute o Monitor de Processos (ProcMon) durante o pico da CPU durante cerca de cinco minutos e, em seguida, reveja o registo ProcMon para obter pistas.

3. Quando a causa é determinada, ative o modo de resolução de problemas.

4. Inicie sessão no dispositivo e inicie uma linha de comandos elevada do PowerShell.

5. Adicione exclusões de processos/ficheiros/pastas/extensões com base nos resultados do ProcMon através de um dos seguintes comandos (as exclusões de caminho, extensão e processo mencionadas neste artigo são apenas exemplos):

   Set-mppreference -ExclusionPath (por exemplo, C:\DB\DataFiles) Set-mppreference –ExclusionExtension (por exemplo, .dbx) Set-mppreference –ExclusionProcess (por exemplo, C:\DB\Bin\Convertdb.exe)

6. Depois de adicionar a exclusão, verifique se a utilização da CPU foi removida.

Para obter mais informações sobre Set-MpPreference as preferências de configuração de cmdlets para Microsoft Defender análises e atualizações do Antivírus, veja Set-MpPreference.

Cenário 3: A aplicação está a demorar mais tempo a realizar uma ação

Quando Microsoft Defender a proteção antivírus em tempo real estiver ativada, as aplicações podem demorar mais tempo a realizar tarefas básicas. Para desativar a proteção em tempo real e resolver o problema, utilize o seguinte procedimento.

1. Peça ao administrador de segurança para ativar o modo de resolução de problemas no dispositivo.

2. Para desativar a proteção em tempo real para este cenário, desative primeiro a proteção contra adulteração. Pode utilizar o comando Set-MPPreference -DisableTamperProtection $true do PowerShell em dispositivos Windows.

   Para verificar o estado da proteção contra adulteração, pode utilizar o cmdlet Do PowerShell Get-MpComputerStatus . Na lista de resultados, procure IsTamperProtected ou RealTimeProtectionEnabled. (Um valor de verdadeiro significa que a proteção contra adulteração está ativada.)

   Para obter mais informações, veja Proteger as definições de segurança com proteção contra adulteração.

3. Assim que a proteção contra adulteração estiver desativada, inicie sessão no dispositivo.

4. Inicie uma linha de comandos elevada do PowerShell e execute o seguinte comando:

   Set-mppreference -DisableRealtimeMonitoring $true

5. Depois de desativar a proteção em tempo real, verifique se a aplicação está lenta.

Cenário 4: Plug-in do Microsoft Office bloqueado pela Redução da Superfície de Ataque

A redução da superfície de ataque não permite que o plug-in do Microsoft Office funcione corretamente porque Bloquear todas as aplicações do Office de criar processos subordinados está definido como modo de bloqueio.

1. Ative o modo de resolução de problemas e inicie sessão no dispositivo.

2. Inicie uma linha de comandos elevada do PowerShell e execute o seguinte comando:

   Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

3. Depois de desativar a Regra do ASR, confirme que o plug-in do Microsoft Office funciona agora.

Para obter mais informações, consulte Descrição geral da redução da superfície de ataque.

Cenário 5: Domínio bloqueado pela Proteção de Rede

A Proteção de Rede está a bloquear o domínio da Microsoft, impedindo que os utilizadores acedam ao mesmo.

1. Ative o modo de resolução de problemas e inicie sessão no dispositivo.

2. Inicie uma linha de comandos elevada do PowerShell e execute o seguinte comando:

   Set-MpPreference -EnableNetworkProtection Disabled

3. Depois de desativar a Proteção de Rede, verifique se o domínio é agora permitido.

Para obter mais informações, veja Utilizar a proteção de rede para ajudar a impedir ligações a sites incorretos.

Consulte também

• Ativar o modo de resolução de problemas
• Proteger as definições de segurança com proteção contra adulteração
• Set-MpPreference
• Obter uma descrição geral do Microsoft Defender para Endpoint

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.