Udostępnij za pośrednictwem


Rozwiązywanie problemów z ochroną sieci

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera informacje dotyczące rozwiązywania problemów z ochroną sieci, na przykład:

  • Ochrona sieci blokuje bezpieczną witrynę internetową (fałszywie dodatnią)
  • Ochrona sieci nie blokuje podejrzanej lub znanej złośliwej witryny internetowej (fałszywie negatywnej)

Aby rozwiązać te problemy, należy wykonać cztery kroki:

  1. Potwierdzanie wymagań wstępnych
  2. Testowanie reguły przy użyciu trybu inspekcji
  3. Dodawanie wykluczeń dla określonej reguły (dla wyników fałszywie dodatnich)
  4. Przesyłanie dzienników pomocy technicznej

Potwierdzanie wymagań wstępnych

Ochrona sieci działa na urządzeniach z następującymi warunkami:

  • Punkty końcowe są uruchomione w wersji Windows 10 Pro lub Enterprise w wersji 1709 lub nowszej.

Korzystanie z trybu inspekcji

Możesz włączyć ochronę sieci w trybie inspekcji, a następnie odwiedzić witrynę internetową przeznaczoną do demonstrowania tej funkcji. Wszystkie połączenia witryny sieci Web są dozwolone przez ochronę sieci, ale zdarzenie jest rejestrowane, aby wskazać jakiekolwiek połączenie, które zostałoby zablokowane, gdyby włączono ochronę sieci.

  1. Ustaw ochronę sieci na tryb inspekcji.

    Set-MpPreference -EnableNetworkProtection AuditMode
    
  2. Wykonaj działanie połączenia, które powoduje problem (na przykład spróbuj odwiedzić witrynę lub połączyć się z adresem IP, który wykonujesz lub nie chcesz blokować).

  3. Przejrzyj dzienniki zdarzeń ochrony sieci, aby sprawdzić, czy funkcja zablokuje połączenie, jeśli zostanie ustawione na wartość Włączone.

    Jeśli ochrona sieci nie blokuje połączenia, które powinno zostać zablokowane, włącz tę funkcję.

    Set-MpPreference -EnableNetworkProtection Enabled
    

Zgłoś wynik fałszywie dodatni lub fałszywie ujemny

Jeśli funkcja została przetestowana w lokacji demonstracyjnej i w trybie inspekcji, a ochrona sieci działa w wstępnie skonfigurowanych scenariuszach, ale nie działa zgodnie z oczekiwaniami dla określonego połączenia, użyj formularza przesyłania opartego na sieci Web analizy zabezpieczeń Windows Defender, aby zgłosić fałszywie ujemny lub fałszywie dodatni dla ochrony sieci. W ramach subskrypcji E5 możesz również podać link do dowolnego skojarzonego alertu.

Zobacz Address false positives/negatives in Ochrona punktu końcowego w usłudze Microsoft Defender (Adresowanie fałszywych alarmów/negatywów w Ochrona punktu końcowego w usłudze Microsoft Defender).

Dodawanie wykluczeń

Bieżące opcje wykluczeń to:

  1. Konfigurowanie niestandardowego wskaźnika zezwalania.

  2. Używanie wykluczeń adresów IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Z wyłączeniem całego procesu. Aby uzyskać więcej informacji, zobacz Microsoft Defender Wykluczenia programu antywirusowego.

Problemy z wydajnością sieci

W pewnych okolicznościach składnik ochrony sieci może przyczynić się do spowolnienia połączeń sieciowych z kontrolerami domeny i/lub serwerami programu Exchange. Można również zauważyć błędy netlogonu o identyfikatorze zdarzenia 5783.

Aby spróbować rozwiązać te problemy, zmień opcję Ochrona sieci z "tryb bloku" na "tryb inspekcji" lub "wyłączony". Jeśli problemy z siecią zostaną rozwiązane, wykonaj następne kroki, aby dowiedzieć się, który składnik w usłudze Network Protection przyczynia się do zachowania.

Wyłącz następujące składniki w kolejności i przetestuj wydajność łączności sieciowej po wyłączeniu każdego z nich:

  1. Wyłączanie przetwarzania datagramów w systemie Windows Server
  2. Wyłączanie telemetrii perf ochrony sieci
  3. Wyłączanie analizy FTP
  4. Wyłączanie analizowania SSH
  5. Wyłączanie analizowania protokołu RDP
  6. Wyłączanie analizy HTTP
  7. Wyłączanie analizowania SMTP
  8. Wyłączanie analizowania protokołu DNS za pośrednictwem protokołu TCP
  9. Wyłączanie analizowania DNS
  10. Wyłączanie filtrowania połączeń przychodzących
  11. Wyłączanie analizowania protokołu TLS

Jeśli problemy z wydajnością sieci będą się powtarzać po wykonaniu tych kroków rozwiązywania problemów, prawdopodobnie nie są one związane z ochroną sieci i należy poszukać innych przyczyn problemów z wydajnością sieci.

Zbieranie danych diagnostycznych na potrzeby przesyłania plików

Po zgłoszeniu problemu z ochroną sieci zostanie wyświetlony monit o zebranie i przesłanie danych diagnostycznych dla zespołów pomocy technicznej i inżynierów firmy Microsoft w celu ułatwienia rozwiązywania problemów.

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i przejdź do katalogu Windows Defender:

    cd c:\program files\windows defender
    
  2. Uruchom to polecenie, aby wygenerować dzienniki diagnostyczne:

    mpcmdrun -getfiles
    
  3. Dołącz plik do formularza przesyłania. Domyślnie dzienniki diagnostyczne są zapisywane pod adresem C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Rozwiązywanie problemów z łącznością z ochroną sieci (dla klientów E5)

Ze względu na środowisko, w którym działa ochrona sieci, firma Microsoft nie może wyświetlić ustawień serwera proxy systemu operacyjnego. W niektórych przypadkach klienci ochrony sieci nie mogą uzyskać dostępu do usługi w chmurze. Aby rozwiązać problemy z łącznością związane z ochroną sieci, skonfiguruj jeden z następujących kluczy rejestru, aby ochrona sieci była świadoma konfiguracji serwera proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---LUB---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Klucz rejestru można skonfigurować przy użyciu programu PowerShell, Microsoft Configuration Manager lub zasady grupy. Oto kilka zasobów, które pomogą:

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.