Felsökningslägesscenarier i Microsoft Defender för Endpoint

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Microsoft Defender för Endpoint felsökningsläge kan du felsöka olika Microsoft Defender Antivirus-funktioner genom att aktivera dem från enheten och testa olika scenarier, även om de styrs av organisationens princip. Felsökningsläget är inaktiverat som standard och kräver att du aktiverar det för en enhet (och/eller grupp av enheter) under en begränsad tid. Detta är endast en företagsfunktion och kräver Microsoft Defender XDR åtkomst.

Felsökning av prestandaspecifika problem som rör Microsoft Defender Antivirus finns i: Prestandaanalys för Microsoft Defender Antivirus.

Tips

  • Under felsökningsläget kan du använda PowerShell-kommandot Set-MPPreference -DisableTamperProtection $true på Windows-enheter.
  • Om du vill kontrollera tillståndet för manipuleringsskydd kan du använda PowerShell-cmdleten Get-MpComputerStatus . Leta efter IsTamperProtected eller RealTimeProtectionEnabledi listan med resultat. (Värdet true innebär att manipuleringsskydd är aktiverat.)

Scenario 1: Det går inte att installera programmet

Om du vill installera ett program men får ett felmeddelande om att Microsoft Defender Antivirus och manipuleringsskydd är aktiverat använder du följande procedur för att felsöka problemet.

  1. Be säkerhetsadministratören att aktivera felsökningsläget. Du får ett Windows-säkerhet meddelande när felsökningsläget startar.

  2. Anslut till enheten (till exempel med Terminal Services) med lokal administratörsbehörighet.

  3. Starta processövervakaren (ProcMon). Se stegen som beskrivs i Felsöka prestandaproblem som rör realtidsskydd.

  4. Gå till Windows-säkerhet>Hot & virusskydd>Hantera inställningar>Manipulationsskydd>Av.

    Under felsökningsläget kan du också använda PowerShell-kommandot Set-MPPreference -DisableTamperProtection $true på Windows-enheter.

    Om du vill kontrollera tillståndet för manipuleringsskydd kan du använda PowerShell-cmdleten Get-MpComputerStatus . Leta efter IsTamperProtected eller RealTimeProtectionEnabledi listan med resultat. (Värdet true innebär att manipuleringsskydd är aktiverat.)

  5. Starta en upphöjd PowerShell-kommandotolk och inaktivera realtidsskydd.

    • Kör Get-MpComputerStatus för att kontrollera statusen för realtidsskydd.
    • Kör Set-MpPreference -DisableRealtimeMonitoring $true för att inaktivera realtidsskydd.
    • Kör Get-MpComputerStatus igen för att verifiera statusen.

  6. Prova att installera programmet.

Scenario 2: Hög CPU-användning på grund av Windows Defender (MsMpEng.exe)

Ibland kan MsMpEng.exe använda hög CPU under en schemalagd genomsökning.

  1. Gå till flikenInformation omAktivitetshanteraren> för att bekräfta att det MsMpEng.exe är orsaken till den höga CPU-användningen. Kontrollera också om en schemalagd genomsökning pågår.

  2. Kör Process Monitor (ProcMon) under CPU-toppen i cirka fem minuter och granska sedan ProcMon-loggen för att få ledtrådar.

  3. När rotorsaken har fastställts aktiverar du felsökningsläget.

  4. Logga in på enheten och starta en upphöjd PowerShell-kommandotolk.

  5. Lägg till process-/fil-/mapp-/tilläggsundantag baserat på ProcMon-resultat med något av följande kommandon (sökvägen, tillägget och processundantag som nämns i den här artikeln är endast exempel):

    Set-mppreference -ExclusionPath (till exempel C:\DB\DataFiles) Set-mppreference –ExclusionExtension (till exempel .dbx) Set-mppreference –ExclusionProcess (till exempel C:\DB\Bin\Convertdb.exe)

  6. När du har lagt till undantaget kontrollerar du om CPU-användningen har minskat.

Mer information om Set-MpPreference konfigurationsinställningar för cmdletar för Microsoft Defender Antivirus-genomsökningar och uppdateringar finns i Set-MpPreference.

Scenario 3: Det tar längre tid för programmet att utföra en åtgärd

När Microsoft Defender Antivirus realtidsskydd är aktiverat kan det ta längre tid för program att utföra grundläggande uppgifter. Om du vill inaktivera realtidsskydd och felsöka problemet använder du följande procedur.

  1. Be säkerhetsadministratören aktivera felsökningsläget på enheten.

  2. Om du vill inaktivera realtidsskydd för det här scenariot inaktiverar du först manipuleringsskydd. Du kan använda PowerShell-kommandot Set-MPPreference -DisableTamperProtection $true på Windows-enheter.

    Om du vill kontrollera tillståndet för manipuleringsskydd kan du använda PowerShell-cmdleten Get-MpComputerStatus . Leta efter IsTamperProtected eller RealTimeProtectionEnabledi listan med resultat. (Värdet true innebär att manipuleringsskydd är aktiverat.)

    Mer information finns i Skydda säkerhetsinställningar med manipuleringsskydd.

  3. Logga in på enheten när manipuleringsskyddet har inaktiverats.

  4. Starta en upphöjd PowerShell-kommandotolk och kör följande kommando:

    Set-mppreference -DisableRealtimeMonitoring $true

  5. När du har inaktiverat realtidsskydd kontrollerar du om programmet är långsamt.

Scenario 4: Microsoft Office-plugin-programmet blockeras av minskning av attackytan

Minskning av attackytan tillåter inte att Microsoft Office-plugin-programmet fungerar korrekt eftersom Blockera alla Office-program från att skapa underordnade processer är inställt på blockeringsläge.

  1. Aktivera felsökningsläge och logga in på enheten.

  2. Starta en upphöjd PowerShell-kommandotolk och kör följande kommando:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled

  3. När du har inaktiverat ASR-regeln bekräftar du att Microsoft Office-plugin-programmet nu fungerar.

Mer information finns i Översikt över minskning av attackytan.

Scenario 5: Domän blockerad av nätverksskydd

Network Protection blockerar Microsoft-domänen, vilket hindrar användare från att komma åt den.

  1. Aktivera felsökningsläge och logga in på enheten.

  2. Starta en upphöjd PowerShell-kommandotolk och kör följande kommando:

    Set-MpPreference -EnableNetworkProtection Disabled

  3. När du har inaktiverat Nätverksskydd kontrollerar du om domänen nu är tillåten.

Mer information finns i Använda nätverksskydd för att förhindra anslutningar till felaktiga platser.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.