Verkon suojauksen vianmääritys

  • Artikkeli

Koskee seuraavia:

Vihje

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tässä artikkelissa on verkon suojauksen vianmääritystietoja esimerkiksi seuraavissa tapauksissa:

  • Verkon suojaus estää turvallisen sivuston (epätosi positiivinen)
  • Verkon suojaus ei estä epäilyttävää tai tunnettua haitallista verkkosivustoa (epätosi negatiivinen)

Näiden ongelmien vianmääritykseen on neljä vaihetta:

  1. Edellytysten vahvistaminen
  2. Käytä valvontatilaa säännön testaamiseen
  3. Lisää määritetylle säännölle poissulkemisia (false-positiivisille)
  4. Tukilokien lähettäminen

Edellytysten vahvistaminen

Verkon suojaus toimii laitteissa, joissa on seuraavat ehdot:

  • Päätepisteet ovat käynnissä Windows 10 Pro- tai Enterprise-versiossa, versiossa 1709 tai uudemmissa versioissa.

Valvontatilan käyttäminen

Voit ottaa verkon suojauksen käyttöön valvontatilassa ja käydä sitten ominaisuuden esittelyä varten suunnitellulla verkkosivustolla. Verkkosuojaus sallii kaikki sivustoyhteydet, mutta tapahtuma kirjataan osoittamaan, että yhteys estetään, jos verkkosuojaus otetaan käyttöön.

  1. Määritä verkon suojaus valvontatilaan.

    Set-MpPreference -EnableNetworkProtection AuditMode

  2. Suorita ongelman aiheuttava yhteysaktiviteetti (esimerkiksi yritä käydä sivustossa tai muodosta yhteys IP-osoitteeseen, jonka teet tai jota et halua estää).

  3. Tarkista verkon suojauksen tapahtumalokeista , estääkö ominaisuus yhteyden, jos sen asetuksena on Käytössä.

    Jos verkon suojaus ei estä yhteyttä, jonka odotat sen estävän, ota ominaisuus käyttöön.

    Set-MpPreference -EnableNetworkProtection Enabled

Ilmoita negatiivinen epätosi tai epätosi

Jos olet testannut ominaisuuden esittelysivustossa ja valvontatilassa, ja verkon suojaus toimii ennalta määritetyissä skenaarioissa, mutta ei toimi odotetulla tavalla tietylle yhteydelle, käytä Windows Defender Suojaustiedot -verkkopohjaista lähetyslomaketta ilmoittaaksesi verkon suojauksesta negatiivisen tai epätosi-positiivisen. E5-tilauksella voit myös antaa linkin mihin tahansa liittyvään ilmoitukseen.

Lisätietoja on Microsoft Defender for Endpoint kohdassa Address false positives/negatives.

Lisää poissulkemisia

Nykyiset poissulkemisasetukset ovat seuraavat:

  1. Mukautetun sallimisilmaisimen määrittäminen.

  2. Ip-poikkeukset: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Koko prosessia lukuun ottamatta. Lisätietoja on artikkelissa Microsoft Defender virustentorjunnan poikkeukset.

Verkon suorituskykyongelmat

Tietyissä tilanteissa verkonsuojausosa saattaa hidastaa verkkoyhteyksiä toimialueen ohjauskoneisiin ja/tai Exchange-palvelimiin. Saatat myös huomata tapahtuman tunnuksen 5783 NETLOGON-virheitä.

Voit yrittää ratkaista nämä ongelmat vaihtamalla verkkosuojauksen block-tilasta joko valvontatilaan tai disabled-tilaan. Jos verkko-ongelmasi on korjattu, seuraa seuraavia vaiheita selvittääksesi, mikä verkon suojauksen osa vaikuttaa toimintaan. 

Poista seuraavat osat käytöstä järjestyksessä ja testaa verkkoyhteyden suorituskykyä sen jälkeen, kun ne on poistettu käytöstä:

  1. Poista datagrammin käsittely käytöstä Windows Serverissä
  2. Poista verkon suojauksen suorituskykytelemetria käytöstä
  3. Poista FTP-jäsennys käytöstä
  4. Poista SSH-jäsennys käytöstä
  5. Poista RDP-jäsennys käytöstä
  6. Poista HTTP-jäsennys käytöstä
  7. Poista SMTP-jäsennys käytöstä
  8. DNS:n poistaminen käytöstä TCP-jäsennysten kautta
  9. POISTA DNS-jäsennys käytöstä
  10. Poista saapuvan yhteyden suodatus käytöstä
  11. Poista TLS-jäsennys käytöstä

Jos verkon suorituskykyongelmat jatkuvat näiden vianmääritysvaiheiden jälkeen, ne eivät todennäköisesti liity verkon suojaukseen, ja sinun kannattaa etsiä muita verkon suorituskykyongelmien syitä.

Tiedostojen lähettämisen diagnostiikkatietojen kerääminen

Kun ilmoitat verkon suojausongelmasta, sinua pyydetään keräämään ja lähettämään diagnostiikkatietoja Microsoftin tuki- ja suunnittelutiimeille ongelmien vianmäärityksen helpottamiseksi.

  1. Avaa järjestelmänvalvojan oikeesti korostettu komentokehote ja muuta Windows Defender hakemistoon:

    cd c:\program files\windows defender

  2. Luo diagnostiikkalokit suorittamalla tämä komento:

    mpcmdrun -getfiles

  3. Liitä tiedosto lähetyslomakkeeseen. Diagnostiikkalokit tallennetaan oletusarvoisesti kohteeseen C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Verkkosuojaukseen liittyvien yhteysongelmien ratkaiseminen (E5-asiakkaille)

Verkon suojauksen käyttöympäristön vuoksi Microsoft ei näe käyttöjärjestelmän välityspalvelimen asetuksia. Joissakin tapauksissa verkkosuojausasiakkaat eivät pääse pilvipalveluun. Voit ratkaista verkkosuojaukseen liittyviä yhteysongelmia määrittämällä jonkin seuraavista rekisteriavaimista, jotta verkon suojaus tulee tietoiseksi välityspalvelimen määrityksistä:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---TAI---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Voit määrittää rekisteriavaimen käyttämällä PowerShelliä, Microsoft Configuration Manager tai ryhmäkäytäntö. Seuraavassa on joitakin apuresursseja:

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.