Felsöka nätverksskydd

Gäller för:

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller felsökningsinformation för nätverksskydd,i fall som:

  • Nätverksskydd blockerar en webbplats som är säker (falsk positiv åtkomst)
  • Nätverksskydd blockerar inte misstänkta eller kända skadliga webbplatser (falskt negativt)

Det finns fyra steg för att felsöka dessa problem:

  1. Bekräfta förutsättningarna
  2. Använda granskningsläge för att testa regeln
  3. Lägga till undantag för den angivna regeln (för falska positiva resultat)
  4. Skicka supportloggar

Bekräfta förutsättningarna

Nätverksskydd fungerar bara på enheter med följande villkor:

Använda granskningsläge

Du kan aktivera nätverksskydd i granskningsläge och sedan besöka en webbplats som vi har skapat för att nedgradera funktionen. Alla webbplatsanslutningar tillåts av nätverksskydd, men en händelse loggas för att ange vilken anslutning som skulle ha blockerats om nätverksskyddet var aktiverat.

  1. Ange nätverksskydd som Granskningsläge.

    Set-MpPreference -EnableNetworkProtection AuditMode
    
  2. Utför den anslutningsaktivitet som orsakar ett problem (försök till exempel gå till webbplatsen eller anslut till den IP-adress du vill eller inte vill blockera).

  3. Granska händelseloggarna för nätverksskydd för att se om funktionen skulle ha blockerat anslutningen om den hade angetts till Aktiverad.

    Om nätverksskyddet inte blockerar en anslutning som du förväntar dig ska den blockeras, aktivera funktionen.

    Set-MpPreference -EnableNetworkProtection Enabled
    

Rapportera ett falskt positivt eller falskt negativt värde

Om du har testat funktionen med demowebbplatsen och med granskningsläge och nätverksskydd arbetar med förkonfigurerade scenarier, men inte fungerar som förväntat för en viss anslutning, kan du använda det webbaserade insändningsformuläret för Windows Defender Security Intelligence för att rapportera ett falskt negativt eller falskt positivt resultat för nätverksskydd. Med en E5-prenumeration kan du också skicka en länk till eventuell associerad avisering.

Se Adress: falska positiva/negativa i Microsoft Defender för Slutpunkt.

Lägg till undantag

De aktuella undantagsalternativen är:

  1. Skapa en anpassad indikator för tillåtna.
  2. Med hjälp av IP-undantag: Add-MpPreference -ExclusionIpAddress 192.168.1.1
  3. Utesluter en hel process. Mer information finns i Microsoft Defender Antivirus undantag.

Samla in diagnostikdata för inskickade filer

När du rapporterar ett problem med nätverksskydd uppmanas du att samla in och skicka in diagnostikdata som kan användas av Microsofts support- och teknikteam för felsökning av problem.

  1. Öppna en upphöjd kommandotolk och ändra i Windows Defender katalog:

    cd c:\program files\windows defender
    
  2. Kör det här kommandot för att generera diagnostikloggarna:

    mpcmdrun -getfiles
    
  3. Bifoga filen i inskickat formulär. Som standard sparas diagnostikloggar på C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab .

Lösa anslutningsproblem med nätverksskydd (för E5-kunder)

På grund av miljön där nätverksskyddet körs kan Microsoft inte se dina proxyinställningar för operativsystemet. I vissa fall kan inte nätverksskyddsklienter nå molntjänsten. Lös anslutningsproblem med nätverksskydd genom att konfigurera en av följande registernycklar så att nätverksskyddet blir medvetna om proxykonfigurationen:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---ELLER---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Du kan konfigurera registernyckeln med hjälp av PowerShell, Microsoft Endpoint Manager eller grupprincip. Här är några resurser som kan vara till hjälp:

Se även