Erste Schritte mit dem Problembehandlungsmodus in Microsoft Defender for Endpoint
Gilt für:
- Microsoft Defender für Endpunkt
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Im Problembehandlungsmodus in Microsoft Defender for Endpoint können Administratoren verschiedene Microsoft Defender Antivirus-Features behandeln, auch wenn Geräte von Organisationsrichtlinien verwaltet werden. Wenn beispielsweise der Manipulationsschutz aktiviert ist, können bestimmte Einstellungen nicht geändert oder deaktiviert werden. Sie können jedoch den Problembehandlungsmodus auf einem Gerät verwenden, um diese Einstellungen vorübergehend zu bearbeiten.
Der Problembehandlungsmodus ist standardmäßig deaktiviert und erfordert, dass Sie ihn für ein Gerät (und/oder eine Gruppe von Geräten) für einen begrenzten Zeitraum einschalten. Der Problembehandlungsmodus ist ausschließlich auf Unternehmen ausgerichtet und erfordert Microsoft Defender Portalzugriff.
Tipp
- Während des Problembehandlungsmodus können Sie den PowerShell-Befehl
Set-MPPreference -DisableTamperProtection $trueauf Windows-Geräten verwenden. - Um den Status des Manipulationsschutzes zu überprüfen, können Sie das PowerShell-Cmdlet Get-MpComputerStatus verwenden. Suchen Sie in der Ergebnisliste nach
IsTamperProtectedoderRealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.) .
Was sollten Sie wissen, bevor Sie beginnen?
Während des Problembehandlungsmodus können Sie den PowerShell-Befehl Set-MPPreference -DisableTamperProtection $true oder unter Clientbetriebssystemen die Security Center-App verwenden, um den Manipulationsschutz auf Ihrem Gerät vorübergehend zu deaktivieren und die erforderlichen Konfigurationsänderungen vorzunehmen.
Verwenden Sie den Problembehandlungsmodus, um die Einstellung für den Manipulationsschutz zu deaktivieren/zu ändern, um folgendes auszuführen:
- Microsoft Defender Problembehandlung für die Antivirusfunktion /Anwendungskompatibilität (falsch positive Anwendungsblöcke).
Lokale Administratoren mit entsprechenden Berechtigungen können Konfigurationen auf einzelnen Endpunkten ändern, die in der Regel durch Richtlinien gesperrt sind. Wenn sich ein Gerät im Problembehandlungsmodus befindet, kann es hilfreich sein, Microsoft Defender Antivirus-Leistungs- und Kompatibilitätsszenarien zu diagnostizieren.
Lokale Administratoren können Microsoft Defender Antivirus nicht deaktivieren oder deinstallieren.
Lokale Administratoren können alle anderen Sicherheitseinstellungen in der Microsoft Defender Antivirus-Suite konfigurieren (z. B. Cloudschutz, Manipulationsschutz).
Administratoren mit berechtigungen "Sicherheitseinstellungen verwalten" haben Zugriff, um den Problembehandlungsmodus zu aktivieren.
Microsoft Defender for Endpoint sammelt Protokolle und Untersuchungsdaten während des gesamten Problembehandlungsprozesses.
Eine Momentaufnahme von wird erstellt, bevor der
MpPreferenceProblembehandlungsmodus beginnt.Eine zweite Momentaufnahme wird kurz vor Ablauf des Problembehandlungsmodus ausgeführt.
Betriebsprotokolle aus während des Problembehandlungsmodus werden ebenfalls gesammelt.
Protokolle und Momentaufnahmen werden gesammelt und stehen einem Administrator zur Verfügung, um sie mithilfe des Features Untersuchungspaket sammeln auf der Geräteseite zu erfassen. Microsoft entfernt diese Daten erst dann vom Gerät, wenn sie von einem Administrator gesammelt wurden.
Administratoren können auch die Änderungen in den Einstellungen überprüfen, die während des Problembehandlungsmodus in Ereignisanzeige auf dem Gerät selbst vorgenommen werden.
- Öffnen Sie Ereignisanzeige, erweitern Sie dann Anwendungs- und Dienstprotokolle>Microsoft>Windows>Windows Defender, und wählen Sie dann Betriebsbereit aus.
- Mögliche Ereignisse können Ereignisse mit den IDs 5000, 5001, 5004, 5007 und andere umfassen. Weitere Informationen finden Sie unter Überprüfen von Ereignisprotokollen und Fehlercodes zur Behandlung von Problemen mit Microsoft Defender Antivirus.
Der Problembehandlungsmodus wird nach Erreichen der Ablaufzeit automatisch deaktiviert (er dauert 4 Stunden). Nach Dem Ablauf werden alle richtlinienverwalteten Konfigurationen wieder schreibgeschützt und rückgängig machen wieder auf die Konfiguration des Geräts zurück, bevor der Problembehandlungsmodus aktiviert wird.
Es kann bis zu 15 Minuten dauern, nachdem der Befehl von Microsoft Defender XDR gesendet wurde, bis er auf dem Gerät aktiv wird.
Benachrichtigungen werden an den Benutzer gesendet, wenn der Problembehandlungsmodus beginnt und der Problembehandlungsmodus endet. Außerdem wird eine Warnung gesendet, um anzugeben, dass der Problembehandlungsmodus bald beendet wird.
Der Anfang und das Ende des Problembehandlungsmodus werden auf der Gerätezeitachse auf der Geräteseite angegeben.
Sie können alle Ereignisse im Problembehandlungsmodus in der erweiterten Suche abfragen.
