適用於端點的 Microsoft Defender 中的疑難排解模式可讓系統管理員針對各種 Microsoft Defender 防病毒軟體功能進行疑難排解,即使裝置是由組織原則管理也一樣。 例如,如果啟用 竄改保護 ,則無法修改或關閉 某些設定 ,但您可以使用裝置上的疑難排解模式來暫時編輯這些設定。
疑難排解模式預設為停用,並要求您在有限的時間內為裝置 (和/或裝置) 群組開啟它。 疑難排解模式是僅限企業的功能,而且需要 Microsoft Defender 入口網站存取權。
本文說明 Windows 裝置的疑難排解模式。 如需 Mac 上疑難排解模式的相關資訊,請參閱 macOS 上適用於端點的 Microsoft Defender 中的疑難排解模式。
提示
- 在疑難排解模式期間,您可以在 Windows 裝置上使用 PowerShell 命令
Set-MPPreference -DisableTamperProtection $true。 - 若要檢查 竄改保護的狀態,您可以使用 Get-MpComputerStatus PowerShell Cmdlet。 在結果清單中,尋找
IsTamperProtected或RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護 ) 。 - 針對 Mac 裝置,請參閱 macOS 上適用於端點的 Microsoft Defender 中的疑難排解模式。
開始之前有哪些須知?
在疑難排解模式期間,您可以使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true ,或在用戶端作業系統上使用 Security Center 應用程式,暫時停用裝置上的竄改保護,並進行必要的設定變更。
您可以使用疑難排解模式來疑難排解或檢查應用程式與 Microsoft Defender 防病毒軟體的相容性,例如當應用程式區塊發生誤判時。
透過適當的權限,本機管理員可以變更通常由原則鎖定的個別裝置上的設定。 讓裝置處於疑難排解模式,在診斷 Microsoft Defender 防病毒軟體效能和相容性案例時很有幫助。 本機系統管理員無法關閉 Microsoft Defender 防病毒軟體,或卸載它。 本機管理員可以在 Microsoft Defender Antivirus 套件中配置所有其他安全設定 (例如雲端保護、竄改防護) 。
管理員必須具有「管理安全性設定」權限才能開啟疑難排解模式。
適用於端點的 Defender 會在整個疑難排解程式中收集記錄和調查資料。
- 在疑難排解模式開始之前,會拍攝快照
MpPreference。 - 在疑難排解模式到期之前會建立第二個快照。
- 也會收集疑難排解模式期間的作業記錄。
- 系統會收集記錄和快照,並可供管理員使用裝置頁面上的 收集調查套件 功能來收集。 在系統管理員收集此資料之前,Microsoft 不會從裝置移除此資料。
管理員還可以在裝置本身的事件檢視器中檢閱疑難排解模式期間發生的設定變更。
- 開啟 [事件檢視器],然後展開 [應用程式和服務記錄]> [Microsoft>Windows>Windows Defender],然後選取 [作業]。
- 潛在事件可以包括 ID 為 5000、5001、5004、5007 等的事件。 請參閱檢閱事件記錄檔和錯誤碼以針對 Microsoft Defender 防病毒軟體的問題進行疑難排解,請參閱更多詳細資料。
故障排除模式在達到到期時間後會自動關閉, (持續 4 小時) 。 當疑難排解模式過期時,所有原則管理的組態都會再次變成唯讀,並還原為啟用疑難排解模式之前裝置的設定方式。
注意事項
疑難排解模式限制為每台裝置每天 8 小時。 這是無法更改的。 8 小時配額會在首次啟用疑難排解模式 24 小時後重設。
從命令從 Microsoft Defender 全面偵測回應傳送到在裝置上變成作用中,最多可能需要 15 分鐘的時間。
當疑難排解模式開始和疑難排解模式結束時,會向使用者傳送通知。 也會傳送警告,指出疑難排解模式即將結束。 疑難排解模式的開始和結束也會在 Microsoft Defender 入口網站的裝置頁面上的 [裝置時程表] 中識別。
您可以在進階搜捕中查詢所有疑難排解模式事件。
注意事項
當裝置處於疑難排解模式時,原則管理變更會套用至裝置。 不過,在疑難排解模式到期之前,變更不會生效。 此外,Microsoft Defender 防病毒軟體平臺更新不會在疑難排解模式期間套用。 當疑難排解模式以 Windows 更新結束時,會套用平臺更新。
必要條件
裝置必須執行支援的作業系統。
Windows 10 (19044.1618 版或更新版本)
Windows 11
Windows Server 2019 和更新版本
Azure Stack HCI OS 版本 23H2 和更新版本。
學期/紅石 作業系統版本 發行 21H2/SV1 22000.593或稍後KB5011563:Microsoft更新目錄 20H1/20H2/21H1 19042.1620或稍後
19041.1620或稍後
19043.1620或稍後KB5011543:Microsoft更新目錄 Windows Server 2022 或更新版本 20348.617或稍後KB5011558:Microsoft更新目錄 Windows Server 2019 (RS5) 17763.2746或稍後KB5011551:Microsoft更新目錄 Windows Server 2012 R2 和 Windows Server 2016 使用新式統一解決方案,且下列所有元件都是最新的:
元件 版本 發行 Sense版 10.8049.22439.1084或稍後KB5005292:Microsoft更新目錄 Microsoft Defender 防毒軟體 平台: 4.18.2207.7或更高版本KB4052623:Microsoft更新目錄 Microsoft Defender 防毒軟體 引擎: 1.1.19500.2或更高版本KB2267602:Microsoft更新目錄
適用於端點的 Defender 必須在裝置上註冊租用戶且作用中。
裝置必須主動執行 Microsoft Defender 防病毒軟體版本
4.18.2203 or later。對於 macOS 裝置,請參閱 Mac 上疑難排解模式的先決條件。
啟用疑難排解模式
移至 Microsoft Defender 入口網站,然後登入。
導覽至您要開啟疑難排解模式之裝置的裝置頁面/電腦頁面。 選取 [開啟疑難排解模式]。 您必須擁有 適用於端點的 Microsoft Defender 的「管理安全中心中的安全性設定」權限。
注意事項
[ 開啟疑難排解模式] 選項適用於所有裝置,即使裝置不符合疑難排解模式的必要條件也一樣。
確認您要開啟裝置的疑難排解模式。
裝置頁面顯示裝置現在處於疑難排解模式。
進階搜捕查詢
以下是一些預先建置的進階搜捕查詢,可讓您查看環境中發生的疑難排解事件。 您也可以使用這些查詢來 建立偵測規則 ,以便在裝置處於疑難排解模式時產生警示。
取得特定裝置的疑難排解事件
透過註解掉相應的行,按 deviceId 或 deviceName 進行搜尋。
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
目前處於疑難排解模式的裝置
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
依裝置劃分的疑難排解模式執行個體計數
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
總計數
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
相關文章
- macOS 上適用於端點的 Microsoft Defender 中的疑難排解模式
- 適用於 Microsoft Defender 防病毒軟體的效能分析器。
- 疑難排解模式案例
- 使用竄改防護來保護安全性設定
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。