Начало работы с режимом устранения неполадок в Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Режим устранения неполадок в Microsoft Defender для конечной точки позволяет администраторам устранять неполадки с различными функциями антивирусной программы Microsoft Defender, даже если устройства управляются политиками организации. Например, если включена защита от незаконного изменения, некоторые параметры нельзя изменить или отключить, но вы можете временно изменить эти параметры в режиме устранения неполадок на устройстве.
Режим устранения неполадок отключен по умолчанию и требует включения его для устройства (или группы устройств) на ограниченное время. Режим устранения неполадок является исключительно корпоративной функцией и требует Microsoft Defender доступа к порталу.
Совет
- В режиме устранения неполадок можно использовать команду
Set-MPPreference -DisableTamperProtection $true
PowerShell на устройствах Windows. - Чтобы проверка состояние защиты от незаконного изменения, можно использовать командлет PowerShell Get-MpComputerStatus. В списке результатов найдите
IsTamperProtected
илиRealTimeProtectionEnabled
. (Значение true означает, что включена защита от незаконного изменения.) .
Что нужно знать перед началом работы
В режиме устранения неполадок можно использовать команду Set-MPPreference -DisableTamperProtection $true
PowerShell или в клиентских операционных системах приложение Центра безопасности, чтобы временно отключить защиту от незаконного изменения на устройстве и внести необходимые изменения в конфигурацию.
Используйте режим устранения неполадок, чтобы отключить или изменить параметр защиты от незаконного изменения для выполнения следующих действий:
- Microsoft Defender устранение неполадок с функциональными средствами антивирусной программы /совместимость приложений (ложноположительные блоки приложений).
Локальные администраторы с соответствующими разрешениями могут изменять конфигурации на отдельных конечных точках, которые обычно блокируются политикой. Наличие устройства в режиме устранения неполадок может быть полезно при диагностике Microsoft Defender сценариев производительности и совместимости антивирусной программы.
Локальные администраторы не могут отключить Microsoft Defender антивирусную программу или удалить ее.
Локальные администраторы могут настроить все другие параметры безопасности в пакете антивирусной программы Microsoft Defender (например, облачную защиту, защиту от незаконного изменения).
Администраторы с разрешениями "Управление параметрами безопасности" имеют доступ к включению режима устранения неполадок.
Microsoft Defender для конечной точки собирает журналы и данные исследования на протяжении всего процесса устранения неполадок.
Перед началом работы режима устранения неполадок выполняется snapshot
MpPreference
.Второй snapshot выполняется непосредственно перед истечением срока действия режима устранения неполадок.
Также собираются операционные журналы из режима устранения неполадок.
Журналы и моментальные снимки собираются и доступны администратору с помощью функции Сбор пакета исследования на странице устройства. Корпорация Майкрософт не удаляет эти данные с устройства до тех пор, пока администратор не заберет их.
Администраторы также могут просматривать изменения в параметрах, которые происходят во время режима устранения неполадок в Просмотр событий на самом устройстве.
- Откройте Просмотр событий, а затем разверните узел Приложения и службы Журналы>Microsoft>Windows>Defender, а затем выберите Пункт Операционный.
- Возможные события могут включать события с идентификаторами 5000, 5001, 5004, 5007 и другие. Дополнительные сведения см. в статье Просмотр журналов событий и кодов ошибок для устранения неполадок с Microsoft Defender антивирусной программы.
Режим устранения неполадок автоматически отключается после достижения срока действия (он длится 4 часа). После истечения срока действия все конфигурации, управляемые политикой, снова становятся доступными только для чтения и отменить изменения обратно к настройке устройства перед включением режима устранения неполадок.
Это может занять до 15 минут с момента отправки команды из Microsoft Defender XDR до момента ее активации на устройстве.
Уведомления отправляются пользователю, когда начинается режим устранения неполадок и когда заканчивается режим устранения неполадок. Также отправляется предупреждение о том, что режим устранения неполадок скоро завершится.
