פתרון בעיות בהגנת רשת

חל על:

• Microsoft Defender XDR
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business
• Microsoft Defender עבור תוכנית 1 של נקודת קצה

עצה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מאמר זה מספק מידע לפתרון בעיות עבור הגנה על הרשת, במקרים כגון:

• הגנה על רשת חוסמת אתר אינטרנט בטוח (חיובי באופן מוטעה)
• הגנה ברשת נכשלת בחסימת אתר אינטרנט זדוני חשוד או מוכר (שלילי כוזבת)

קיימים ארבעה שלבים לפתרון בעיות אלה:

1. אשר דרישות מוקדמות
2. שימוש במצב ביקורת כדי לבדוק את הכלל
3. הוספת אי-הכללות עבור הכלל שצוין (עבור תוצאות חיוביות מוטעות)
4. שלח יומני תמיכה

אשר דרישות מוקדמות

הגנת רשת פועלת במכשירים עם התנאים הבאים:

• נקודות קצה פועלות בגירסה Windows 10 Pro Enterprise, גירסה 1709 ואילך.

• נקודות קצה משתמשות ב- Microsoft Defender האנטי-וירוס כיישום היחיד להגנה על אנטי-וירוס. ראה מה קורה כאשר אתה משתמש בפתרון אנטי-וירוס שאינו של Microsoft.
• הגנה בזמן אמת זמינה.
• ניטור אופן פעולה זמין.
• הגנה מבוססת ענן זמינה.
• קישוריות הרשת להגנה על הענן מתפקדת.
• מצב ביקורת אינו זמין. השתמש מדיניות קבוצתית כדי להגדיר את הכלל כלא זמין (ערך: 0).

שימוש במצב ביקורת

באפשרותך להפוך את הגנת הרשת לזמינה במצב ביקורת ולאחר מכן לבקר באתר אינטרנט המיועד להדגמת התכונה. כל החיבורים לאתרי אינטרנט מותרים על-ידי הגנה על הרשת, אך נרשם אירוע כדי לציין כל חיבור שיחסום אם הגנת הרשת הופעלה.

1. הגדר את ההגנה על הרשת למצב ביקורת.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. בצע את פעילות החיבור הגורמת לבעיה (לדוגמה, נסה לבקר באתר או התחבר לכתובת ה- IP שאתה מבצע או שאינך מעוניין לחסום).

3. סקור את יומני האירועים של הגנת הרשת כדי לראות אם התכונה תחסום את החיבור אם היא הוגדרה כזמינה.

   אם הגנה ברשת אינה חוסמת חיבור שאתה מצפה שהוא יחסם, הפוך את התכונה לזמינה.

   Set-MpPreference -EnableNetworkProtection Enabled
   

דיווח על תוצאה חיובית מוטעית או שלילית מוטעית

אם בדקת את התכונה עם אתר ההדגמה ובמצב ביקורת, והגנת רשת פועלת בתרחישים מוגדרים מראש, אך אינה פועלת כצפוי עבור חיבור ספציפי, השתמש בטופס השליחה מבוסס האינטרנט של בינת האבטחה של Windows Defender כדי לדווח על תוצאה שלילית מוטעית או חיובית מוטעית עבור הגנה על הרשת. עם מנוי E5, באפשרותך גם לספק קישור לכל התראה משויכת.

ראה כתובת לתוצאה חיובית/שליליות מוטעות Microsoft Defender עבור נקודת קצה.

הוספת פריטים שאינם נכללים

אפשרויות ההכללה הנוכחיות הן:

1. הגדרת מחוון התרה מותאם אישית.

2. שימוש בפריטים שאינם נכללים ב- IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. לא כולל תהליך שלם. לקבלת מידע נוסף, ראה אי-הכללות Microsoft Defender אנטי-וירוס.

בעיות בביצועי הרשת

בנסיבות מסוימות, רכיב הגנות רשת עשוי לתרום להאטת חיבורי רשת לבקרי תחום ו/או לשרתי Exchange. ייתכן שתבחין גם בשגיאות NETLOGON של מזהה אירוע 5783.

כדי לנסות לפתור בעיות אלה, שנה את הגנת הרשת מ'מצב חסימה' למצב ביקורת או 'לא זמין'. אם בעיות הרשת שלך נפתרו, בצע את השלבים הבאים כדי לגלות איזה רכיב בהגנה על הרשת תורם לאו אופן הפעולה.

הפוך את הרכיבים הבאים ללא זמינים כדי לבדוק את ביצועי קישוריות הרשת שלך לאחר הפיכת כל אחד מהם ללא זמין:

1. הפוך עיבוד של גרם נתונים ללא זמין ב- Windows Server
2. הפיכת מדידת שימוש של Perf של הגנת רשת ללא זמינה
3. הפוך ניתוח FTP ללא זמין
4. הפוך ניתוח SSH ללא זמין
5. הפיכת ניתוח RDP ללא זמין
6. הפיכת ניתוח HTTP ללא זמין
7. הפוך ניתוח SMTP ללא זמין
8. הפיכת DNS ללא זמין באמצעות ניתוח TCP
9. הפיכת ניתוח DNS ללא זמין
10. הפוך סינון חיבורים נכנסים ללא זמין
11. הפוך ניתוח TLS ללא זמין

אם בעיות ביצועי הרשת שלך נמשכות לאחר ביצוע שלבי פתרון בעיות אלה, סביר להניח שהן אינן קשורות להגנה על הרשת ועל עליך לחפש גורמים אחרים לבעיות בביצועי הרשת שלך.

איסוף נתוני אבחון עבור שליחת קבצים

כאשר אתה מדווח על בעיה בהגנת רשת, אתה מתבקש לאסוף ולשלוח נתוני אבחון עבור צוותי התמיכה וההנדסה של Microsoft כדי לעזור בפתרון בעיות.

1. פתח שורת פקודה עם הרשאות מלאות ושנה Windows Defender הכתובות:

   cd c:\program files\windows defender
   

2. הפעל פקודה זו כדי ליצור את יומני האבחון:

   mpcmdrun -getfiles
   

3. צרף את הקובץ לטופס ההגשה. כברירת מחדל, יומני אבחון נשמרים ב- C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

פתרון בעיות קישוריות עם הגנת רשת (עבור לקוחות E5)

בשל הסביבה שבה פועלת הגנת רשת, ל- Microsoft אין אפשרות לראות את הגדרות ה- Proxy של מערכת ההפעלה שלך. במקרים מסוימים, לקוחות הגנת הרשת אינם יכולים להגיע לשירות הענן. כדי לפתור בעיות קישוריות בהגנה על הרשת, קבע את התצורה של אחד ממפתחות הרישום הבאים כך שהגנת הרשת תהיה מודעת לתצורת ה- Proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---או---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

באפשרותך להגדיר את מפתח הרישום באמצעות PowerShell, Microsoft Configuration Manager או מדיניות קבוצתית. להלן כמה משאבים שיעזרו לך:

• עבודה עם מפתחות רישום
• קביעת תצורה של הגדרות לקוח מותאמות אישית עבור Endpoint Protection
• שימוש מדיניות קבוצתית ניהול הגנת נקודות קצה

למידע נוסף

• הגנה על הרשת
• הגנת רשת ול לחיצת יד תלת-כיוונית של TCP
• הערכת הגנת רשת
• הפוך הגנת רשת לזמינה
• טופלו תוצאות חיוביות/שליליות מוטעות ב- Defender for Endpoint

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.