Verkon suojauksen vianmääritys
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
Vihje
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tässä artikkelissa on verkon suojauksen vianmääritystietoja esimerkiksi seuraavissa tapauksissa:
- Verkon suojaus estää turvallisen sivuston (epätosi positiivinen)
- Verkon suojaus ei estä epäilyttävää tai tunnettua haitallista verkkosivustoa (epätosi negatiivinen)
Näiden ongelmien vianmääritykseen on neljä vaihetta:
- Edellytysten vahvistaminen
- Käytä valvontatilaa säännön testaamiseen
- Lisää määritetylle säännölle poissulkemisia (false-positiivisille)
- Tukilokien lähettäminen
Edellytysten vahvistaminen
Verkon suojaus toimii laitteissa, joissa on seuraavat ehdot:
- Päätepisteet ovat käynnissä Windows 10 Pro- tai Enterprise-versiossa, versiossa 1709 tai uudemmissa versioissa.
- Päätepisteet käyttävät Microsoft Defender virustentorjuntaa ainoana virustentorjuntasovelluksena. Katso, mitä tapahtuu, kun käytät muuta kuin Microsoftin virustentorjuntaratkaisua.
- Reaaliaikainen suojaus on käytössä.
- Toiminnan valvonta on käytössä.
- Pilvipalveluun toimitettu suojaus on käytössä.
- Cloud Protection -verkkoyhteys toimii.
- Valvontatila ei ole käytössä. Määritä säännön arvoksi ryhmäkäytäntö Ei käytössä (arvo: 0).
Valvontatilan käyttäminen
Voit ottaa verkon suojauksen käyttöön valvontatilassa ja käydä sitten ominaisuuden esittelyä varten suunnitellulla verkkosivustolla. Verkkosuojaus sallii kaikki sivustoyhteydet, mutta tapahtuma kirjataan osoittamaan, että yhteys estetään, jos verkkosuojaus otetaan käyttöön.
Määritä verkon suojaus valvontatilaan.
Set-MpPreference -EnableNetworkProtection AuditMode
Suorita ongelman aiheuttava yhteysaktiviteetti (esimerkiksi yritä käydä sivustossa tai muodosta yhteys IP-osoitteeseen, jonka teet tai jota et halua estää).
Tarkista verkon suojauksen tapahtumalokeista , estääkö ominaisuus yhteyden, jos sen asetuksena on Käytössä.
Jos verkon suojaus ei estä yhteyttä, jonka odotat sen estävän, ota ominaisuus käyttöön.
Set-MpPreference -EnableNetworkProtection Enabled
Ilmoita negatiivinen epätosi tai epätosi
Jos olet testannut ominaisuuden esittelysivustossa ja valvontatilassa, ja verkon suojaus toimii ennalta määritetyissä skenaarioissa, mutta ei toimi odotetulla tavalla tietylle yhteydelle, käytä Windows Defender Suojaustiedot -verkkopohjaista lähetyslomaketta ilmoittaaksesi verkon suojauksesta negatiivisen tai epätosi-positiivisen. E5-tilauksella voit myös antaa linkin mihin tahansa liittyvään ilmoitukseen.
Lisätietoja on Microsoft Defender for Endpoint kohdassa Address false positives/negatives.
Lisää poissulkemisia
Nykyiset poissulkemisasetukset ovat seuraavat:
Mukautetun sallimisilmaisimen määrittäminen.
Ip-poikkeukset:
Add-MpPreference -ExclusionIpAddress 192.168.1.1
.Koko prosessia lukuun ottamatta. Lisätietoja on artikkelissa Microsoft Defender virustentorjunnan poikkeukset.
Verkon suorituskykyongelmat
Tietyissä tilanteissa verkonsuojausosa saattaa hidastaa verkkoyhteyksiä toimialueen ohjauskoneisiin ja/tai Exchange-palvelimiin. Saatat myös huomata tapahtuman tunnuksen 5783 NETLOGON-virheitä.
Voit yrittää ratkaista nämä ongelmat vaihtamalla verkkosuojauksen block-tilasta joko valvontatilaan tai disabled-tilaan. Jos verkko-ongelmasi on korjattu, seuraa seuraavia vaiheita selvittääksesi, mikä verkon suojauksen osa vaikuttaa toimintaan.
Poista seuraavat osat käytöstä järjestyksessä ja testaa verkkoyhteyden suorituskykyä sen jälkeen, kun ne on poistettu käytöstä:
- Poista datagrammin käsittely käytöstä Windows Serverissä
- Poista verkon suojauksen suorituskykytelemetria käytöstä
- Poista FTP-jäsennys käytöstä
- Poista SSH-jäsennys käytöstä
- Poista RDP-jäsennys käytöstä
- Poista HTTP-jäsennys käytöstä
- Poista SMTP-jäsennys käytöstä
- DNS:n poistaminen käytöstä TCP-jäsennysten kautta
- POISTA DNS-jäsennys käytöstä
- Poista saapuvan yhteyden suodatus käytöstä
- Poista TLS-jäsennys käytöstä
Jos verkon suorituskykyongelmat jatkuvat näiden vianmääritysvaiheiden jälkeen, ne eivät todennäköisesti liity verkon suojaukseen, ja sinun kannattaa etsiä muita verkon suorituskykyongelmien syitä.
Tiedostojen lähettämisen diagnostiikkatietojen kerääminen
Kun ilmoitat verkon suojausongelmasta, sinua pyydetään keräämään ja lähettämään diagnostiikkatietoja Microsoftin tuki- ja suunnittelutiimeille ongelmien vianmäärityksen helpottamiseksi.
Avaa järjestelmänvalvojan oikeesti korostettu komentokehote ja muuta Windows Defender hakemistoon:
cd c:\program files\windows defender
Luo diagnostiikkalokit suorittamalla tämä komento:
mpcmdrun -getfiles
Liitä tiedosto lähetyslomakkeeseen. Diagnostiikkalokit tallennetaan oletusarvoisesti kohteeseen
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
.
Verkkosuojaukseen liittyvien yhteysongelmien ratkaiseminen (E5-asiakkaille)
Verkon suojauksen käyttöympäristön vuoksi Microsoft ei näe käyttöjärjestelmän välityspalvelimen asetuksia. Joissakin tapauksissa verkkosuojausasiakkaat eivät pääse pilvipalveluun. Voit ratkaista verkkosuojaukseen liittyviä yhteysongelmia määrittämällä jonkin seuraavista rekisteriavaimista, jotta verkon suojaus tulee tietoiseksi välityspalvelimen määrityksistä:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---TAI---
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
Voit määrittää rekisteriavaimen käyttämällä PowerShelliä, Microsoft Configuration Manager tai ryhmäkäytäntö. Seuraavassa on joitakin apuresursseja:
- Rekisteriavainten käyttäminen
- Mukautettujen asiakasasetusten määrittäminen Endpoint Protectionia varten
- Ryhmäkäytäntö asetusten avulla voit hallita päätepisteen suojausta
Tutustu myös seuraaviin ohjeartikkeleihin:
- Verkon suojaus
- Verkon suojaus ja TCP:n kolmisuuntainen kättely
- Arvioi verkon suojaus
- Ota verkon suojaus käyttöön
- Käsittele epätosi-positiivisia/negatiivisia arvoja Defender for Endpointissa
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.