排查网络保护问题
适用于:
提示
希望体验 Defender for Endpoint? 注册免费试用版。
本文提供有关 网络保护的故障排除信息,例如:
- 网络保护阻止安全 (误报) 的网站
- 网络保护无法阻止可疑或已知的恶意网站 (假负)
排查这些问题有四个步骤:
- 确认先决条件
- 使用审核模式测试规则
- 为误报) 添加指定规则 (排除项
- 提交支持日志
确认先决条件
网络保护仅适用于具有以下条件的设备:
- 终结点运行Windows 10 专业版或 Enterprise 版本 1709 或更高版本。
- 终结点使用 Microsoft Defender 防病毒作为唯一的防病毒保护应用。 查看使用非 Microsoft 防病毒解决方案时会发生什么情况。
- 已启用实时保护。
- 已启用云提供的保护。
- 审核模式未启用。 使用 组策略 将规则设置为 Disabled (值:0) 。
使用审核模式
可以在审核模式下启用网络保护,然后访问我们创建的网站来演示该功能。 网络保护将允许所有网站连接,但会记录一个事件,以指示在启用网络保护时会阻止的任何连接。
将网络保护设置为 “审核模式”。
Set-MpPreference -EnableNetworkProtection AuditMode执行导致问题的连接活动, (例如,尝试访问站点,或连接到要阻止或不想阻止) 的 IP 地址。
查看网络保护事件日志 ,了解如果该功能已设置为 “已启用”,则是否阻止了连接。
如果网络保护未阻止预期应阻止的连接,请启用该功能。
Set-MpPreference -EnableNetworkProtection Enabled
报告误报或误报
如果已使用演示站点和审核模式测试了该功能,并且网络保护正在预配置的方案中工作,但对于特定连接,请使用Windows Defender安全智能 Web 提交表单报告网络保护的误报或误报。 使用 E5 订阅,还可以 提供指向任何关联警报的链接。
请参阅在 Microsoft Defender for Endpoint 中解决误报/负数。
添加排除项
当前排除选项包括:
- 设置自定义允许指示器。
- 使用 IP 排除项:
Add-MpPreference -ExclusionIpAddress 192.168.1.1 - 排除整个进程。 有关详细信息,请参阅Microsoft Defender防病毒排除项。
收集文件提交的诊断数据
当你报告网络保护问题时,系统会要求你收集并提交诊断数据,Microsoft 支持和工程团队可以使用这些数据来帮助解决问题。
打开提升的命令提示符并切换到 Windows Defender 目录:
cd c:\program files\windows defender运行以下命令以生成诊断日志:
mpcmdrun -getfiles将文件附加到提交表单。 默认情况下,诊断日志保存在 。
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
解决 E5 客户的网络保护 (连接问题)
由于运行网络保护的环境,Microsoft 无法看到你的操作系统代理设置。 在某些情况下,网络保护客户端无法访问云服务。 若要解决网络保护的连接问题,请配置以下注册表项之一,使网络保护能够感知代理配置:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---或---
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
可以使用 PowerShell、Microsoft Configuration Manager 或 组策略 配置注册表项。 下面是一些可提供帮助的资源: