Защита сети от неполадокTroubleshoot network protection

Область применения:Applies to:

Совет

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

При использовании сетевой защиты могут возникнуть проблемы, такие как:When you use Network protection you may encounter issues, such as:

  • Защита сети блокирует безопасный веб-сайт (ложное срабатывательство)Network protection blocks a website that is safe (false positive)
  • Защита сети не блокирует подозрительный или известный вредоносный веб-сайт (ложный отрицательный)Network protection fails to block a suspicious or known malicious website (false negative)

Для устранения этих проблем необходимо четыре шага:There are four steps to troubleshooting these problems:

  1. Подтверждение необходимых условийConfirm prerequisites
  2. Чтобы проверить правило, используйте режим аудитаUse audit mode to test the rule
  3. Добавление исключений для указанного правила (для ложных срабатыва-Add exclusions for the specified rule (for false positives)
  4. Отправка журналов поддержкиSubmit support logs

Подтверждение необходимых условийConfirm prerequisites

Защита сети будет работать только на устройствах со следующими условиями:Network protection will only work on devices with the following conditions:

Использовать режим аудитаUse audit mode

Вы можете включить защиту сети в режиме аудита, а затем посетить веб-сайт, созданный для демонстрации этой функции.You can enable network protection in audit mode and then visit a website that we've created to demo the feature. Все подключения к веб-сайту будут разрешены с помощью сетевой защиты, но событие будет включено в журнал, чтобы указать любое подключение, которое было бы заблокировано, если бы была включена защита сети.All website connections will be allowed by network protection but an event will be logged to indicate any connection that would have been blocked if network protection was enabled.

  1. Настройка сетевой защиты в режиме аудита.Set network protection to Audit mode.

    Set-MpPreference -EnableNetworkProtection AuditMode
    
  2. Выполните действия подключения, которые вызывают проблему (например, попытка посетить сайт или подключиться к IP-адресу, который вы делаете или не хотите блокировать).Perform the connection activity that is causing an issue (for example, attempt to visit the site, or connect to the IP address you do or don't want to block).

  3. Просмотрите журналы событий защиты сети, чтобы узнать, заблокировала ли бы эта функция подключение, если бы оно было установлено для включения.Review the network protection event logs to see if the feature would have blocked the connection if it had been set to Enabled.

    Если защита сети не блокирует подключение, которое, как вы ожидаете, должно блокироваться, в включить эту функцию.If network protection is not blocking a connection that you are expecting it should block, enable the feature.

    Set-MpPreference -EnableNetworkProtection Enabled
    

Сообщение о ложном срабатыве или ложном отрицательномReport a false positive or false negative

Если вы протестировали эту функцию на демо-сайте и в режиме аудита, а защита сети работает в предварительно настроенных сценариях, но работает не так, как ожидалось для определенного подключения, используйте веб-форму отправки Защитник Windows Security Intelligence, чтобы сообщить о ложном отрицательном или ложном срабатывке для защиты сети.If you've tested the feature with the demo site and with audit mode, and network protection is working on pre-configured scenarios, but is not working as expected for a specific connection, use the Windows Defender Security Intelligence web-based submission form to report a false negative or false positive for network protection. С подпиской на E5 вы также можете предоставить ссылку на любое связанное оповещение.With an E5 subscription, you can also provide a link to any associated alert.

См. адрес ложных срабатыва-срабатыва-минусов в Microsoft Defender для конечной точки.See Address false positives/negatives in Microsoft Defender for Endpoint.

Исключение веб-сайта из области защиты сетиExclude website from network protection scope

Чтобы разрешить заблокированный веб-сайт (ложное срабатываний), добавьте ЕГО URL-адрес в список доверенных сайтов.To allow the website that is being blocked (false positive), add its URL to the list of trusted sites. Веб-ресурсы из этого списка обходят проверку защиты сети.Web resources from this list bypass the network protection check.

Сбор диагностических данных для отправки файловCollect diagnostic data for file submissions

Когда вы сообщаете о проблеме с сетевой защитой, вам будет предложено собирать и отправлять диагностические данные, которые могут использоваться группами поддержки Майкрософт и инженерными группами для устранения неполадок.When you report a problem with network protection, you are asked to collect and submit diagnostic data that can be used by Microsoft support and engineering teams to help troubleshoot issues.

  1. Откройте повышенную командную подсказку и измените каталог Защитник Windows:Open an elevated command prompt and change to the Windows Defender directory:

    cd c:\program files\windows defender
    
  2. Запустите эту команду для создания диагностических журналов:Run this command to generate the diagnostic logs:

    mpcmdrun -getfiles
    
  3. Прикрепить файл к форме отправки.Attach the file to the submission form. По умолчанию диагностические журналы сохраняются на C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab уровне .By default, diagnostic logs are saved at C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Устранение проблем с подключением с помощью защиты сети (для клиентов E5)Resolve connectivity issues with network protection (for E5 customers)

Из-за среды, в которой выполняется защита сети, Корпорация Майкрософт не может видеть параметры прокси-сервера операционной системы.Due to the environment where network protection runs, Microsoft is unable to see your operating system proxy settings. В некоторых случаях клиенты сетевой защиты не могут добраться до облачной службы.In some cases, network protection clients are unable to reach the cloud service. Чтобы устранить проблемы с подключением с помощью сетевой защиты, настройте один из следующих ключей реестра, чтобы защита сети знала о конфигурации прокси:To resolve connectivity issues with network protection, configure one of the following registry keys so that network protection becomes aware of the proxy configuration:

reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyServer /d "<proxy IP address: Port>" /f

---OR------OR---

reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyPacUrl /d "<Proxy PAC url>" /f

Ключ реестра можно настроить с помощью PowerShell, Microsoft Endpoint Manager или групповой политики.You can configure the registry key by using PowerShell, Microsoft Endpoint Manager, or Group Policy. Вот некоторые ресурсы, которые помогут:Here are some resources to help:

См. такжеSee also