Rozwiązywanie problemów z ochroną sieci

Dotyczy:

Porada

Chcesz poznać usługę Defender for Endpoint? Utwórz konto bezpłatnej wersji próbnej.

Ten artykuł zawiera informacje dotyczące rozwiązywania problemów z ochroną sieci, na przykład:

  • Ochrona sieci blokuje bezpieczną witrynę internetową (fałszywie dodatnią)
  • Ochrona sieci nie blokuje podejrzanej lub znanej złośliwej witryny internetowej (fałszywie negatywnej)

Aby rozwiązać te problemy, należy wykonać cztery kroki:

  1. Potwierdzanie wymagań wstępnych
  2. Testowanie reguły przy użyciu trybu inspekcji
  3. Dodawanie wykluczeń dla określonej reguły (dla wyników fałszywie dodatnich)
  4. Przesyłanie dzienników pomocy technicznej

Potwierdzanie wymagań wstępnych

Ochrona sieci będzie działać tylko na urządzeniach z następującymi warunkami:

Korzystanie z trybu inspekcji

Możesz włączyć ochronę sieci w trybie inspekcji, a następnie odwiedzić witrynę internetową utworzoną w celu zaprezentowania tej funkcji. Wszystkie połączenia z witryną internetową będą dozwolone przez ochronę sieci, ale zostanie zarejestrowane zdarzenie wskazujące każde połączenie, które zostałoby zablokowane, gdyby włączono ochronę sieci.

  1. Ustaw ochronę sieci na tryb inspekcji.

    Set-MpPreference -EnableNetworkProtection AuditMode
    
  2. Wykonaj działanie połączenia, które powoduje problem (na przykład spróbuj odwiedzić witrynę lub połączyć się z adresem IP, który wykonujesz lub nie chcesz blokować).

  3. Przejrzyj dzienniki zdarzeń ochrony sieci, aby sprawdzić, czy funkcja zablokowałaby połączenie, gdyby została ustawiona na wartość Włączone.

    Jeśli ochrona sieci nie blokuje połączenia, które powinno zostać zablokowane, włącz tę funkcję.

    Set-MpPreference -EnableNetworkProtection Enabled
    

Zgłoś wynik fałszywie dodatni lub fałszywie ujemny

Jeśli funkcja została przetestowana w lokacji demonstracyjnej i w trybie inspekcji, a ochrona sieci działa wstępnie skonfigurowanych scenariuszach, ale nie działa zgodnie z oczekiwaniami dla określonego połączenia, użyj formularza przesyłania opartego na sieci Web analizy zabezpieczeń Windows Defender, aby zgłosić fałszywie ujemny lub fałszywie dodatni dla ochrony sieci. Za pomocą subskrypcji E5 możesz również podać link do dowolnego skojarzonego alertu.

Zobacz Address false positives/negatives in Ochrona punktu końcowego w usłudze Microsoft Defender (Adresowanie fałszywych alarmów/negatywów w Ochrona punktu końcowego w usłudze Microsoft Defender).

Dodawanie wykluczeń

Bieżące opcje wykluczeń to:

  1. Konfigurowanie niestandardowego wskaźnika zezwalania.
  2. Korzystanie z wykluczeń adresów IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1
  3. Z wyłączeniem całego procesu. Aby uzyskać więcej informacji, zobacz Program antywirusowy Microsoft Defender wykluczenia.

Zbieranie danych diagnostycznych na potrzeby przesyłania plików

Po zgłoszeniu problemu z ochroną sieci zostanie wyświetlony monit o zebranie i przesłanie danych diagnostycznych, które mogą być używane przez zespoły pomocy technicznej i inżynieryjnej firmy Microsoft w celu ułatwienia rozwiązywania problemów.

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i przejdź do katalogu Windows Defender:

    cd c:\program files\windows defender
    
  2. Uruchom to polecenie, aby wygenerować dzienniki diagnostyczne:

    mpcmdrun -getfiles
    
  3. Dołącz plik do formularza przesyłania. Domyślnie dzienniki diagnostyczne są zapisywane pod adresem C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Rozwiązywanie problemów z łącznością z ochroną sieci (dla klientów E5)

Ze względu na środowisko, w którym działa ochrona sieci, firma Microsoft nie może wyświetlić ustawień serwera proxy systemu operacyjnego. W niektórych przypadkach klienci ochrony sieci nie mogą uzyskać dostępu do usługi w chmurze. Aby rozwiązać problemy z łącznością związane z ochroną sieci, skonfiguruj jeden z następujących kluczy rejestru, aby ochrona sieci była świadoma konfiguracji serwera proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---OR---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Klucz rejestru można skonfigurować przy użyciu programu PowerShell, Microsoft Endpoint Manager lub zasady grupy. Oto kilka zasobów, które pomogą:

Zobacz też