針對網路保護進行疑難解答

適用於：

• Microsoft Defender XDR
• 適用於端點的 Microsoft Defender 方案 2
• 適用於企業的 Microsoft Defender
• 適用於端點的 Microsoft Defender 方案 1

提示

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本文提供 網路保護的疑難解答資訊，例如：

• 網路保護會封鎖安全 (誤判) 的網站
• 網路保護無法封鎖可疑或已知的惡意網站， (誤判)

針對這些問題進行疑難解答有四個步驟：

1. 確認必要條件
2. 使用稽核模式來測試規則
3. 針對誤判為真 (新增指定規則)
4. 提交支持記錄

確認必要條件

網路保護可在具有下列條件的裝置上運作：

• 端點執行 Windows 10 專業版 或 Enterprise 版本 1709 或更新版本。

• 端點使用 Microsoft Defender 防病毒軟體作為唯一的防病毒軟體保護應用程式。 查看使用非 Microsoft 防病毒軟體解決方案時會發生什麼情況。
• 已啟用即時保護。
• 已啟用行為監視。
• 已啟用雲端式保護。
• 雲端保護網路連線能力 正常運作。
• 未啟用稽核模式。 使用 群組原則 將規則設定為 [已停用 (值：0) 。

使用稽核模式

您可以在稽核模式中啟用網路保護，然後造訪專為示範功能而設計的網站。 網路保護允許所有網站連線，但會記錄事件，以指出啟用網路保護時會封鎖的任何連線。

1. 將網路保護設定為 稽核模式。

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. 執行導致問題 (的連線活動，例如，嘗試造訪網站，或聯機到您執行或不想封鎖) 的IP位址。

3. 檢閱網路保護事件記錄 檔，以查看此功能在設定為 [ 已啟用] 時是否會封鎖連線。

   如果網路保護未封鎖您預期應該封鎖的連線，請啟用此功能。

   Set-MpPreference -EnableNetworkProtection Enabled
   

回報誤判或誤判

如果您已使用示範網站和稽核模式測試此功能，且網路保護正在預先設定的案例上運作，但未如預期般在特定連線中運作，請使用 Windows Defender Security Intelligence Web 型提交表單來報告網路保護的誤判或誤判。 透過 E5 訂用帳戶，您也可以 提供任何相關聯警示的連結。

請參閱解決 適用於端點的 Microsoft Defender 中的誤判/負面。

新增排除項目

目前的排除選項包括：

1. 設定自訂允許指標。

2. 使用IP排除專案： Add-MpPreference -ExclusionIpAddress 192.168.1.1。

3. 排除整個程式。 如需詳細資訊，請參閱 Microsoft Defender 防病毒軟體排除專案。

網路效能問題

在某些情況下，網路保護元件可能會導致域控制器和/或 Exchange 伺服器的網路連線速度變慢。 您可能也會注意到事件識別碼 5783 NETLOGON 錯誤。

若要嘗試解決這些問題，請將網路保護從「封鎖模式」變更為「稽核模式」或「已停用」。 如果您的網路問題已修正，請遵循下一個步驟來找出網路保護中哪個元件會造成行為。

停用下列元件，然後在停用每個元件之後，依序測試您的網路連線效能：

1. 停用 Windows Server 上的數據報處理
2. 停用網路保護效能遙測
3. 停用 FTP 剖析
4. 停用 SSH 剖析
5. 停用 RDP 剖析
6. 停用 HTTP 剖析
7. 停用 SMTP 剖析
8. 停用透過 TCP 剖析的 DNS
9. 停用 DNS 剖析
10. 停用輸入連線篩選
11. 停用 TLS 剖析

如果您的網路效能問題在遵循這些疑難解答步驟之後持續發生，則可能與網路保護無關，您應該尋找網路效能問題的其他原因。

收集檔案提交的診斷數據

當您回報網路保護的問題時，系統會要求您收集並提交 Microsoft 支援和工程小組的診斷數據，以協助針對問題進行疑難解答。

1. 開啟提升權限的命令提示字元，並變更為 Windows Defender 目錄：

   cd c:\program files\windows defender
   

2. 執行此指令以產生診斷記錄：

   mpcmdrun -getfiles
   

3. 將檔案附加至提交表單。 根據預設，診斷記錄會儲存在 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab。

解決 E5 客戶的網路保護 (連線問題)

由於執行網路保護的環境，Microsoft 無法查看您的作業系統 Proxy 設定。 在某些情況下，網路保護用戶端無法連線到雲端服務。 若要解決網路保護的連線問題，請設定下列其中一個登錄機碼，讓網路保護能夠感知 Proxy 設定：

Set-MpPreference -ProxyServer <proxy IP address: Port>

---或---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

您可以使用 PowerShell、Microsoft Configuration Manager 或 群組原則 來設定登錄機碼。 以下是一些可協助的資源：

• 使用登錄機碼
• 設定 Endpoint Protection 的自訂用戶端設定
• 使用 群組原則 設定來管理 Endpoint Protection

另請參閱

• 網路保護
• 網路保護和 TCP 三向交握
• 評估網路保護
• 啟用網路保護
• 解決適用於端點的Defender中的誤判/負面

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。