Řešení potíží s ochranou sítě
Platí pro:
- Microsoft Defender XDR
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
- Plán 1 pro Microsoft Defender for Endpoint
Tip
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tento článek obsahuje informace o řešení potíží s ochranou sítě v těchto případech:
- Ochrana sítě blokuje bezpečný web (falešně pozitivní).
- Ochrana sítě nedokáže blokovat podezřelý nebo známý škodlivý web (falešně negativní)
Při řešení těchto problémů je potřeba provést čtyři kroky:
- Potvrzení požadavků
- Použití režimu auditování k otestování pravidla
- Přidání vyloučení pro zadané pravidlo (pro falešně pozitivní výsledky)
- Odeslání protokolů podpory
Potvrzení požadavků
Ochrana sítě funguje na zařízeních s následujícími podmínkami:
- Koncové body používají edici Windows 10 Pro nebo Enterprise verze 1709 nebo vyšší.
- Koncové body používají Microsoft Defender Antivirus jako jedinou antivirovou ochranu. Podívejte se, co se stane, když používáte antivirové řešení jiného než Microsoftu.
- Je povolená ochrana v reálném čase .
- Monitorování chování je povolené.
- Je povolená cloudová ochrana .
- Síťové připojení služby Cloud Protection je funkční.
- Režim auditování není povolený. Pomocí Zásady skupiny nastavte pravidlo na Zakázáno (hodnota: 0).
Použití režimu auditování
Ochranu sítě můžete povolit v režimu auditování a pak navštívit web určený k ukázce této funkce. Ochrana sítě povoluje všechna připojení k webu, ale zaprotokoluje se událost označující všechna připojení, která by byla blokovaná, pokud by byla povolena ochrana sítě.
Nastavte ochranu sítě na režim auditování.
Set-MpPreference -EnableNetworkProtection AuditMode
Proveďte aktivitu připojení, která způsobuje problém (například pokus o návštěvu webu nebo připojení k IP adrese, kterou děláte nebo nechcete blokovat).
Zkontrolujte protokoly událostí ochrany sítě a zjistěte, jestli by funkce neblokovala připojení, pokud by byla nastavená na Povoleno.
Pokud ochrana sítě neblokuje připojení, u kterého očekáváte, že by mělo blokovat, povolte tuto funkci.
Set-MpPreference -EnableNetworkProtection Enabled
Nahlásit falešně pozitivní nebo falešně negativní
Pokud jste funkci otestovali na ukázkovém webu a v režimu auditování a ochrana sítě funguje v předkonfigurovaných scénářích, ale u konkrétního připojení nefunguje podle očekávání, použijte webový formulář pro odeslání Windows Defender Security Intelligence a nahlaste falešně negativní nebo falešně pozitivní zprávu o ochraně sítě. S předplatným E5 můžete také poskytnout odkaz na všechna přidružená upozornění.
Viz Řešení falešně pozitivních/negativních výsledků v Microsoft Defender for Endpoint.
Přidání vyloučení
Aktuální možnosti vyloučení jsou:
Nastavení vlastního indikátoru povolení
Použití vyloučení IP adres:
Add-MpPreference -ExclusionIpAddress 192.168.1.1
.Vyloučení celého procesu Další informace najdete v tématu Microsoft Defender Vyloučení antivirové ochrany.
Problémy s výkonem sítě
Za určitých okolností může komponenta ochrany sítě přispívat k pomalému síťovému připojení k řadičům domény nebo serverům Exchange. Můžete si také všimnout chyb NETLOGON s ID události 5783.
Pokud se chcete pokusit tyto problémy vyřešit, změňte ochranu sítě z režimu blokování na režim auditování nebo zakázáno. Pokud jsou problémy se sítí opravené, postupujte podle dalších kroků a zjistěte, která komponenta ve službě Network Protection přispívá k chování.
Zakažte následující komponenty v daném pořadí a otestujte výkon síťového připojení po jejich zakázání:
- Zakázání zpracování datagramů na Windows Serveru
- Zakázání telemetrie výkonu služby Network Protection
- Zakázání analýzy FTP
- Zakázání analýzy SSH
- Zakázání analýzy protokolu RDP
- Zakázání analýzy HTTP
- Zakázání analýzy SMTP
- Zakázání analýzy DNS přes TCP
- Zakázání analýzy DNS
- Zakázání filtrování příchozích připojení
- Zakázání analýzy PROTOKOLU TLS
Pokud problémy s výkonem sítě přetrvávají i po provedení těchto kroků pro řešení potíží, pravděpodobně nesouvisejí s ochranou sítě a měli byste hledat jiné příčiny problémů s výkonem sítě.
Shromažďování diagnostických dat pro odesílání souborů
Když nahlásíte problém s ochranou sítě, budete požádáni o shromáždění a odeslání diagnostických dat pro technické a technické týmy Microsoftu, které vám pomůžou s řešením problémů.
Otevřete příkazový řádek se zvýšenými oprávněními a přejděte do adresáře Windows Defender:
cd c:\program files\windows defender
Spuštěním tohoto příkazu vygenerujte diagnostické protokoly:
mpcmdrun -getfiles
Připojte soubor k formuláři pro odeslání. Ve výchozím nastavení se diagnostické protokoly ukládají na adrese
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
.
Řešení problémů s připojením k ochraně sítě (pro zákazníky E5)
Vzhledem k prostředí, ve kterém běží ochrana sítě, microsoft nevidí nastavení proxy serveru operačního systému. V některých případech se klienti ochrany sítě nemůžou připojit ke cloudové službě. Pokud chcete vyřešit problémy s připojením k ochraně sítě, nakonfigurujte jeden z následujících klíčů registru, aby se ochrana sítě dozvěděla o konfiguraci proxy serveru:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---NEBO---
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
Klíč registru můžete nakonfigurovat pomocí PowerShellu, Microsoft Configuration Manager nebo Zásady skupiny. Tady je několik zdrojů, které vám pomůžou:
- Práce s klíči registru
- Konfigurace vlastního nastavení klienta pro službu Endpoint Protection
- Správa služby Endpoint Protection pomocí nastavení Zásady skupiny
Viz také
- Ochrana sítě
- Ochrana sítě a třícestné metody handshake protokolu TCP
- Vyhodnocení ochrany sítě
- Povolení ochrany sítě
- Řešení falešně pozitivních nebo negativních výsledků v Defenderu for Endpoint
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.