Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся сведения об устранении неполадок для защиты сети в таких случаях, как:
- Защита сети блокирует безопасный веб-сайт (ложноположительный результат)
- Защита сети не блокирует подозрительный или известный вредоносный веб-сайт (ложноотрицательный)
Устранение неполадок, связанных с ложными срабатываниями и ложноотрицательными результатами в системе сетевой защиты, выполняется в четыре этапа:
- Подтверждение предварительных требований
- Использование режима аудита для тестирования правила
- Добавление исключений для указанного правила (для ложноположительных результатов)
- Отправка журналов поддержки
Подтверждение предварительных требований
Защита сети работает на устройствах со следующими условиями:
- Конечные устройства работают под управлением Windows 10 Pro или Enterprise версии 1709 или более поздней.
- Конечные точки используют антивирусную программу Microsoft Defender в качестве единственного приложения для защиты от вирусов. Узнайте, что происходит при использовании антивирусного решения сторонних разработчиков.
- Включена защита в режиме реального времени .
- Мониторинг поведения включен.
- Облачная защита включена .
- Сетевое подключение Cloud Protection работает.
- Режим аудита не включен. Используйте групповая политика, чтобы задать для правила значение Отключено (значение: 0).
Использовать режим аудита
Вы можете включить защиту сети в режиме аудита, а затем посетить демонстрационный сайт защиты сети , чтобы проверить эту функцию. Все подключения к веб-сайту разрешены защитой сети, но регистрируется событие, указывающее на любое подключение, которое будет заблокировано, если бы была включена защита сети.
Задайте для защиты сети режим аудита. Режим аудита разрешает все подключения, но регистрирует любое подключение, которое будет заблокировано, чтобы проверить, вызывает ли блокировка проблему.
Set-MpPreference -EnableNetworkProtection AuditModeВыполните действие, связанное с подключением, при котором возникает проблема (например, попробуйте открыть сайт или подключиться к IP-адресу, который вы хотите или не хотите блокировать).
Просмотрите журналы событий защиты сети , чтобы узнать, будет ли функция блокировать подключение, если для него задано значение Включено.
Если защита сети не блокирует подключение, которое должно блокироваться, выполните следующую команду, чтобы повторно включить защиту сети в режиме блокировки и восстановить принудительное применение:
Set-MpPreference -EnableNetworkProtection Enabled
Сообщить о ложноположительных или ложноотрицательных результатах
Если вы проверили функцию с демонстрационным сайтом и режимом аудита, защита сети может работать в предварительно настроенных сценариях, но не для конкретного подключения. Чтобы сообщить об этой проблеме, используйте веб-форму отправки в Windows Defender Security Intelligence, чтобы отправить сообщение о ложноотрицательном или ложноположительном результате. С помощью подписки E5 вы также можете связаться с любым соответствующим оповещением из очереди оповещений.
Добавление исключений
Текущие варианты исключения:
Настройка настраиваемого индикатора разрешений.
Использование исключений IP:
Add-MpPreference -ExclusionIpAddress 192.168.1.1.Исключение всего процесса. Дополнительные сведения см. в разделе исключения антивирусной программы Microsoft Defender.
Устранение неполадок с производительностью сети
Компонент защиты сети может замедлить подключения к контроллерам домена или Exchange серверам. Кроме того, могут возникать ошибки NETLOGON с идентификатором события 5783. Эти ошибки означают, что устройство не может подключиться к контроллеру домена.
Чтобы устранить проблемы с медленными сетевыми подключениями или идентификатором события 5783 NETLOGON, переключите защиту сети с "режима блокировки" на "режим аудита" или "отключен". Если проблема устранена, отключите компоненты защиты сети по одному за раз, чтобы изолировать какой компонент вызывает проблему.
Отключите следующие компоненты за один раз и проверьте скорость сети после каждого изменения:
- Отключение обработки данных на Windows Server
- Отключить телеметрию производительности защиты сети
- Отключение синтаксического анализа FTP
- Отключение синтаксического анализа SSH
- Отключение синтаксического анализа RDP
- Отключение синтаксического анализа HTTP
- Отключение синтаксического анализа SMTP
- Отключение синтаксического анализа DNS через TCP
- Отключение синтаксического анализа DNS
- Отключение фильтрации входящих подключений
- Отключение синтаксического анализа TLS
Если проблемы с производительностью сети сохраняются после отключения каждого компонента защиты сети, указанного ранее, проблемы, вероятно, не связаны с защитой сети. Найдите другие причины проблем с производительностью сети.
Сбор диагностических данных для отправки файлов
Когда вы сообщаете о проблеме с защитой сети, вам будет предложено собрать и отправить диагностические данные для служб поддержки и инженеров Майкрософт, чтобы помочь в устранении неполадок. Вы собираете и отправляете диагностические данные, выполнив команду MpCmdrun.exe -GetFiles, которая сохраняет данные в C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.
Подробные инструкции см. в разделе Сбор диагностических данных антивирусной программы Microsoft Defender.
Устранение проблем с подключением с помощью защиты сети (для клиентов E5)
Так как защита сети не может видеть параметры прокси-сервера операционной системы, клиенты защиты сети могут быть не в состоянии связаться с облачной службой в некоторых средах. Чтобы устранить эти проблемы с подключением, настройте один из следующих разделов реестра, чтобы защита сети узнала о конфигурации прокси-сервера. Ключ реестра можно настроить с помощью PowerShell, Microsoft Configuration Manager или групповой политики.
Если в вашей среде используется фиксированная конечная точка прокси-сервера, настройте Microsoft Defender для маршрутизации трафика через этот прокси-сервер, задав адрес и порт:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---ИЛИ---
Если сетевой трафик динамически направляется через PAC-файл вместо статического прокси-сервера, используйте следующую команду, чтобы настроить Microsoft Defender для использования этого URL-адреса PAC:
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
Раздел реестра можно настроить с помощью PowerShell, Microsoft Configuration Manager или групповой политики. Ниже приведены некоторые ресурсы, которые помогут вам:
- Работа с разделами реестра
- Настройка пользовательских параметров клиента для защиты конечной точки
- Используйте параметры групповой политики для управления Endpoint Protection