Начало и окончание режима устранения неполадок определяется на временной шкале устройства на странице устройства.
Вы можете запрашивать все события режима устранения неполадок в расширенной охоте.
Примечание.
Изменения управления политиками применяются к устройству, когда оно активно работает в режиме устранения неполадок. Однако изменения не вступают в силу до истечения срока действия режима устранения неполадок. Кроме того, обновления антивирусной платформы Microsoft Defender не применяются в режиме устранения неполадок. Обновления платформы применяются, когда режим устранения неполадок завершается обновлением Windows.
Предварительные условия
Устройство под управлением Windows 10 (версии 19044.1618 или более поздней), Windows 11, Windows Server 2019 или Windows Server 2022.
Семестр/Редстоун Версия ОС Выпуск 21H2/SV1 >=22000.593 KB5011563: Каталог Центра обновления Майкрософт 20H1/20H2/21H1 >=19042.1620
>=19041.1620
>=19043.1620KB5011543: Каталог Центра обновления Майкрософт Windows Server 2022 >=20348.617 KB5011558: Каталог Центра обновления Майкрософт Windows Server 2019 (RS5) >=17763.2746 KB5011551: Каталог Центра обновления Майкрософт Режим устранения неполадок также доступен для компьютеров, на которых работает современное унифицированное решение для Windows Server 2012 R2 и Windows Server 2016. Прежде чем использовать режим устранения неполадок, убедитесь, что все следующие компоненты обновлены:
- Версия
10.8049.22439.1084
sense или более поздняя (KB5005292: Каталог Центра обновления Майкрософт) - антивирусная программа Microsoft Defender — платформа:
4.18.2207.7
или более поздняя версия (KB4052623: Каталог Центра обновления Майкрософт) - антивирусная программа Microsoft Defender — ядро:
1.1.19500.2
или более поздняя версия (KB2267602: Каталог Центра обновления Майкрософт)
- Версия
Для применения режима устранения неполадок Microsoft Defender для конечной точки должны быть зарегистрированы в клиенте и активны на устройстве.
Устройство должно активно работать Microsoft Defender антивирусной версии 4.18.2203 или более поздней.
Включение режима устранения неполадок
Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
Перейдите на страницу устройства или страницу компьютера для устройства, которое вы хотите включить режим устранения неполадок. Выберите Включить режим устранения неполадок. Для Microsoft Defender для конечной точки необходимо иметь разрешения "Управление параметрами безопасности в Центре безопасности".
Примечание.
Параметр Включить режим устранения неполадок доступен на всех устройствах, даже если устройство не соответствует предварительным требованиям для режима устранения неполадок.
Убедитесь, что вы хотите включить режим устранения неполадок для устройства.
На странице устройства отображается, что устройство теперь находится в режиме устранения неполадок.
Запросы расширенной охоты
Ниже приведены некоторые предварительно созданные расширенные запросы охоты, которые позволяют получить представление о событиях устранения неполадок, происходящих в вашей среде. Эти запросы также можно использовать для создания правил обнаружения для создания оповещений, когда устройства находятся в режиме устранения неполадок.
Получение событий устранения неполадок для определенного устройства
Выполните поиск по deviceId или deviceName, закомментируя соответствующие строки.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Устройства, которые в настоящее время находятся в режиме устранения неполадок
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Количество экземпляров режима устранения неполадок по устройствам
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Общее число
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Статьи по теме
Совет
Совет по производительности Из-за различных факторов Microsoft Defender антивирусная программа, как и другое антивирусное программное обеспечение, может вызвать проблемы с производительностью на конечных точках. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:
- Основные пути, влияющие на время сканирования
- Основные файлы, влияющие на время сканирования
- Основные процессы, влияющие на время сканирования
- Основные расширения файлов, влияющие на время сканирования
- Сочетания— например:
- top files per extension
- верхние пути на расширение
- top процессов на путь
- большее число сканирований на файл
- большее число сканирований на файл на каждый процесс
Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.