Hinweis
Richtlinienverwaltungsänderungen werden auf das Gerät angewendet, wenn es sich aktiv im Problembehandlungsmodus befindet. Die Änderungen werden jedoch erst wirksam, wenn der Problembehandlungsmodus abläuft. Darüber hinaus werden Microsoft Defender Antivirus Platform-Updates während des Problembehandlungsmodus nicht angewendet. Plattformupdates werden angewendet, wenn der Problembehandlungsmodus mit einem Windows-Update endet.
Voraussetzungen
Ein Gerät, auf dem Windows 10 (Version 19044.1618 oder höher), Windows 11, Windows Server 2019 oder Windows Server 2022 ausgeführt wird.
Semester/Redstone BS-Version Freigabe 21H2/SV1 >=22000,593 KB5011563: Microsoft Update-Katalog 20H1/20H2/21H1 >=19042.1620
>=19041,1620
>=19043,1620KB5011543: Microsoft Update-Katalog Windows Server 2022 >=20348,617 KB5011558: Microsoft Update-Katalog Windows Server 2019 (RS5) >=17763,2746 KB5011551: Microsoft Update-Katalog Der Problembehandlungsmodus ist auch für Computer verfügbar, auf denen die moderne, einheitliche Lösung für Windows Server 2012 R2 und Windows Server 2016 ausgeführt wird. Bevor Sie den Problembehandlungsmodus verwenden, stellen Sie sicher, dass alle folgenden Komponenten auf dem neuesten Stand sind:
- Sense-Version
10.8049.22439.1084oder höher (KB5005292: Microsoft Update-Katalog) - Microsoft Defender Antivirus – Plattform:
4.18.2207.7oder höher (KB4052623: Microsoft Update-Katalog) - Microsoft Defender Antivirus – Engine:
1.1.19500.2oder höher (KB2267602: Microsoft Update-Katalog)
- Sense-Version
Damit der Problembehandlungsmodus angewendet werden kann, muss Microsoft Defender for Endpoint mandantenregistriert und auf dem Gerät aktiv sein.
Das Gerät muss aktiv Microsoft Defender Antivirus, Version 4.18.2203 oder höher, ausgeführt werden.
Aktivieren des Problembehandlungsmodus
Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
Navigieren Sie zur Geräteseite/Computerseite für das Gerät, das Sie den Problembehandlungsmodus aktivieren möchten. Wählen Sie Problembehandlungsmodus aktivieren aus. Sie müssen über berechtigungen "Verwalten von Sicherheitseinstellungen in Security Center" für Microsoft Defender for Endpoint verfügen.
Hinweis
Die Option Problembehandlungsmodus aktivieren ist auf allen Geräten verfügbar, auch wenn das Gerät die Voraussetzungen für den Problembehandlungsmodus nicht erfüllt.
Vergewissern Sie sich, dass Sie den Problembehandlungsmodus für das Gerät aktivieren möchten.
Auf der Seite "Gerät" wird angezeigt, dass sich das Gerät jetzt im Problembehandlungsmodus befindet.
Abfragen für die erweiterte Suche
Im Folgenden finden Sie einige vordefinierte erweiterte Huntingabfragen, mit denen Sie Einblick in die Problembehandlungsereignisse erhalten, die in Ihrer Umgebung auftreten. Sie können diese Abfragen auch verwenden, um Erkennungsregeln zu erstellen , um Warnungen zu generieren, wenn sich Geräte im Problembehandlungsmodus befinden.
Abrufen von Problembehandlungsereignissen für ein bestimmtes Gerät
Suchen Sie nach deviceId oder deviceName, indem Sie die entsprechenden Zeilen auskommentieren.
//let deviceName = "<deviceName>"; // update with device name
let deviceId = "<deviceID>"; // update with device id
DeviceEvents
| where DeviceId == deviceId
//| where DeviceName == deviceName
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| project Timestamp,DeviceId, DeviceName, _tsmodeproperties,
_tsmodeproperties.TroubleshootingState, _tsmodeproperties.TroubleshootingPreviousState, _tsmodeproperties.TroubleshootingStartTime,
_tsmodeproperties.TroubleshootingStateExpiry, _tsmodeproperties.TroubleshootingStateRemainingMinutes,
_tsmodeproperties.TroubleshootingStateChangeReason, _tsmodeproperties.TroubleshootingStateChangeSource
Geräte, die sich derzeit im Problembehandlungsmodus befinden
DeviceEvents
| where Timestamp > ago(3h) // troubleshooting mode automatically disables after 4 hours
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
|summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| order by Timestamp desc
Anzahl der Instanzen des Problembehandlungsmodus nach Gerät
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(30d) // choose the date range you want
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| sort by count_
Gesamtanzahl
DeviceEvents
| where ActionType == "AntivirusTroubleshootModeEvent"
| extend _tsmodeproperties = parse_json(AdditionalFields)
| where Timestamp > ago(2d) //beginning of time range
| where Timestamp < ago(1d) //end of time range
| where _tsmodeproperties.TroubleshootingStateChangeReason contains "started"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count()
| where count_ > 5 // choose your max # of TS mode instances for your time range
Verwandte Artikel
Tipp
Leistungstipp Aufgrund einer Vielzahl von Faktoren kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:
- Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
- Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
- Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
- Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
- Kombinationen – z. B.:
- Top-Dateien pro Erweiterung
- Top-Pfade pro Erweiterung
- Top-Prozesse pro Pfad
- Top-Scans pro Datei
- Top-Scans pro Datei und Prozess
Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.
- Szenarien für den Problembehandlungsmodus
- Schützen von Sicherheitseinstellungen mit Manipulationsschutz
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.