Del via

Feilsøk nettverksbeskyttelse

  • Artikkel

Gjelder for:

Tips

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Denne artikkelen inneholder feilsøkingsinformasjon for nettverksbeskyttelse, i tilfeller som:

  • Nettverksbeskyttelse blokkerer et nettsted som er trygt (falskt positivt)
  • Nettverksbeskyttelse blokkerer ikke et mistenkelig eller kjent ondsinnet nettsted (usann negativt)

Det er fire trinn for å feilsøke disse problemene:

  1. Bekreft forutsetninger
  2. Bruke overvåkingsmodus til å teste regelen
  3. Legg til utelatelser for den angitte regelen (for falske positiver)
  4. Send inn støttelogger

Bekreft forutsetninger

Nettverksbeskyttelse fungerer på enheter med følgende betingelser:

  • Endepunkter kjører Windows 10 Pro eller Enterprise-versjonen, versjon 1709 eller nyere.

Bruk overvåkingsmodus

Du kan aktivere nettverksbeskyttelse i overvåkingsmodus og deretter gå til et nettsted som er utformet for å demonstrere funksjonen. Alle nettstedstilkoblinger tillates av nettverksbeskyttelse, men en hendelse logges for å angi hvilken som helst tilkobling som ville blitt blokkert hvis nettverksbeskyttelse ble aktivert.

  1. Sett nettverksbeskyttelsen til overvåkingsmodus.

    Set-MpPreference -EnableNetworkProtection AuditMode

  2. Utfør tilkoblingsaktiviteten som forårsaker et problem (for eksempel prøve å besøke nettstedet, eller koble til IP-adressen du gjør eller ikke vil blokkere).

  3. Se gjennom hendelsesloggene for nettverksbeskyttelse for å se om funksjonen ville blokkere tilkoblingen hvis den ble satt til Aktivert.

    Hvis nettverksbeskyttelse ikke blokkerer en tilkobling som du forventer at den skal blokkere, aktiverer du funksjonen.

    Set-MpPreference -EnableNetworkProtection Enabled

Rapportere en falsk positiv eller usann negativ

Hvis du har testet funksjonen med demonstrasjonsnettstedet og med overvåkingsmodus, og nettverksbeskyttelsen arbeider med forhåndskonfigurerte scenarier, men ikke fungerer som forventet for en bestemt tilkobling, kan du bruke det nettbaserte innsendingsskjemaet Windows Defender Security Intelligence til å rapportere en falsk negativ eller falsk positiv for nettverksbeskyttelse. Med et E5-abonnement kan du også gi en kobling til alle tilknyttede varsler.

Se Adresse for falske positiver/negativer i Microsoft Defender for endepunkt.

Legg til utelatelser

De gjeldende alternativene for utelukkelse er:

  1. Konfigurere en egendefinert tillat-indikator.

  2. Bruk av IP-utelatelser: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Utelate en hel prosess. Hvis du vil ha mer informasjon, kan du se Microsoft Defender Antivirus-utelatelser.

Problemer med nettverksytelse

I visse tilfeller kan en komponent for nettverksbeskyttelse bidra til langsomme nettverkstilkoblinger til domenekontrollere og/eller Exchange-servere. Du vil kanskje også legge merke til hendelses-ID 5783 NETLOGON-feil.

Hvis du vil prøve å løse disse problemene, endrer du Nettverksbeskyttelse fra «blokkmodus» til enten «overvåkingsmodus» eller «deaktivert». Hvis nettverksproblemene er løst, følger du de neste trinnene for å finne ut hvilken komponent i Nettverksbeskyttelse som bidrar til virkemåten.

Deaktiver følgende komponenter i rekkefølge, og test nettverkstilkoblingsytelsen etter deaktivering av hver av dem:

  1. Deaktiver datagrambehandling på Windows Server
  2. Deaktiver Perf-telemetri for nettverksbeskyttelse
  3. Deaktiver FTP-analyse
  4. Deaktiver SSH-analyse
  5. Deaktiver RDP-analyse
  6. Deaktiver HTTP-analyse
  7. Deaktiver SMTP-analyse
  8. Deaktiver DNS over TCP-analyse
  9. Deaktiver DNS-analyse
  10. Deaktiver inngående tilkoblingsfiltrering
  11. Deaktiver TLS-analyse

Hvis nettverksytelsesproblemene vedvarer etter at du har fulgt disse feilsøkingstrinnene, er de sannsynligvis ikke relatert til nettverksbeskyttelse, og du bør se etter andre årsaker til problemer med nettverksytelsen.

Samle inn diagnosedata for filinnsendinger

Når du rapporterer et problem med nettverksbeskyttelse, blir du bedt om å samle inn og sende inn diagnosedata for Microsofts støtte- og ingeniørteam for å feilsøke problemer.

  1. Åpne en hevet ledetekst og endre til Windows Defender-katalogen:

    cd c:\program files\windows defender

  2. Kjør denne kommandoen for å generere diagnoseloggene:

    mpcmdrun -getfiles

  3. Legg ved filen i innsendingsskjemaet. Diagnoselogger lagres som standard på C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Løs tilkoblingsproblemer med nettverksbeskyttelse (for E5-kunder)

På grunn av miljøet der nettverksbeskyttelsen kjører, kan ikke Microsoft se proxy-innstillingene for operativsystemet. I noen tilfeller kan ikke klienter for nettverksbeskyttelse nå skytjenesten. Hvis du vil løse tilkoblingsproblemer med nettverksbeskyttelse, konfigurerer du én av følgende registernøkler slik at nettverksbeskyttelsen blir oppmerksom på proxy-konfigurasjonen:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---ELLER---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Du kan konfigurere registernøkkelen ved hjelp av PowerShell, Microsoft Configuration Manager eller gruppepolicy. Her er noen ressurser som kan hjelpe:

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.