Risolvere i problemi di protezione di rete

  • Articolo

Si applica a:

Consiglio

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Questo articolo fornisce informazioni sulla risoluzione dei problemi per la protezione della rete, in casi come:

  • La protezione di rete blocca un sito Web sicuro (falso positivo)
  • La protezione di rete non riesce a bloccare un sito Web dannoso sospetto o noto (falso negativo)

Per risolvere questi problemi sono disponibili quattro passaggi:

  1. Confermare i prerequisiti
  2. Usare la modalità di controllo per testare la regola
  3. Aggiungere esclusioni per la regola specificata (per i falsi positivi)
  4. Inviare i log di supporto

Confermare i prerequisiti

La protezione di rete funziona nei dispositivi con le condizioni seguenti:

  • Gli endpoint eseguono Windows 10 Pro o Enterprise Edition, versione 1709 o successiva.

Usare la modalità di controllo

È possibile abilitare la protezione di rete in modalità di controllo e quindi visitare un sito Web progettato per demo della funzionalità. Tutte le connessioni ai siti Web sono consentite dalla protezione di rete, ma viene registrato un evento per indicare qualsiasi connessione che verrebbe bloccata se la protezione di rete fosse abilitata.

  1. Impostare protezione di rete su Modalità di controllo.

    Set-MpPreference -EnableNetworkProtection AuditMode

  2. Eseguire l'attività di connessione che causa un problema( ad esempio, tentare di visitare il sito o connettersi all'indirizzo IP che si esegue o non si vuole bloccare).

  3. Esaminare i log eventi di protezione della rete per verificare se la funzionalità bloccherebbe la connessione se fosse impostata su Abilitato.

    Se la protezione di rete non blocca una connessione che si prevede venga bloccata, abilitare la funzionalità.

    Set-MpPreference -EnableNetworkProtection Enabled

Segnalare un falso positivo o un falso negativo

Se la funzionalità è stata testata con il sito demo e la modalità di controllo e la protezione di rete funziona in scenari preconfigurati, ma non funziona come previsto per una connessione specifica, usare il modulo di invio basato sul Web di Windows Defender Security Intelligence per segnalare un falso negativo o un falso positivo per la protezione della rete. Con una sottoscrizione E5, è anche possibile fornire un collegamento a qualsiasi avviso associato.

Vedere Indirizzo falsi positivi/negativi in Microsoft Defender per endpoint.

Aggiungere esclusioni

Le opzioni di esclusione correnti sono:

  1. Configurazione di un indicatore di autorizzazione personalizzato.

  2. Uso delle esclusioni IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Esclusione di un intero processo. Per altre informazioni, vedere Microsoft Defender Esclusioni antivirus.

Problemi di prestazioni di rete

In determinate circostanze, un componente di protezione della rete potrebbe contribuire a rallentare le connessioni di rete ai controller di dominio e/o ai server Exchange. È anche possibile notare errori di ID evento 5783 NETLOGON.

Per tentare di risolvere questi problemi, modificare Protezione di rete da 'modalità blocco' a 'modalità di controllo' o 'disabilitato'. Se i problemi di rete sono stati risolti, seguire i passaggi successivi per scoprire quale componente in Protezione di rete contribuisce al comportamento. 

Disabilitare i componenti seguenti nell'ordine e testare le prestazioni di connettività di rete dopo aver disabilitato ognuno di essi:

  1. Disabilitare l'elaborazione dei datagrammi in Windows Server
  2. Disabilitare i dati di telemetria delle prestazioni di Protezione rete
  3. Disabilitare l'analisi FTP
  4. Disabilitare l'analisi SSH
  5. Disabilitare l'analisi RDP
  6. Disabilitare l'analisi HTTP
  7. Disabilitare l'analisi SMTP
  8. Disabilitare l'analisi DNS su TCP
  9. Disabilitare l'analisi DNS
  10. Disabilitare il filtro delle connessioni in ingresso
  11. Disabilitare l'analisi TLS

Se i problemi di prestazioni della rete persistono dopo aver seguito questi passaggi di risoluzione dei problemi, probabilmente non sono correlati alla protezione della rete ed è consigliabile cercare altre cause dei problemi di prestazioni della rete.

Raccogliere dati di diagnostica per gli invii di file

Quando si segnala un problema con la protezione di rete, viene chiesto di raccogliere e inviare dati di diagnostica per il supporto Tecnico Microsoft e i team di progettazione per risolvere i problemi.

  1. Aprire un prompt dei comandi con privilegi elevati e passare alla directory Windows Defender:

    cd c:\program files\windows defender

  2. Eseguire questo comando per generare i log di diagnostica:

    mpcmdrun -getfiles

  3. Allegare il file al modulo di invio. Per impostazione predefinita, i log di diagnostica vengono salvati in C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Risolvere i problemi di connettività con la protezione di rete (per i clienti E5)

A causa dell'ambiente in cui viene eseguita la protezione di rete, Microsoft non è in grado di visualizzare le impostazioni proxy del sistema operativo. In alcuni casi, i client di protezione di rete non riescono a raggiungere il servizio cloud. Per risolvere i problemi di connettività con la protezione di rete, configurare una delle chiavi del Registro di sistema seguenti in modo che la protezione di rete venga a conoscenza della configurazione del proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---O---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

È possibile configurare la chiave del Registro di sistema usando PowerShell, Microsoft Configuration Manager o Criteri di gruppo. Ecco alcune risorse utili:

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.