Solución de problemas de protección de red

Se aplica a:

• Microsoft Defender XDR
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender para Empresas
• Microsoft Defender para punto de conexión Plan 1

Sugerencia

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

En este artículo se proporciona información de solución de problemas para la protección de red, en casos como:

• Protección de red bloquea un sitio web seguro (falso positivo)
• La protección de red no puede bloquear un sitio web malintencionado sospechoso o conocido (falso negativo)

Hay cuatro pasos para solucionar estos problemas:

1. Confirmación de los requisitos previos
2. Uso del modo de auditoría para probar la regla
3. Agregar exclusiones para la regla especificada (para falsos positivos)
4. Envío de registros de soporte técnico

Confirmación de los requisitos previos

La protección de red funciona en dispositivos con las condiciones siguientes:

• Los puntos de conexión ejecutan Windows 10 Pro o enterprise edition, versión 1709 o posterior.

• Los puntos de conexión usan Microsoft Defender Antivirus como única aplicación de protección antivirus. Vea lo que sucede cuando se usa una solución antivirus que no es de Microsoft.
• La protección en tiempo real está habilitada.
• La supervisión del comportamiento está habilitada.
• La protección entregada en la nube está habilitada.
• La conectividad de red de Cloud Protection es funcional.
• El modo de auditoría no está habilitado. Use directiva de grupo para establecer la regla en Deshabilitado (valor: 0).

Usar modo de auditoría

Puede habilitar la protección de red en modo de auditoría y, a continuación, visitar un sitio web diseñado para probar la característica. La protección de red permite todas las conexiones del sitio web, pero se registra un evento para indicar cualquier conexión que se bloquearía si se habilitase la protección de red.

1. Establezca protección de red en Modo de auditoría.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Realice la actividad de conexión que está causando un problema (por ejemplo, intentar visitar el sitio o conectarse a la dirección IP que realiza o no quiere bloquear).

3. Revise los registros de eventos de protección de red para ver si la característica bloquearía la conexión si se estableciera en Habilitado.

   Si la protección de red no bloquea una conexión que espera que se bloquee, habilite la característica.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Notificar un falso positivo o un falso negativo

Si ha probado la característica con el sitio de demostración y con el modo de auditoría, y la protección de red funciona en escenarios preconfigurados, pero no funciona según lo esperado para una conexión específica, use el formulario de envío basado en web de Windows Defender Security Intelligence para notificar un falso positivo o falso positivo para la protección de red. Con una suscripción A5, también puede proporcionar un vínculo a cualquier alerta asociada.

Consulte Dirección de falsos positivos o negativos en Microsoft Defender para punto de conexión.

Agregar exclusiones

Las opciones de exclusión actuales son:

1. Configuración de un indicador de permiso personalizado.

2. Uso de exclusiones de IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. Excluir todo un proceso. Para obtener más información, consulte Microsoft Defender Exclusiones de Antivirus.

Problemas de rendimiento de red

En determinadas circunstancias, un componente de protección de red puede contribuir a que las conexiones de red lentas a controladores de dominio o servidores de Exchange. También puede observar errores de NETLOGON del identificador de evento 5783.

Para intentar solucionar estos problemas, cambie Protección de red de "modo de bloque" a "modo de auditoría" o "deshabilitado". Si se han corregido los problemas de red, siga los pasos siguientes para averiguar qué componente de Protección de red contribuye al comportamiento.

Deshabilite los siguientes componentes en orden y pruebe el rendimiento de conectividad de red después de deshabilitar cada uno de ellos:

1. Deshabilitar el procesamiento de datagramas en Windows Server
2. Deshabilitar la telemetría de rendimiento de protección de red
3. Deshabilitación del análisis de FTP
4. Deshabilitación del análisis de SSH
5. Deshabilitación del análisis de RDP
6. Deshabilitar el análisis HTTP
7. Deshabilitar el análisis SMTP
8. Deshabilitación del análisis de DNS a través de TCP
9. Deshabilitación del análisis de DNS
10. Deshabilitar el filtrado de conexiones entrantes
11. Deshabilitación del análisis de TLS

Si los problemas de rendimiento de la red persisten después de seguir estos pasos de solución de problemas, probablemente no estén relacionados con la protección de red y debe buscar otras causas de los problemas de rendimiento de la red.

Recopilación de datos de diagnóstico para envíos de archivos

Cuando informe de un problema con la protección de red, se le pedirá que recopile y envíe datos de diagnóstico para los equipos de soporte técnico e ingeniería de Microsoft para ayudar a solucionar problemas.

1. Abra un símbolo del sistema con privilegios elevados y cambie al directorio Windows Defender:

   cd c:\program files\windows defender
   

2. Ejecute este comando para generar los registros de diagnóstico:

   mpcmdrun -getfiles
   

3. Adjunte el archivo al formulario de envío. De forma predeterminada, los registros de diagnóstico se guardan en C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Resolución de problemas de conectividad con la protección de red (para clientes de E5)

Debido al entorno donde se ejecuta la protección de red, Microsoft no puede ver la configuración del proxy del sistema operativo. En algunos casos, los clientes de protección de red no pueden acceder al servicio en la nube. Para resolver problemas de conectividad con la protección de red, configure una de las siguientes claves del Registro para que la protección de red tenga en cuenta la configuración del proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---O---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Puede configurar la clave del Registro mediante PowerShell, Microsoft Configuration Manager o directiva de grupo. Estos son algunos recursos que le ayudarán:

• Trabajar con claves del Registro
• Configurar opciones de cliente personalizadas para Endpoint Protection
• Uso de directiva de grupo configuración para administrar Endpoint Protection

Consulte también

• Protección de red
• Protección de red y protocolo de enlace de tres vías TCP
• Evaluar protección de red
• Habilitación de la protección de red
• Dirección de falsos positivos o negativos en Defender para punto de conexión

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.