Устранение неполадок с защитой сети

  • Статья

Область применения:

Совет

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

В этой статье содержатся сведения об устранении неполадок для защиты сети в таких случаях, как:

  • Защита сети блокирует безопасный веб-сайт (ложноположительный результат)
  • Защита сети не блокирует подозрительный или известный вредоносный веб-сайт (ложноотрицательный)

Для устранения этих проблем необходимо выполнить четыре действия.

  1. Подтверждение предварительных требований
  2. Использование режима аудита для тестирования правила
  3. Добавление исключений для указанного правила (для ложноположительных результатов)
  4. Отправка журналов поддержки

Подтверждение предварительных требований

Защита сети работает на устройствах со следующими условиями:

  • Конечные точки работают Windows 10 Pro или Выпуск Enterprise версии 1709 или более поздней.

Использовать режим аудита

Вы можете включить защиту сети в режиме аудита, а затем посетить веб-сайт, предназначенный для демонстрации этой функции. Все подключения к веб-сайту разрешены защитой сети, но регистрируется событие, указывающее на любое подключение, которое будет заблокировано, если бы была включена защита сети.

  1. Задайте для защиты сети режим аудита.

    Set-MpPreference -EnableNetworkProtection AuditMode

  2. Выполните действие подключения, которое вызывает проблему (например, попытка посетить сайт или подключиться к IP-адресу, который вы делаете или не хотите блокировать).

  3. Просмотрите журналы событий защиты сети , чтобы узнать, будет ли функция блокировать подключение, если для него задано значение Включено.

    Если защита сети не блокирует подключение, которое должно блокироваться, включите эту функцию.

    Set-MpPreference -EnableNetworkProtection Enabled

Сообщить о ложноположительных или ложноотрицательных результатах

Если вы протестировали эту функцию на демонстрационном сайте и в режиме аудита, а защита сети работает в предварительно настроенных сценариях, но не работает должным образом для определенного подключения, используйте веб-форму отправки Защитник Windows Security Intelligence, чтобы сообщить о ложном отрицательном или ложном срабатывании для защиты сети. С помощью подписки E5 можно также указать ссылку на любое связанное оповещение.

См. раздел Устранение ложноположительных и отрицательных результатов в Microsoft Defender для конечной точки.

Добавление исключений

Текущие варианты исключения:

  1. Настройка настраиваемого индикатора разрешений.

  2. Использование исключений IP-адресов: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

  3. Исключение всего процесса. Дополнительные сведения см. в разделе исключения антивирусной программы Microsoft Defender.

Проблемы с производительностью сети

В некоторых случаях компонент защиты сети может способствовать медленному сетевому подключению к контроллерам домена и (или) серверам Exchange. Вы также можете заметить ошибки NETLOGON с идентификатором события 5783.

Чтобы попытаться решить эти проблемы, измените параметр Защита сети с "режим блокировки" на "режим аудита" или "отключено". Если проблемы с сетью устранены, выполните следующие действия, чтобы узнать, какой компонент защиты сети влияет на поведение.

Отключите следующие компоненты по порядку и проверьте производительность сетевого подключения после отключения каждого из них:

  1. Отключение обработки datagram в Windows Server
  2. Отключение телеметрии защиты сети по каждому протоколу
  3. Отключение синтаксического анализа FTP
  4. Отключение синтаксического анализа SSH
  5. Отключение синтаксического анализа RDP
  6. Отключение синтаксического анализа HTTP
  7. Отключение синтаксического анализа SMTP
  8. Отключение синтаксического анализа DNS через TCP
  9. Отключение синтаксического анализа DNS
  10. Отключение фильтрации входящих подключений
  11. Отключение синтаксического анализа TLS

Если проблемы с производительностью сети сохраняются после выполнения этих действий по устранению неполадок, они, вероятно, не связаны с защитой сети, и вам следует искать другие причины проблем с производительностью сети.

Сбор диагностических данных для отправки файлов

Когда вы сообщаете о проблеме с защитой сети, вам будет предложено собрать и отправить диагностические данные для служб поддержки и инженеров Майкрософт, чтобы помочь в устранении неполадок.

  1. Откройте командную строку с повышенными привилегиями и перейдите в каталог Защитник Windows:

    cd c:\program files\windows defender

  2. Выполните следующую команду, чтобы создать журналы диагностики:

    mpcmdrun -getfiles

  3. Вложите файл в форму отправки. По умолчанию журналы диагностики сохраняются по адресу C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Устранение проблем с подключением с помощью защиты сети (для клиентов E5)

Из-за среды, в которой работает защита сети, корпорация Майкрософт не может просмотреть параметры прокси-сервера операционной системы. В некоторых случаях клиентам защиты сети не удается связаться с облачной службой. Чтобы устранить проблемы с подключением к защите сети, настройте один из следующих разделов реестра, чтобы защита сети знала о конфигурации прокси-сервера.

Set-MpPreference -ProxyServer <proxy IP address: Port>

---ИЛИ---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Раздел реестра можно настроить с помощью PowerShell, Microsoft Configuration Manager или групповая политика. Ниже приведены некоторые ресурсы, которые помогут вам:

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.