Foretag fejlfinding af netværksbeskyttelse
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
Tip
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Denne artikel indeholder fejlfindingsoplysninger i forbindelse med netværksbeskyttelse, f.eks.:
- Netværksbeskyttelse blokerer et websted, der er sikkert (falsk positivt)
- Netværksbeskyttelse kan ikke blokere et mistænkeligt eller kendt skadeligt websted (falsk negativt)
Der er fire trin til fejlfinding af disse problemer:
- Bekræft forudsætninger
- Brug overvågningstilstand til at teste reglen
- Tilføj udeladelser for den angivne regel (for falske positiver)
- Send supportlogge
Bekræft forudsætninger
Netværksbeskyttelse fungerer på enheder med følgende betingelser:
- Slutpunkter kører Windows 10 Pro eller Enterprise-udgaven, version 1709 eller nyere.
- Slutpunkter bruger Microsoft Defender Antivirus som den eneste antivirusbeskyttelsesapp. Se, hvad der sker, når du bruger en antivirusløsning, der ikke er fra Microsoft.
- Beskyttelse i realtid er aktiveret.
- Overvågning af funktionsmåde er aktiveret.
- Skybaseret beskyttelse er aktiveret.
- Cloud Protection-netværksforbindelsen er funktionel.
- Overvågningstilstand er ikke aktiveret. Brug Gruppepolitik til at angive reglen til Disabled (værdi: 0).
Brug overvågningstilstand
Du kan aktivere netværksbeskyttelse i overvågningstilstand og derefter besøge et websted, der er designet til at demonstrere funktionen. Alle webstedsforbindelser er tilladt af netværksbeskyttelse, men der logføres en hændelse for at angive en forbindelse, der vil blive blokeret, hvis netværksbeskyttelse er aktiveret.
Angiv netværksbeskyttelse til Overvågningstilstand.
Set-MpPreference -EnableNetworkProtection AuditMode
Udfør den forbindelsesaktivitet, der forårsager et problem (f.eks. forsøg at besøge webstedet, eller opret forbindelse til den IP-adresse, du gør eller ikke vil blokere).
Gennemse hændelsesloggene for netværksbeskyttelse for at se, om funktionen ville blokere forbindelsen, hvis den var indstillet til Aktiveret.
Hvis netværksbeskyttelse ikke blokerer en forbindelse, som du forventer, at den skal blokere, skal du aktivere funktionen.
Set-MpPreference -EnableNetworkProtection Enabled
Rapportér en falsk positiv eller falsk negativ
Hvis du har testet funktionen på demowebstedet og med overvågningstilstand, og netværksbeskyttelse arbejder på forudkonfigurerede scenarier, men ikke fungerer som forventet for en bestemt forbindelse, skal du bruge den webbaserede indsendelsesformular til Windows Defender Security Intelligence til at rapportere falsk negativ eller falsk positiv til netværksbeskyttelse. Med et E5-abonnement kan du også angive et link til en tilknyttet besked.
Se Address false positive/negatives in Microsoft Defender for Endpoint.
Tilføj udeladelser
De aktuelle indstillinger for udeladelse er:
Konfiguration af en brugerdefineret tilladelsesindikator.
Bruger IP-udeladelser:
Add-MpPreference -ExclusionIpAddress 192.168.1.1
.Udelader en hel proces. Du kan få flere oplysninger under Microsoft Defender Antivirus-udeladelser.
Problemer med netværksydeevne
I visse tilfælde kan en netværksbeskyttelseskomponent bidrage til langsomme netværksforbindelser til domænecontrollere og/eller Exchange-servere. Du vil måske også bemærke hændelses-id 5783 NETLOGON-fejl.
Hvis du vil forsøge at løse disse problemer, skal du ændre Netværksbeskyttelse fra 'blokeringstilstand' til enten 'overvågningstilstand' eller 'deaktiveret'. Hvis dine netværksproblemer er løst, skal du følge de næste trin for at finde ud af, hvilken komponent i Network Protection der bidrager til funktionsmåden.
Deaktiver følgende komponenter i rækkefølge, og test ydeevnen for netværksforbindelsen efter deaktivering af hver enkelt:
- Deaktiver behandling af datagram på Windows Server
- Deaktiver telemetri for netværksbeskyttelses-perf
- Deaktiver FTP-parsing
- Deaktiver SSH-fortolkning
- Deaktiver RDP-fortolkning
- Deaktiver HTTP-parsing
- Deaktiver SMTP-fortolkning
- Deaktiver DNS via TCP-parsing
- Deaktiver DNS-fortolkning
- Deaktiver filtrering af indgående forbindelser
- Deaktiver TLS-fortolkning
Hvis problemerne med netværkets ydeevne fortsætter efter at have fulgt disse fejlfindingstrin, er de sandsynligvis ikke relateret til netværksbeskyttelse, og du bør søge efter andre årsager til problemer med netværkets ydeevne.
Indsaml diagnosticeringsdata til filindsendelser
Når du rapporterer et problem med netværksbeskyttelse, bliver du bedt om at indsamle og sende diagnosticeringsdata til Microsofts support- og teknikerteams for at hjælpe med fejlfinding af problemer.
Åbn en kommandoprompt med administratorrettigheder, og skift til mappen Windows Defender:
cd c:\program files\windows defender
Kør denne kommando for at generere diagnosticeringslogfilerne:
mpcmdrun -getfiles
Vedhæft filen til afsendelsesformularen. Diagnosticeringslogge gemmes som standard på
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
.
Løs forbindelsesproblemer med netværksbeskyttelse (for E5-kunder)
På grund af det miljø, hvor netværksbeskyttelse kører, kan Microsoft ikke se operativsystemets proxyindstillinger. I nogle tilfælde kan klienter til netværksbeskyttelse ikke oprette forbindelse til cloudtjenesten. Hvis du vil løse forbindelsesproblemer med netværksbeskyttelse, skal du konfigurere en af følgende registreringsdatabasenøgler, så netværksbeskyttelse bliver opmærksom på proxykonfigurationen:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---ELLER---
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
Du kan konfigurere registreringsdatabasenøglen ved hjælp af PowerShell, Microsoft Configuration Manager eller Gruppepolitik. Her er nogle ressourcer, der kan hjælpe:
- Arbejde med registreringsdatabasenøgler
- Konfigurer brugerdefinerede klientindstillinger for Endpoint Protection
- Brug Gruppepolitik indstillinger til at administrere Endpoint Protection
Se også
- Netværksbeskyttelse
- Netværksbeskyttelse og TCP-trevejs-håndtryk
- Evaluer netværksbeskyttelse
- Aktivér netværksbeskyttelse
- Løs falske positiver/negativer i Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.