Microsoft Defender for Endpointでのモードシナリオのトラブルシューティング

[アーティクル]
04/26/2024

適用対象:

Defender for Endpoint を試す場合は、無料試用版にサインアップしてください。

Microsoft Defender for Endpointトラブルシューティングモードを使用すると、organization ポリシーによって制御されている場合でも、さまざまなMicrosoft Defenderウイルス対策機能をデバイスから有効にし、さまざまなシナリオをテストすることで、さまざまなMicrosoft Defenderウイルス対策機能をトラブルシューティングできます。トラブルシューティングモードは既定で無効になっており、デバイス (またはデバイスのグループ) に対して一定期間有効にする必要があります。これはエンタープライズ専用の機能であり、Microsoft Defender XDRアクセスが必要です。

Microsoft Defender ウイルス対策に関連するパフォーマンス固有の問題のトラブルシューティングについては、「Microsoft Defender ウイルス対策のパフォーマンスアナライザー」を参照してください。

ヒント

トラブルシューティングモードでは、Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。
改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。結果の一覧で、またはを探 IsTamperProtected します RealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。

シナリオ 1: アプリケーションをインストールできない

アプリケーションをインストールしても、ウイルス対策と改ざん防止Microsoft Defenderオンになっているというエラーメッセージが表示される場合は、次の手順に従って問題のトラブルシューティングを行います。

セキュリティ管理者にトラブルシューティングモードを有効にするよう要求します。トラブルシューティングモードが開始すると、Windows セキュリティ通知が表示されます。
ローカル管理者アクセス許可を使用して (ターミナルサービスを使用して) デバイスに接続します。
プロセスモニターの開始 (ProcMon)。「リアルタイム保護に関連するパフォーマンスの問題のトラブルシューティング」で説明されている手順を参照してください。
[Windows セキュリティ][>脅威] & [ウイルス対策>] [設定>の管理] [改ざん防止>オフ] の順に移動します。

または、トラブルシューティングモードでは、Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。

改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。結果の一覧で、またはを探 IsTamperProtected します RealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。
管理者特権で PowerShell コマンドプロンプトを起動し、リアルタイム保護をオフに切り替えます。
- を実行Get-MpComputerStatusして、リアルタイム保護の状態をチェックします。
- を実行 Set-MpPreference -DisableRealtimeMonitoring $true して、リアルタイム保護をオフにします。
- もう一度実行 Get-MpComputerStatus して状態を確認します。
アプリケーションをインストールしてみてください。

シナリオ 2: Windows Defenderによる CPU 使用率が高い (MsMpEng.exe)

スケジュールされたスキャン中に、MsMpEng.exe が高い CPU を消費する場合があります。

[タスクマネージャー>の詳細] タブに移動して、CPU 使用率が高い理由であることをMsMpEng.exe確認します。スケジュールされたスキャンが現在進行中かどうかを確認するチェックもあります。
CPU スパイク中にプロセスモニター (ProcMon) を約 5 分間実行し、ProcMon ログで手掛かりを確認します。
根本原因が特定されたら、トラブルシューティングモードをオンにします。
デバイスにサインインし、管理者特権の PowerShell コマンドプロンプトを起動します。
次のいずれかのコマンドを使用して ProcMon の結果に基づいてプロセス/ファイル/フォルダー/拡張機能の除外を追加します (この記事で説明するパス、拡張機能、およびプロセスの除外は例のみです)。

Set-mppreference -ExclusionPath (例: C:\DB\DataFiles) Set-mppreference –ExclusionExtension (例: .dbx) Set-mppreference –ExclusionProcess (例: C:\DB\Bin\Convertdb.exe)
除外を追加した後、CPU 使用率が低下したかどうかを確認するチェック。

Microsoft Defenderウイルス対策のスキャンと更新に関するコマンドレット構成の設定の詳細についてはSet-MpPreference、「Set-MpPreference」を参照してください。

シナリオ 3: アクションの実行に時間がかかるアプリケーション

Microsoft Defenderウイルス対策リアルタイム保護が有効になっている場合、アプリケーションの基本的なタスクの実行に時間がかかる場合があります。リアルタイム保護をオフにし、問題のトラブルシューティングを行うには、次の手順に従います。

セキュリティ管理者に、デバイスのトラブルシューティングモードを有効にするよう要求します。
このシナリオでリアルタイム保護を無効にするには、まず改ざん防止をオフにします。 Windows デバイスで PowerShell コマンド Set-MPPreference -DisableTamperProtection $true を使用できます。

改ざん防止の状態をチェックするには、Get-MpComputerStatus PowerShell コマンドレットを使用します。結果の一覧で、またはを探 IsTamperProtected します RealTimeProtectionEnabled。 ( true の値は、改ざん防止が有効になっていることを意味します)。

詳細については、「改ざん防止によるセキュリティ設定の保護」を参照してください。
改ざん防止が無効になったら、デバイスにサインインします。
管理者特権の PowerShell コマンドプロンプトを起動し、次のコマンドを実行します。

Set-mppreference -DisableRealtimeMonitoring $true
リアルタイム保護を無効にした後、アプリケーションの速度が低下しているかどうかを確認するチェック。

シナリオ 4: 攻撃面の縮小によってブロックされた Microsoft Office プラグイン

すべての Office アプリケーションで子プロセスを作成できないようにブロック モードに設定されているため、攻撃面の縮小では Microsoft Office プラグインが正常に動作しません。

トラブルシューティングモードを有効にして、デバイスにサインインします。
管理者特権の PowerShell コマンドプロンプトを起動し、次のコマンドを実行します。

Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
ASR 規則を無効にした後、Microsoft Office プラグインが機能することを確認します。

詳細については、「攻撃面の縮小の概要」を参照してください。

シナリオ 5: ネットワーク保護によってブロックされたドメイン

Network Protection によって Microsoft ドメインがブロックされ、ユーザーがアクセスできなくなります。

トラブルシューティングモードを有効にして、デバイスにサインインします。
管理者特権の PowerShell コマンドプロンプトを起動し、次のコマンドを実行します。

Set-MpPreference -EnableNetworkProtection Disabled
Network Protection を無効にした後、ドメインが許可されているかどうかを確認するチェック。

詳細については、「ネットワーク保護を使用して、不適切なサイトへの接続を防止する」を参照してください。

Share via