Řešení potíží s ochranou sítě

Platí pro:

• Microsoft Defender XDR
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy
• Plán 1 pro Microsoft Defender for Endpoint

Tip

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje informace o řešení potíží s ochranou sítě v těchto případech:

• Ochrana sítě blokuje bezpečný web (falešně pozitivní).
• Ochrana sítě nedokáže blokovat podezřelý nebo známý škodlivý web (falešně negativní)

Při řešení těchto problémů je potřeba provést čtyři kroky:

1. Potvrzení požadavků
2. Použití režimu auditování k otestování pravidla
3. Přidání vyloučení pro zadané pravidlo (pro falešně pozitivní výsledky)
4. Odeslání protokolů podpory

Potvrzení požadavků

Ochrana sítě funguje na zařízeních s následujícími podmínkami:

• Koncové body používají edici Windows 10 Pro nebo Enterprise verze 1709 nebo vyšší.

• Koncové body používají Microsoft Defender Antivirus jako jedinou antivirovou ochranu. Podívejte se, co se stane, když používáte antivirové řešení jiného než Microsoftu.
• Je povolená ochrana v reálném čase .
• Monitorování chování je povolené.
• Je povolená cloudová ochrana .
• Síťové připojení služby Cloud Protection je funkční.
• Režim auditování není povolený. Pomocí Zásady skupiny nastavte pravidlo na Zakázáno (hodnota: 0).

Použití režimu auditování

Ochranu sítě můžete povolit v režimu auditování a pak navštívit web určený k ukázce této funkce. Ochrana sítě povoluje všechna připojení k webu, ale zaprotokoluje se událost označující všechna připojení, která by byla blokovaná, pokud by byla povolena ochrana sítě.

1. Nastavte ochranu sítě na režim auditování.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Proveďte aktivitu připojení, která způsobuje problém (například pokus o návštěvu webu nebo připojení k IP adrese, kterou děláte nebo nechcete blokovat).

3. Zkontrolujte protokoly událostí ochrany sítě a zjistěte, jestli by funkce neblokovala připojení, pokud by byla nastavená na Povoleno.

   Pokud ochrana sítě neblokuje připojení, u kterého očekáváte, že by mělo blokovat, povolte tuto funkci.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Nahlásit falešně pozitivní nebo falešně negativní

Pokud jste funkci otestovali na ukázkovém webu a v režimu auditování a ochrana sítě funguje v předkonfigurovaných scénářích, ale u konkrétního připojení nefunguje podle očekávání, použijte webový formulář pro odeslání Windows Defender Security Intelligence a nahlaste falešně negativní nebo falešně pozitivní zprávu o ochraně sítě. S předplatným E5 můžete také poskytnout odkaz na všechna přidružená upozornění.

Viz Řešení falešně pozitivních/negativních výsledků v Microsoft Defender for Endpoint.

Přidání vyloučení

Aktuální možnosti vyloučení jsou:

1. Nastavení vlastního indikátoru povolení

2. Použití vyloučení IP adres: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. Vyloučení celého procesu Další informace najdete v tématu Microsoft Defender Vyloučení antivirové ochrany.

Problémy s výkonem sítě

Za určitých okolností může komponenta ochrany sítě přispívat k pomalému síťovému připojení k řadičům domény nebo serverům Exchange. Můžete si také všimnout chyb NETLOGON s ID události 5783.

Pokud se chcete pokusit tyto problémy vyřešit, změňte ochranu sítě z režimu blokování na režim auditování nebo zakázáno. Pokud jsou problémy se sítí opravené, postupujte podle dalších kroků a zjistěte, která komponenta ve službě Network Protection přispívá k chování.

Zakažte následující komponenty v daném pořadí a otestujte výkon síťového připojení po jejich zakázání:

1. Zakázání zpracování datagramů na Windows Serveru
2. Zakázání telemetrie výkonu služby Network Protection
3. Zakázání analýzy FTP
4. Zakázání analýzy SSH
5. Zakázání analýzy protokolu RDP
6. Zakázání analýzy HTTP
7. Zakázání analýzy SMTP
8. Zakázání analýzy DNS přes TCP
9. Zakázání analýzy DNS
10. Zakázání filtrování příchozích připojení
11. Zakázání analýzy PROTOKOLU TLS

Pokud problémy s výkonem sítě přetrvávají i po provedení těchto kroků pro řešení potíží, pravděpodobně nesouvisejí s ochranou sítě a měli byste hledat jiné příčiny problémů s výkonem sítě.

Shromažďování diagnostických dat pro odesílání souborů

Když nahlásíte problém s ochranou sítě, budete požádáni o shromáždění a odeslání diagnostických dat pro technické a technické týmy Microsoftu, které vám pomůžou s řešením problémů.

1. Otevřete příkazový řádek se zvýšenými oprávněními a přejděte do adresáře Windows Defender:

   cd c:\program files\windows defender
   

2. Spuštěním tohoto příkazu vygenerujte diagnostické protokoly:

   mpcmdrun -getfiles
   

3. Připojte soubor k formuláři pro odeslání. Ve výchozím nastavení se diagnostické protokoly ukládají na adrese C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Řešení problémů s připojením k ochraně sítě (pro zákazníky E5)

Vzhledem k prostředí, ve kterém běží ochrana sítě, microsoft nevidí nastavení proxy serveru operačního systému. V některých případech se klienti ochrany sítě nemůžou připojit ke cloudové službě. Pokud chcete vyřešit problémy s připojením k ochraně sítě, nakonfigurujte jeden z následujících klíčů registru, aby se ochrana sítě dozvěděla o konfiguraci proxy serveru:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---NEBO---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Klíč registru můžete nakonfigurovat pomocí PowerShellu, Microsoft Configuration Manager nebo Zásady skupiny. Tady je několik zdrojů, které vám pomůžou:

• Práce s klíči registru
• Konfigurace vlastního nastavení klienta pro službu Endpoint Protection
• Správa služby Endpoint Protection pomocí nastavení Zásady skupiny

Viz také

• Ochrana sítě
• Ochrana sítě a třícestné metody handshake protokolu TCP
• Vyhodnocení ochrany sítě
• Povolení ochrany sítě
• Řešení falešně pozitivních nebo negativních výsledků v Defenderu for Endpoint

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.