Felsöka nätverksskydd

Gäller för:

• Microsoft Defender XDR
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag
• Microsoft Defender för Endpoint Abonnemang 1

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Den här artikeln innehåller felsökningsinformation för nätverksskydd, i fall, till exempel:

• Nätverksskydd blockerar en webbplats som är säker (falsk positiv)
• Nätverksskyddet kan inte blockera en misstänkt eller känd skadlig webbplats (falsk negativ)

Det finns fyra steg för att felsöka dessa problem:

1. Bekräfta förutsättningar
2. Använda granskningsläge för att testa regeln
3. Lägg till undantag för den angivna regeln (för falska positiva identifieringar)
4. Skicka supportloggar

Bekräfta förutsättningar

Nätverksskyddet fungerar på enheter med följande villkor:

• Slutpunkter kör Windows 10 Pro eller Enterprise Edition version 1709 eller senare.

• Slutpunkter använder Microsoft Defender Antivirus som enda antivirusskyddsapp. Se vad som händer när du använder en antiviruslösning som inte kommer från Microsoft.
• Realtidsskydd är aktiverat.
• Beteendeövervakning är aktiverat.
• Molnlevererat skydd är aktiverat.
• Cloud Protection-nätverksanslutningen fungerar.
• Granskningsläget är inte aktiverat. Använd grupprincip för att ange regeln till Inaktiverad (värde: 0).

Använda granskningsläge

Du kan aktivera nätverksskydd i granskningsläge och sedan besöka en webbplats som utformats för att demonstrera funktionen. Alla webbplatsanslutningar tillåts av nätverksskydd, men en händelse loggas för att indikera alla anslutningar som skulle blockeras om nätverksskyddet aktiverades.

1. Ange nätverksskydd till Granskningsläge.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Utför anslutningsaktiviteten som orsakar ett problem (till exempel försök att besöka webbplatsen eller ansluta till den IP-adress som du gör eller inte vill blockera).

3. Granska händelseloggarna för nätverksskydd för att se om funktionen skulle blockera anslutningen om den var inställd på Aktiverad.

   Om nätverksskyddet inte blockerar en anslutning som du förväntar dig ska den blockeras, aktivera funktionen.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Rapportera en falsk positiv eller falsk negativ

Om du har testat funktionen med demowebbplatsen och med granskningsläge, och nätverksskyddet fungerar i förkonfigurerade scenarier, men inte fungerar som förväntat för en specifik anslutning, använder du det webbaserade sändningsformuläret Windows Defender Security Intelligence för att rapportera en falsk negativ eller falsk positiv identifiering för nätverksskydd. Med en E5-prenumeration kan du också ange en länk till alla associerade aviseringar.

Se Adressera falska positiva/negativa identifieringar i Microsoft Defender för Endpoint.

Lägga till undantag

De aktuella undantagsalternativen är:

1. Konfigurera en anpassad tillåt-indikator.

2. Använda IP-undantag: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. Exkludering av en hel process. Mer information finns i Microsoft Defender Antivirus-undantag.

Problem med nätverksprestanda

Under vissa omständigheter kan en komponent för nätverksskydd bidra till långsamma nätverksanslutningar till domänkontrollanter och/eller Exchange-servrar. Du kanske också ser fel med händelse-ID 5783 NETLOGON.

Om du vill försöka lösa dessa problem ändrar du Nätverksskydd från "blockläge" till antingen "granskningsläge" eller "inaktiverat". Om nätverksproblemen är åtgärdade följer du nästa steg för att ta reda på vilken komponent i Network Protection som bidrar till beteendet.

Inaktivera följande komponenter i ordning och testa nätverksanslutningsprestanda när du har inaktiverat var och en:

1. Inaktivera datagrambearbetning på Windows Server
2. Inaktivera telemetri för nätverksskyddsprestanda
3. Inaktivera FTP-parsning
4. Inaktivera SSH-parsning
5. Inaktivera RDP-parsning
6. Inaktivera HTTP-parsning
7. Inaktivera SMTP-parsning
8. Inaktivera DNS över TCP-parsning
9. Inaktivera DNS-parsning
10. Inaktivera filtrering av inkommande anslutningar
11. Inaktivera TLS-parsning

Om dina problem med nätverksprestanda kvarstår när du har följt de här felsökningsstegen är de förmodligen inte relaterade till nätverksskydd och du bör leta efter andra orsaker till dina problem med nätverksprestanda.

Samla in diagnostikdata för filöverföringar

När du rapporterar ett problem med nätverksskyddet uppmanas du att samla in och skicka diagnostikdata till Microsofts support- och teknikteam för att felsöka problem.

1. Öppna en upphöjd kommandotolk och ändra till katalogen Windows Defender:

   cd c:\program files\windows defender
   

2. Kör det här kommandot för att generera diagnostikloggarna:

   mpcmdrun -getfiles
   

3. Bifoga filen i överföringsformuläret. Som standard sparas diagnostikloggar på C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Lösa anslutningsproblem med nätverksskydd (för E5-kunder)

På grund av miljön där nätverksskyddet körs kan Microsoft inte se proxyinställningarna för operativsystemet. I vissa fall kan nätverksskyddsklienter inte nå molntjänsten. Du kan lösa anslutningsproblem med nätverksskydd genom att konfigurera en av följande registernycklar så att nätverksskyddet blir medvetet om proxykonfigurationen:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---ELLER---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Du kan konfigurera registernyckeln med hjälp av PowerShell, Microsoft Configuration Manager eller grupprincip. Här är några resurser som kan hjälpa dig:

• Arbeta med registernycklar
• Konfigurera anpassade klientinställningar för Endpoint Protection
• Använda grupprincip inställningar för att hantera Endpoint Protection

Se även

• Nätverksskydd
• Nätverksskydd och TCP-trevägshandskakning
• Utvärdera nätverksskydd
• Aktivera nätverksskydd
• Åtgärda falska positiva/negativa identifieringar i Defender för Endpoint

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.