Del via

Foretag fejlfinding af netværksbeskyttelse

  • Artikel

Gælder for:

Tip

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Denne artikel indeholder fejlfindingsoplysninger i forbindelse med netværksbeskyttelse, f.eks.:

  • Netværksbeskyttelse blokerer et websted, der er sikkert (falsk positivt)
  • Netværksbeskyttelse kan ikke blokere et mistænkeligt eller kendt skadeligt websted (falsk negativt)

Der er fire trin til fejlfinding af disse problemer:

  1. Bekræft forudsætninger
  2. Brug overvågningstilstand til at teste reglen
  3. Tilføj udeladelser for den angivne regel (for falske positiver)
  4. Send supportlogge

Bekræft forudsætninger

Netværksbeskyttelse fungerer på enheder med følgende betingelser:

  • Slutpunkter kører Windows 10 Pro eller Enterprise-udgaven, version 1709 eller nyere.

Brug overvågningstilstand

Du kan aktivere netværksbeskyttelse i overvågningstilstand og derefter besøge et websted, der er designet til at demonstrere funktionen. Alle webstedsforbindelser er tilladt af netværksbeskyttelse, men der logføres en hændelse for at angive en forbindelse, der vil blive blokeret, hvis netværksbeskyttelse er aktiveret.

  1. Angiv netværksbeskyttelse til Overvågningstilstand.

    Set-MpPreference -EnableNetworkProtection AuditMode

  2. Udfør den forbindelsesaktivitet, der forårsager et problem (f.eks. forsøg at besøge webstedet, eller opret forbindelse til den IP-adresse, du gør eller ikke vil blokere).

  3. Gennemse hændelsesloggene for netværksbeskyttelse for at se, om funktionen ville blokere forbindelsen, hvis den var indstillet til Aktiveret.

    Hvis netværksbeskyttelse ikke blokerer en forbindelse, som du forventer, at den skal blokere, skal du aktivere funktionen.

    Set-MpPreference -EnableNetworkProtection Enabled

Rapportér en falsk positiv eller falsk negativ

Hvis du har testet funktionen på demowebstedet og med overvågningstilstand, og netværksbeskyttelse arbejder på forudkonfigurerede scenarier, men ikke fungerer som forventet for en bestemt forbindelse, skal du bruge den webbaserede indsendelsesformular til Windows Defender Security Intelligence til at rapportere falsk negativ eller falsk positiv til netværksbeskyttelse. Med et E5-abonnement kan du også angive et link til en tilknyttet besked.

Se Address false positive/negatives in Microsoft Defender for Endpoint.

Tilføj udeladelser

De aktuelle indstillinger for udeladelse er:

  1. Konfiguration af en brugerdefineret tilladelsesindikator.

  2. Bruger IP-udeladelser: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Udelader en hel proces. Du kan få flere oplysninger under Microsoft Defender Antivirus-udeladelser.

Problemer med netværksydeevne

I visse tilfælde kan en netværksbeskyttelseskomponent bidrage til langsomme netværksforbindelser til domænecontrollere og/eller Exchange-servere. Du vil måske også bemærke hændelses-id 5783 NETLOGON-fejl.

Hvis du vil forsøge at løse disse problemer, skal du ændre Netværksbeskyttelse fra 'blokeringstilstand' til enten 'overvågningstilstand' eller 'deaktiveret'. Hvis dine netværksproblemer er løst, skal du følge de næste trin for at finde ud af, hvilken komponent i Network Protection der bidrager til funktionsmåden.

Deaktiver følgende komponenter i rækkefølge, og test ydeevnen for netværksforbindelsen efter deaktivering af hver enkelt:

  1. Deaktiver behandling af datagram på Windows Server
  2. Deaktiver telemetri for netværksbeskyttelses-perf
  3. Deaktiver FTP-parsing
  4. Deaktiver SSH-fortolkning
  5. Deaktiver RDP-fortolkning
  6. Deaktiver HTTP-parsing
  7. Deaktiver SMTP-fortolkning
  8. Deaktiver DNS via TCP-parsing
  9. Deaktiver DNS-fortolkning
  10. Deaktiver filtrering af indgående forbindelser
  11. Deaktiver TLS-fortolkning

Hvis problemerne med netværkets ydeevne fortsætter efter at have fulgt disse fejlfindingstrin, er de sandsynligvis ikke relateret til netværksbeskyttelse, og du bør søge efter andre årsager til problemer med netværkets ydeevne.

Indsaml diagnosticeringsdata til filindsendelser

Når du rapporterer et problem med netværksbeskyttelse, bliver du bedt om at indsamle og sende diagnosticeringsdata til Microsofts support- og teknikerteams for at hjælpe med fejlfinding af problemer.

  1. Åbn en kommandoprompt med administratorrettigheder, og skift til mappen Windows Defender:

    cd c:\program files\windows defender

  2. Kør denne kommando for at generere diagnosticeringslogfilerne:

    mpcmdrun -getfiles

  3. Vedhæft filen til afsendelsesformularen. Diagnosticeringslogge gemmes som standard på C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Løs forbindelsesproblemer med netværksbeskyttelse (for E5-kunder)

På grund af det miljø, hvor netværksbeskyttelse kører, kan Microsoft ikke se operativsystemets proxyindstillinger. I nogle tilfælde kan klienter til netværksbeskyttelse ikke oprette forbindelse til cloudtjenesten. Hvis du vil løse forbindelsesproblemer med netværksbeskyttelse, skal du konfigurere en af følgende registreringsdatabasenøgler, så netværksbeskyttelse bliver opmærksom på proxykonfigurationen:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---ELLER---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Du kan konfigurere registreringsdatabasenøglen ved hjælp af PowerShell, Microsoft Configuration Manager eller Gruppepolitik. Her er nogle ressourcer, der kan hjælpe:

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.