Начало работы с режимом устранения неполадок в Microsoft Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки
• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)

Режим устранения неполадок в Microsoft Defender для конечной точки позволяет администраторам устранять неполадки с различными функциями антивирусной программы Microsoft Defender, даже если устройства управляются политиками организации. Например, если включена защита от незаконного изменения, некоторые параметры нельзя изменить или отключить, но вы можете временно изменить эти параметры в режиме устранения неполадок на устройстве.

Режим устранения неполадок отключен по умолчанию и требует включения его для устройства (или группы устройств) на ограниченное время. Режим устранения неполадок является исключительно корпоративной функцией и требует Microsoft Defender доступа к порталу.

В этой статье описывается режим устранения неполадок для устройств Windows. Сведения о режиме устранения неполадок в Mac см. в статье Режим устранения неполадок в Microsoft Defender для конечной точки в macOS.

Что нужно знать перед началом работы

В режиме устранения неполадок можно использовать команду Set-MPPreference -DisableTamperProtection $true PowerShell или в клиентских операционных системах приложение Центра безопасности, чтобы временно отключить защиту от незаконного изменения на устройстве и внести необходимые изменения в конфигурацию.

Режим устранения неполадок можно использовать для устранения неполадок или проверка совместимости приложений с Microsoft Defender антивирусной программой, например при возникновении ложных срабатываний в блоках приложений.

При наличии соответствующих разрешений локальные администраторы могут изменять конфигурацию на отдельных устройствах, которые обычно заблокированы политикой. Наличие устройства в режиме устранения неполадок может быть полезно при диагностике Microsoft Defender сценариев производительности и совместимости антивирусной программы. Локальные администраторы не могут отключить Microsoft Defender антивирусную программу или удалить ее. Локальные администраторы могут настроить все другие параметры безопасности в наборе антивирусной программы Microsoft Defender (например, защиту от облака, защиту от незаконного изменения).

Администраторы должны иметь разрешения "Управление параметрами безопасности", чтобы включить режим устранения неполадок.

Defender для конечной точки собирает журналы и данные исследования на протяжении всего процесса устранения неполадок.

• Перед началом работы режима устранения неполадок выполняется snapshotMpPreference.
• Второй snapshot выполняется непосредственно перед истечением срока действия режима устранения неполадок.
• Также собираются операционные журналы из режима устранения неполадок.
• Журналы и моментальные снимки собираются и доступны администратору для сбора с помощью функции Сбор пакета исследования на странице устройства. Корпорация Майкрософт не удаляет эти данные с устройства до тех пор, пока администратор не заберет их.

Администраторы также могут просматривать изменения в параметрах, которые происходят во время режима устранения неполадок в Просмотр событий на самом устройстве.

• Откройте Просмотр событий, а затем разверните узел Приложения и службы Журналы>Microsoft>Windows>Defender, а затем выберите Пункт Операционный.
• Возможные события могут включать события с идентификаторами 5000, 5001, 5004, 5007 и другие. Дополнительные сведения см. в статье Просмотр журналов событий и кодов ошибок для устранения неполадок с Microsoft Defender антивирусной программы.

Режим устранения неполадок автоматически выключается после истечения срока действия (он длится 4 часа). Когда срок действия режима устранения неполадок истек, все конфигурации, управляемые политикой, снова становятся доступными только для чтения и отменить изменения к настройке устройства перед включением режима устранения неполадок.

Это может занять до 15 минут с момента отправки команды из Microsoft Defender XDR до момента ее активации на устройстве.

Уведомления отправляются пользователю, когда начинается режим устранения неполадок и когда заканчивается режим устранения неполадок. Также отправляется предупреждение о том, что режим устранения неполадок скоро завершится. Начало и конец режима устранения неполадок также определяются на портале Microsoft Defender на временной шкале устройства на странице устройства.

Вы можете запрашивать все события режима устранения неполадок в расширенной охоте.

Предварительные условия

• На устройствах должна быть установлена поддерживаемая операционная система.

  • Windows 10 (версия 19044.1618 или более поздняя), Windows 11, Windows Server 2019, Windows Server 2022 или Windows Server 2025.

    Семестр/Редстоун	Версия ОС	Выпуск
    21H2/SV1	22000.593 или более поздней версии	KB5011563: Каталог Центра обновления Майкрософт
    20H1/20H2/21H1	19042.1620 или более поздней версии 19041.1620 или более поздней версии 19043.1620 или более поздней версии	KB5011543: Каталог Центра обновления Майкрософт
    Windows Server 2022 или более поздней версии	20348.617 или более поздней версии	KB5011558: Каталог Центра обновления Майкрософт
    Windows Server 2019 (RS5)	17763.2746 или более поздней версии	KB5011551: Каталог Центра обновления Майкрософт

  • Windows Server 2012 R2 и Windows Server 2016 с использованием современного унифицированного решения со всеми следующими актуальными компонентами:

    Компонент	Версия	Выпуск
    Версия sense	10.8049.22439.1084 или более поздней версии	KB5005292: Каталог Центра обновления Майкрософт
    Антивирусная программа в Microsoft Defender	Платформа: 4.18.2207.7 или более поздняя версия	KB4052623: Каталог Центра обновления Майкрософт
    Антивирусная программа в Microsoft Defender	Подсистема: 1.1.19500.2 или более поздняя версия	KB2267602: Каталог Центра обновления Майкрософт

• Defender для конечной точки должен быть зарегистрирован клиентом и активен на устройстве.

• Устройства должны активно работать Microsoft Defender антивирусная программа, версия 4.18.2203 or later.

• Сведения об устройствах macOS см. в разделе Предварительные требования для устранения неполадок в режиме mac.

Включение режима устранения неполадок

1. Перейдите на портал Microsoft Defender и выполните вход.

2. Перейдите на страницу устройства или страницу компьютера для устройства, которое вы хотите включить режим устранения неполадок. Выберите Включить режим устранения неполадок. Для Microsoft Defender для конечной точки необходимо иметь разрешения "Управление параметрами безопасности в Центре безопасности".

   

   Примечание.

   Параметр Включить режим устранения неполадок доступен на всех устройствах, даже если устройство не соответствует предварительным требованиям для режима устранения неполадок.

3. Убедитесь, что вы хотите включить режим устранения неполадок для устройства.

   

4. На странице устройства отображается, что устройство теперь находится в режиме устранения неполадок.

   

Запросы расширенной охоты

Ниже приведены некоторые предварительно созданные расширенные запросы охоты, которые позволяют получить представление о событиях устранения неполадок, происходящих в вашей среде. Эти запросы также можно использовать для создания правил обнаружения для создания оповещений, когда устройства находятся в режиме устранения неполадок.

Получение событий устранения неполадок для определенного устройства

Выполните поиск по deviceId или deviceName, закомментируя соответствующие строки.

//let deviceName = "<deviceName>";   // update with device name
let deviceId = "<deviceID>";   // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName  == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
 _tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
 _tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
 _tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource

Устройства, которые в настоящее время находятся в режиме устранения неполадок

DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours 
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc

Количество экземпляров режима устранения неполадок по устройствам

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d)  // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_

Общее число

DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5          // choose your max # of TS mode instances for your time range

Статьи по теме

• Режим устранения неполадок в Microsoft Defender для конечной точки в macOS
• Анализатор производительности для антивирусной программы Microsoft Defender.
• Сценарии режима устранения неполадок
• Защита параметров безопасности с помощью защиты от подделки