Solucionar problemas de proteção de rede

Aplica-se a:

• Microsoft Defender XDR
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas
• Plano 1 do Microsoft Defender para Ponto de Extremidade

Dica

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Este artigo fornece informações de solução de problemas para proteção de rede, em casos como:

• A proteção de rede bloqueia um site seguro (falso positivo)
• A proteção de rede falha ao bloquear um site mal-intencionado suspeito ou conhecido (falso negativo)

Há quatro etapas para solucionar esses problemas:

1. Confirmar pré-requisitos
2. Usar o modo de auditoria para testar a regra
3. Adicionar exclusões para a regra especificada (para falsos positivos)
4. Enviar logs de suporte

Confirmar pré-requisitos

A proteção de rede funciona em dispositivos com as seguintes condições:

• Os pontos de extremidade estão executando Windows 10 Pro ou enterprise edition, versão 1709 ou superior.

• Os pontos de extremidade estão usando Microsoft Defender Antivírus como o único aplicativo de proteção antivírus. Veja o que acontece quando você estiver usando uma solução antivírus não Microsoft.
• A proteção em tempo real está habilitada.
• O Monitoramento de Comportamento está habilitado.
• A proteção fornecida pela nuvem está habilitada.
• A conectividade de rede do Cloud Protection é funcional.
• O modo de auditoria não está habilitado. Use Política de Grupo para definir a regra como Desabilitada (valor: 0).

Usar o modo de auditoria

Você pode habilitar a proteção de rede no modo de auditoria e, em seguida, visitar um site projetado para demo o recurso. Todas as conexões de site são permitidas pela proteção de rede, mas um evento é registrado para indicar qualquer conexão que seria bloqueada se a proteção de rede estivesse habilitada.

1. Defina a proteção de rede como modo de auditoria.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Execute a atividade de conexão que está causando um problema (por exemplo, tente visitar o site ou conecte-se ao endereço IP que você faz ou não deseja bloquear).

3. Examine os logs de eventos de proteção de rede para ver se o recurso bloquearia a conexão se ela fosse definida como Habilitada.

   Se a proteção de rede não estiver bloqueando uma conexão que você espera que ela seja bloqueada, habilite o recurso.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Relatar um falso positivo ou falso negativo

Se você testou o recurso com o site de demonstração e com o modo de auditoria, e a proteção de rede está funcionando em cenários pré-configurados, mas não está funcionando conforme o esperado para uma conexão específica, use o formulário de envio baseado na Web do Windows Defender Security Intelligence para relatar um falso negativo ou falso positivo para proteção de rede. Com uma assinatura E5, você também pode fornecer um link para qualquer alerta associado.

Consulte Endereçar falsos positivos/negativos no Microsoft Defender para Ponto de Extremidade.

Adicionar exclusões

As opções de exclusão atuais são:

1. Configurando um indicador de permissão personalizado.

2. Usando exclusões de IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. Excluindo um processo inteiro. Para obter mais informações, consulte Microsoft Defender exclusões antivírus.

Problemas de desempenho de rede

Em determinadas circunstâncias, um componente de proteções de rede pode contribuir para reduzir as conexões de rede com controladores de domínio e/ou servidores exchange. Você também pode notar erros de NETLOGON da ID do Evento 5783.

Para tentar resolver esses problemas, altere a Proteção de Rede de "modo de bloco" para "modo de auditoria" ou "desabilitado". Se os problemas de rede forem corrigidos, siga as próximas etapas para descobrir qual componente na Proteção de Rede está contribuindo para o comportamento.

Desabilite os seguintes componentes em ordem e teste o desempenho da conectividade de rede depois de desabilitar cada um deles:

1. Desabilitar o processamento de datagram no Windows Server
2. Desabilitar a Telemetria Perf de Proteção de Rede
3. Desabilitar a análise ftp
4. Desabilitar a análise do SSH
5. Desabilitar a análise de RDP
6. Desabilitar a análise HTTP
7. Desabilitar a análise SMTP
8. Desabilitar o DNS na análise de TCP
9. Desabilitar a análise de DNS
10. Desabilitar a filtragem de conexão de entrada
11. Desabilitar a análise do TLS

Se seus problemas de desempenho de rede persistirem após seguir estas etapas de solução de problemas, eles provavelmente não estão relacionados à proteção de rede e você deve procurar outras causas de seus problemas de desempenho de rede.

Coletar dados de diagnóstico para envios de arquivos

Quando você relata um problema com a proteção de rede, você é solicitado a coletar e enviar dados de diagnóstico para equipes de suporte e engenharia da Microsoft para ajudar a solucionar problemas.

1. Abra um prompt de comando elevado e altere para o diretório Windows Defender:

   cd c:\program files\windows defender
   

2. Execute este comando para gerar os logs de diagnóstico:

   mpcmdrun -getfiles
   

3. Anexar o arquivo ao formulário de envio. Por padrão, os logs de diagnóstico são salvos em C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Resolver problemas de conectividade com a proteção de rede (para clientes E5)

Devido ao ambiente em que a proteção de rede é executada, a Microsoft não consegue ver as configurações de proxy do sistema operacional. Em alguns casos, os clientes de proteção de rede não conseguem acessar o serviço de nuvem. Para resolve problemas de conectividade com a proteção de rede, configure uma das seguintes chaves de registro para que a proteção de rede fique ciente da configuração do proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---OU---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Você pode configurar a chave do registro usando o PowerShell, Microsoft Configuration Manager ou Política de Grupo. Aqui estão alguns recursos para ajudar:

• Trabalhando com chaves de registro
• Definir configurações personalizadas do cliente para o Endpoint Protection
• Usar Política de Grupo configurações para gerenciar a Proteção de Ponto de Extremidade

Confira também

• Proteção de rede
• Proteção de rede e o aperto de mão de três vias TCP
• Avaliar a proteção de rede
• Habilitar a proteção de rede
• Abordar falsos positivos/negativos no Defender para Ponto de Extremidade

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.