Problembehandlung beim Netzwerkschutz

  • Artikel

Gilt für:

Tipp

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Dieser Artikel enthält Informationen zur Problembehandlung für den Netzwerkschutz in Folgenden Fällen:

  • Netzwerkschutz blockiert eine website, die sicher ist (falsch positiv)
  • Netzwerkschutz blockiert keine verdächtige oder bekannte schädliche Website (falsch negativ)

Es gibt vier Schritte, um diese Probleme zu beheben:

  1. Bestätigen der Voraussetzungen
  2. Verwenden des Überwachungsmodus zum Testen der Regel
  3. Hinzufügen von Ausschlüssen für die angegebene Regel (für falsch positive Ergebnisse)
  4. Übermitteln von Supportprotokollen

Bestätigen der Voraussetzungen

Der Netzwerkschutz funktioniert auf Geräten mit den folgenden Bedingungen:

  • Endpunkte werden Windows 10 Pro oder Enterprise Edition, Version 1709 oder höher, ausgeführt.

Verwenden des Überwachungsmodus

Sie können den Netzwerkschutz im Überwachungsmodus aktivieren und dann eine Website besuchen, die das Feature vorführen soll. Alle Websiteverbindungen sind durch den Netzwerkschutz zulässig, aber ein Ereignis wird protokolliert, um jede Verbindung anzugeben, die blockiert würde, wenn der Netzwerkschutz aktiviert wäre.

  1. Legen Sie den Netzwerkschutz auf Überwachungsmodus fest.

    Set-MpPreference -EnableNetworkProtection AuditMode

  2. Führen Sie die Verbindungsaktivität aus, die ein Problem verursacht (z. B. versuchen Sie, die Website zu besuchen oder eine Verbindung mit der IP-Adresse herzustellen, die Sie tun oder nicht blockieren möchten).

  3. Überprüfen Sie die Netzwerkschutzereignisprotokolle , um festzustellen, ob das Feature die Verbindung blockieren würde, wenn sie auf Aktiviert festgelegt wäre.

    Wenn der Netzwerkschutz keine Verbindung blockiert, die sie voraussichtlich blockieren sollte, aktivieren Sie das Feature.

    Set-MpPreference -EnableNetworkProtection Enabled

Melden eines falsch positiven oder falsch negativen Werts

Wenn Sie das Feature mit der Demowebsite und dem Überwachungsmodus getestet haben und der Netzwerkschutz in vorkonfigurierten Szenarien funktioniert, aber für eine bestimmte Verbindung nicht wie erwartet funktioniert, verwenden Sie das webbasierte Übermittlungsformular für Windows Defender Security Intelligence, um ein falsch negatives oder falsch positives Ergebnis für den Netzwerkschutz zu melden. Mit einem E5-Abonnement können Sie auch einen Link zu jeder zugehörigen Warnung bereitstellen.

Weitere Informationen finden Sie unter Behandeln falsch positiver/negativer Ergebnisse in Microsoft Defender for Endpoint.

Hinzufügen von Ausschlüssen

Die aktuellen Ausschlussoptionen sind:

  1. Einrichten eines benutzerdefinierten Zulassungsindikators.

  2. Verwenden von IP-Ausschlüssen: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Ausschließen eines gesamten Prozesses. Weitere Informationen finden Sie unter Microsoft Defender Antivirusausschlüsse.

Probleme mit der Netzwerkleistung

Unter bestimmten Umständen kann eine Netzwerkschutzkomponente zu langsamen Netzwerkverbindungen mit Domänencontrollern und/oder Exchange-Servern beitragen. Möglicherweise bemerken Sie auch Fehler bei der Ereignis-ID 5783 NETLOGON.

Um zu versuchen, diese Probleme zu beheben, ändern Sie den Netzwerkschutz von "Blockmodus" in "Überwachungsmodus" oder "deaktiviert". Wenn Ihre Netzwerkprobleme behoben sind, führen Sie die nächsten Schritte aus, um herauszufinden, welche Komponente im Netzwerkschutz zum Verhalten beiträgt.

Deaktivieren Sie die folgenden Komponenten in der richtigen Reihenfolge, und testen Sie die Netzwerkkonnektivität, nachdem Sie diese deaktiviert haben:

  1. Deaktivieren der Datagrammverarbeitung unter Windows Server
  2. Deaktivieren der Netzwerkschutz-Leistungstelemetrie
  3. Deaktivieren der FTP-Analyse
  4. Deaktivieren der SSH-Analyse
  5. Deaktivieren der RDP-Analyse
  6. Deaktivieren der HTTP-Analyse
  7. Deaktivieren der SMTP-Analyse
  8. Deaktivieren der DNS-analyse über TCP
  9. Deaktivieren der DNS-Analyse
  10. Deaktivieren der Filterung eingehender Verbindungen
  11. Deaktivieren der TLS-Analyse

Wenn Ihre Netzwerkleistungsprobleme nach dem Ausführen dieser Schritte zur Problembehandlung weiterhin bestehen, stehen sie wahrscheinlich nicht im Zusammenhang mit dem Netzwerkschutz, und Sie sollten nach anderen Ursachen für Ihre Netzwerkleistungsprobleme suchen.

Sammeln von Diagnosedaten für Dateiübermittlungen

Wenn Sie ein Problem mit dem Netzwerkschutz melden, werden Sie aufgefordert, Diagnosedaten für Microsoft-Support- und -Entwicklungsteams zu sammeln und zu übermitteln, um Probleme zu beheben.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und wechseln Sie zum Verzeichnis Windows Defender:

    cd c:\program files\windows defender

  2. Führen Sie den folgenden Befehl aus, um die Diagnoseprotokolle zu generieren:

    mpcmdrun -getfiles

  3. Fügen Sie die Datei an das Übermittlungsformular an. Diagnoseprotokolle werden standardmäßig unter C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabgespeichert.

Beheben von Konnektivitätsproblemen mit dem Netzwerkschutz (für E5-Kunden)

Aufgrund der Umgebung, in der der Netzwerkschutz ausgeführt wird, kann Microsoft die Proxyeinstellungen Ihres Betriebssystems nicht sehen. In einigen Fällen können Netzwerkschutzclients den Clouddienst nicht erreichen. Um Konnektivitätsprobleme mit dem Netzwerkschutz zu beheben, konfigurieren Sie einen der folgenden Registrierungsschlüssel, damit der Netzwerkschutz die Proxykonfiguration erkennt:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---ODER---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Sie können den Registrierungsschlüssel mithilfe von PowerShell, Microsoft Configuration Manager oder Gruppenrichtlinie konfigurieren. Hier sind einige Hilfreiche Ressourcen:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.