Solución de problemas de protección de red

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft 365 Defender

Sugerencia

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se proporciona información de solución de problemas para la protección de red, en casos como:

• Protección de red bloquea un sitio web seguro (falso positivo)
• La protección de red no puede bloquear un sitio web malintencionado sospechoso o conocido (falso negativo)

Hay cuatro pasos para solucionar estos problemas:

1. Confirmación de los requisitos previos
2. Uso del modo de auditoría para probar la regla
3. Agregar exclusiones para la regla especificada (para falsos positivos)
4. Envío de registros de soporte técnico

Confirmación de los requisitos previos

La protección de red solo funcionará en dispositivos con las condiciones siguientes:

• Los puntos de conexión ejecutan Windows 10 Pro o enterprise edition, versión 1709 o posterior.
• Los puntos de conexión usan Microsoft Defender Antivirus como única aplicación de protección antivirus. Vea lo que sucede cuando se usa una solución antivirus que no es de Microsoft.
• La protección en tiempo real está habilitada.
• La protección entregada en la nube está habilitada.
• El modo de auditoría no está habilitado. Use directiva de grupo para establecer la regla en Deshabilitado (valor: 0).

Usar modo de auditoría

Puede habilitar la protección de red en modo de auditoría y, a continuación, visitar un sitio web que hemos creado para probar la característica. La protección de red permitirá todas las conexiones del sitio web, pero se registrará un evento para indicar cualquier conexión que se hubiera bloqueado si se habilitase la protección de red.

1. Establezca protección de red en Modo de auditoría.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Realice la actividad de conexión que está causando un problema (por ejemplo, intentar visitar el sitio o conectarse a la dirección IP que realiza o no quiere bloquear).

3. Revise los registros de eventos de protección de red para ver si la característica habría bloqueado la conexión si se hubiera establecido en Habilitado.

   Si la protección de red no bloquea una conexión que espera que se bloquee, habilite la característica.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Notificar un falso positivo o un falso negativo

Si ha probado la característica con el sitio de demostración y con el modo de auditoría, y la protección de red funciona en escenarios preconfigurados, pero no funciona según lo esperado para una conexión específica, use el formulario de envío basado en web de Inteligencia de seguridad de Windows Defender para notificar un falso positivo o falso positivo para la protección de red. Con una suscripción A5, también puede proporcionar un vínculo a cualquier alerta asociada.

Consulte Dirección de falsos positivos o negativos en Microsoft Defender para punto de conexión.

Agregar exclusiones

Las opciones de exclusión actuales son:

1. Configuración de un indicador de permiso personalizado.
2. Uso de exclusiones de IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1
3. Excluir todo un proceso. Para obtener más información, consulte Microsoft Defender Exclusiones de Antivirus.

Recopilación de datos de diagnóstico para envíos de archivos

Cuando informe de un problema con la protección de red, se le pedirá que recopile y envíe datos de diagnóstico que puedan usar los equipos de ingeniería y soporte técnico de Microsoft para ayudar a solucionar problemas.

1. Abra un símbolo del sistema con privilegios elevados y cambie al directorio de Windows Defender:

   cd c:\program files\windows defender
   

2. Ejecute este comando para generar los registros de diagnóstico:

   mpcmdrun -getfiles
   

3. Adjunte el archivo al formulario de envío. De forma predeterminada, los registros de diagnóstico se guardan en C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Resolución de problemas de conectividad con la protección de red (para clientes de E5)

Debido al entorno donde se ejecuta la protección de red, Microsoft no puede ver la configuración del proxy del sistema operativo. En algunos casos, los clientes de protección de red no pueden acceder al servicio en la nube. Para resolver problemas de conectividad con la protección de red, configure una de las siguientes claves del Registro para que la protección de red tenga en cuenta la configuración del proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---O---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Puede configurar la clave del Registro mediante PowerShell, Microsoft Configuration Manager o directiva de grupo. Estos son algunos recursos que le ayudarán:

• Trabajar con claves del Registro
• Configurar opciones de cliente personalizadas para Endpoint Protection
• Uso de directiva de grupo configuración para administrar Endpoint Protection

Vea también

• Protección de red
• Protección de red y protocolo de enlace de tres vías TCP
• Evaluar protección de red
• Habilitación de la protección de red
• Dirección de falsos positivos o negativos en Defender para punto de conexión

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.