Řešení potíží s ochranou sítě

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft 365 Defender

Tip

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tento článek obsahuje informace o řešení potíží s ochranou sítě v těchto případech:

• Ochrana sítě blokuje bezpečný web (falešně pozitivní).
• Ochrana sítě nedokáže blokovat podezřelý nebo známý škodlivý web (falešně negativní)

Při řešení těchto problémů je potřeba provést čtyři kroky:

1. Potvrzení požadavků
2. Použití režimu auditování k otestování pravidla
3. Přidání vyloučení pro zadané pravidlo (pro falešně pozitivní výsledky)
4. Odeslání protokolů podpory

Potvrzení požadavků

Ochrana sítě bude fungovat jenom na zařízeních s následujícími podmínkami:

• Koncové body používají edici Windows 10 Pro nebo Enterprise verze 1709 nebo vyšší.
• Koncové body používají Microsoft Defender Antivirus jako jedinou antivirovou ochranu. Podívejte se, co se stane, když používáte antivirové řešení jiného než Microsoftu.
• Je povolená ochrana v reálném čase .
• Je povolená cloudová ochrana .
• Režim auditování není povolený. Pomocí Zásady skupiny nastavte pravidlo na Zakázáno (hodnota: 0).

Použití režimu auditování

Můžete povolit ochranu sítě v režimu auditování a pak navštívit web, který jsme vytvořili, abychom si tuto funkci mohli předvést. Ochrana sítě povolí všechna připojení k webu, ale zaprotokoluje se událost označující všechna připojení, která by byla blokovaná, pokud by byla povolena ochrana sítě.

1. Nastavte ochranu sítě na režim auditování.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Proveďte aktivitu připojení, která způsobuje problém (například pokus o návštěvu webu nebo připojení k IP adrese, kterou děláte nebo nechcete blokovat).

3. Zkontrolujte protokoly událostí ochrany sítě a zjistěte, jestli by funkce neblokovala připojení, pokud by byla nastavená na Povoleno.

   Pokud ochrana sítě neblokuje připojení, u kterého očekáváte, že by mělo blokovat, povolte tuto funkci.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Nahlásit falešně pozitivní nebo falešně negativní

Pokud jste funkci otestovali na ukázkovém webu a v režimu auditování a ochrana sítě pracuje v předem nakonfigurovaných scénářích, ale nefunguje podle očekávání pro konkrétní připojení, použijte formulář pro odeslání na webu Windows Defender Security Intelligence a nahlaste falešně negativní nebo falešně pozitivní zprávu o ochraně sítě. S předplatným E5 můžete také poskytnout odkaz na všechna přidružená upozornění.

Viz Řešení falešně pozitivních/negativních výsledků v Microsoft Defender for Endpoint.

Přidání vyloučení

Aktuální možnosti vyloučení jsou:

1. Nastavení vlastního indikátoru povolení
2. Použití vyloučení IP adres: Add-MpPreference -ExclusionIpAddress 192.168.1.1
3. Vyloučení celého procesu Další informace najdete v tématu Microsoft Defender Vyloučení antivirové ochrany.

Shromažďování diagnostických dat pro odesílání souborů

Když nahlásíte problém s ochranou sítě, budete požádáni o shromáždění a odeslání diagnostických dat, která můžou týmy podpory a technických týmů Microsoftu použít k řešení problémů.

1. Otevřete příkazový řádek se zvýšenými oprávněními a přejděte do adresáře Windows Defender:

   cd c:\program files\windows defender
   

2. Spuštěním tohoto příkazu vygenerujte diagnostické protokoly:

   mpcmdrun -getfiles
   

3. Připojte soubor k formuláři pro odeslání. Ve výchozím nastavení se diagnostické protokoly ukládají na adrese C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Řešení problémů s připojením k ochraně sítě (pro zákazníky E5)

Vzhledem k prostředí, ve kterém běží ochrana sítě, microsoft nevidí nastavení proxy serveru operačního systému. V některých případech se klienti ochrany sítě nemůžou připojit ke cloudové službě. Pokud chcete vyřešit problémy s připojením k ochraně sítě, nakonfigurujte jeden z následujících klíčů registru, aby se ochrana sítě dozvěděla o konfiguraci proxy serveru:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---NEBO---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Klíč registru můžete nakonfigurovat pomocí PowerShellu, Microsoft Configuration Manager nebo Zásady skupiny. Tady je několik zdrojů, které vám pomůžou:

• Práce s klíči registru
• Konfigurace vlastního nastavení klienta pro službu Endpoint Protection
• Správa služby Endpoint Protection pomocí nastavení Zásady skupiny

Viz také

• Ochrana sítě
• Ochrana sítě a třícestné metody handshake protokolu TCP
• Vyhodnocení ochrany sítě
• Povolení ochrany sítě
• Řešení falešně pozitivních nebo negativních výsledků v Defenderu for Endpoint

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.