استكشاف أخطاء حماية الشبكة وإصلاحها

ينطبق على:

• Microsoft Defender XDR
• Defender for Endpoint الخطة 2
• Microsoft Defender for Business
• الخطة 1 من Microsoft Defender لنقطة النهاية

تلميح

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

توفر هذه المقالة معلومات استكشاف الأخطاء وإصلاحها لحماية الشبكة، في حالات، مثل:

• تمنع حماية الشبكة موقع ويب آمن (إيجابي خاطئ)
• فشل حماية الشبكة في حظر موقع ويب ضار مريب أو معروف (سلبي خاطئ)

هناك أربع خطوات لاستكشاف هذه المشكلات وإصلاحها:

1. تأكيد المتطلبات الأساسية
2. استخدام وضع التدقيق لاختبار القاعدة
3. إضافة استثناءات للقاعدة المحددة (للإيجابيات الخاطئة)
4. إرسال سجلات الدعم

تأكيد المتطلبات الأساسية

تعمل حماية الشبكة على الأجهزة بالشروط التالية:

• يتم تشغيل نقاط النهاية Windows 10 Pro أو إصدار Enterprise، الإصدار 1709 أو أعلى.

• تستخدم نقاط النهاية برنامج الحماية من الفيروسات Microsoft Defender كتطبيق الحماية من الفيروسات الوحيد. تعرف على ما يحدث عند استخدام حل مكافحة الفيروسات غير التابع ل Microsoft.
• يتم تمكين الحماية في الوقت الحقيقي.
• تم تمكين مراقبة السلوك.
• يتم تمكين الحماية المقدمة من السحابة.
• اتصال شبكة حماية السحابة يعمل.
• لم يتم تمكين وضع التدقيق. استخدم نهج المجموعة لتعيين القاعدة إلى معطل (القيمة: 0).

استخدام وضع التدقيق

يمكنك تمكين حماية الشبكة في وضع التدقيق ثم زيارة موقع ويب مصمم لعرض الميزة. يتم السماح بجميع اتصالات موقع الويب بواسطة حماية الشبكة ولكن يتم تسجيل حدث للإشارة إلى أي اتصال سيتم حظره إذا تم تمكين حماية الشبكة.

1. تعيين حماية الشبكة إلى وضع التدقيق.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. قم بتنفيذ نشاط الاتصال الذي يسبب مشكلة (على سبيل المثال، محاولة زيارة الموقع، أو الاتصال بعنوان IP الذي تقوم به أو لا تريد حظره).

3. راجع سجلات أحداث حماية الشبكة لمعرفة ما إذا كانت الميزة ستحظر الاتصال إذا تم تعيينه إلى ممكن.

   إذا لم تمنع حماية الشبكة اتصالا تتوقع حظره، فقم بتمكين الميزة.

   Set-MpPreference -EnableNetworkProtection Enabled
   

الإبلاغ عن إيجابية خاطئة أو سلبية خاطئة

إذا قمت باختبار الميزة مع موقع العرض التوضيحي ومع وضع التدقيق، وكانت حماية الشبكة تعمل على سيناريوهات تم تكوينها مسبقا، ولكنها لا تعمل كما هو متوقع لاتصال معين، فاستخدم نموذج الإرسال المستند إلى معلومات الأمان ل Windows Defender على الويب للإبلاغ عن إيجابية سلبية أو خاطئة خاطئة لحماية الشبكة. باستخدام اشتراك E5، يمكنك أيضا توفير ارتباط إلى أي تنبيه مقترن.

راجع معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية.

إضافة استثناءات

خيارات الاستبعاد الحالية هي:

1. إعداد مؤشر السماح المخصص.

2. استخدام استثناءات IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. استبعاد عملية بأكملها. لمزيد من المعلومات، راجع Microsoft Defender استثناءات مكافحة الفيروسات.

مشكلات أداء الشبكة

في بعض الحالات، قد يساهم مكون حماية الشبكة في إبطاء اتصالات الشبكة بوحدات تحكم المجال و/أو خوادم Exchange. قد تلاحظ أيضا أخطاء معرف الحدث 5783 NETLOGON.

لمحاولة حل هذه المشكلات، قم بتغيير Network Protection من "وضع الحظر" إلى "وضع التدقيق" أو "معطل". إذا تم إصلاح مشكلات الشبكة، فاتبع الخطوات التالية لمعرفة المكون في حماية الشبكة الذي يساهم في السلوك.

قم بتعطيل المكونات التالية بالترتيب واختبر أداء اتصال الشبكة بعد تعطيل كل منها:

1. تعطيل معالجة مخطط البيانات على Windows Server
2. تعطيل القياس عن بعد ل Perf لحماية الشبكة
3. تعطيل تحليل FTP
4. تعطيل تحليل SSH
5. تعطيل تحليل RDP
6. تعطيل تحليل HTTP
7. تعطيل تحليل SMTP
8. تعطيل DNS عبر تحليل TCP
9. تعطيل تحليل DNS
10. تعطيل تصفية الاتصال الوارد
11. تعطيل تحليل TLS

إذا استمرت مشكلات أداء الشبكة بعد اتباع خطوات استكشاف الأخطاء وإصلاحها هذه، فمن المحتمل ألا تكون مرتبطة بحماية الشبكة ويجب عليك البحث عن أسباب أخرى لمشكلات أداء الشبكة.

جمع البيانات التشخيصية لتقديم الملفات

عند الإبلاغ عن مشكلة في حماية الشبكة، يطلب منك جمع البيانات التشخيصية وإرسالها لفرق الدعم والهندسة من Microsoft للمساعدة في استكشاف المشكلات وإصلاحها.

1. افتح موجه أوامر غير مقيد وغير إلى دليل Windows Defender:

   cd c:\program files\windows defender
   

2. قم بتشغيل هذا الأمر لإنشاء سجلات التشخيص:

   mpcmdrun -getfiles
   

3. إرفاق الملف بنموذج الإرسال. بشكل افتراضي، يتم حفظ سجلات التشخيص في C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

حل مشكلات الاتصال مع حماية الشبكة (لعملاء E5)

نظرا للبيئة التي يتم فيها تشغيل حماية الشبكة، لا تتمكن Microsoft من رؤية إعدادات وكيل نظام التشغيل. في بعض الحالات، لا يتمكن عملاء حماية الشبكة من الوصول إلى الخدمة السحابية. لحل مشكلات الاتصال مع حماية الشبكة، قم بتكوين أحد مفاتيح التسجيل التالية بحيث تصبح حماية الشبكة على دراية بتكوين الوكيل:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---او---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

يمكنك تكوين مفتاح التسجيل باستخدام PowerShell أو Microsoft Configuration Manager أو نهج المجموعة. فيما يلي بعض الموارد للمساعدة:

• العمل مع مفاتيح التسجيل
• تكوين إعدادات العميل المخصصة لحماية نقطة النهاية
• استخدام إعدادات نهج المجموعة لإدارة حماية نقطة النهاية

راجع أيضًا

• حماية الشبكة
• حماية الشبكة ومصافحة TCP ثلاثية الاتجاه
• تقييم حماية الشبكة
• تمكين حماية الشبكة
• معالجة الإيجابيات/السلبيات الخاطئة في Defender لنقطة النهاية

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.