排查网络保护问题

项目
04/26/2024

适用于：

提示

希望体验 Defender for Endpoint？注册免费试用版。

本文提供有关网络保护的故障排除信息，例如：

网络保护阻止安全 (误报) 的网站
网络保护无法阻止可疑或已知的恶意网站 (假负)

排查这些问题有四个步骤：

确认先决条件
使用审核模式测试规则
为误报) 添加指定规则 (排除项
提交支持日志

确认先决条件

网络保护适用于具有以下条件的设备：

终结点运行Windows 10 专业版或企业版版本 1709 或更高版本。

终结点使用 Microsoft Defender 防病毒作为唯一的防病毒保护应用。查看使用非 Microsoft 防病毒解决方案时会发生什么情况。
已启用实时保护。
已启用行为监视。
已启用云提供的保护。
Cloud Protection 网络连接正常运行。
审核模式未启用。使用组策略将规则设置为 Disabled (值：0) 。

使用审核模式

可以在审核模式下启用网络保护，然后访问旨在演示该功能的网站。网络保护允许所有网站连接，但会记录一个事件，以指示启用网络保护后将阻止的任何连接。

将网络保护设置为 “审核模式”。

Set-MpPreference -EnableNetworkProtection AuditMode

执行导致问题的连接活动， (例如，尝试访问站点，或连接到要阻止或不想阻止) 的 IP 地址。
查看网络保护事件日志，了解在设置为 “已启用”的情况下，该功能是否会阻止连接。

如果网络保护未阻止预期应阻止的连接，请启用该功能。
```
Set-MpPreference -EnableNetworkProtection Enabled
```

报告误报或误报

如果已通过演示站点和审核模式测试了该功能，并且网络保护正在预配置方案中工作，但对特定连接未按预期工作，请使用 Windows Defender 安全智能基于 Web 的提交表单报告网络保护的误报或误报。使用 E5 订阅，还可以提供指向任何关联警报的链接。

请参阅在 Microsoft Defender for Endpoint 中解决误报/负数。

添加排除项

当前排除选项包括：

设置自定义允许指示器。
使用 IP 排除项： Add-MpPreference -ExclusionIpAddress 192.168.1.1。
排除整个进程。有关详细信息，请参阅Microsoft Defender防病毒排除项。

网络性能问题

在某些情况下，网络保护组件可能会导致与域控制器和/或 Exchange 服务器的网络连接速度变慢。你可能还会注意到事件 ID 5783 NETLOGON 错误。

若要尝试解决这些问题，请将网络保护从“阻止模式”更改为“审核模式”或“禁用”。如果网络问题已修复，请执行后续步骤，找出网络保护中的哪个组件导致了该行为。

按顺序禁用以下组件，并在禁用每个组件后测试网络连接性能：

如果在执行这些故障排除步骤后网络性能问题仍然存在，则它们可能与网络保护无关，你应该查找网络性能问题的其他原因。

收集文件提交的诊断数据

报告网络保护问题时，系统会要求你为 Microsoft 支持和工程团队收集并提交诊断数据，以帮助解决问题。

打开提升的命令提示符并切换到 Windows Defender 目录：
```
cd c:\program files\windows defender
```
运行以下命令以生成诊断日志：
```
mpcmdrun -getfiles
```
将文件附加到提交表单。默认情况下，诊断日志保存在。C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab

解决 E5 客户的网络保护 (连接问题)

由于运行网络保护的环境，Microsoft 无法看到你的操作系统代理设置。在某些情况下，网络保护客户端无法访问云服务。若要解决网络保护的连接问题，请配置以下注册表项之一，以便网络保护能够感知代理配置：

Set-MpPreference -ProxyServer <proxy IP address: Port>

---或---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

可以使用 PowerShell、Microsoft Configuration Manager 或组策略配置注册表项。下面是一些可提供帮助的资源：

另请参阅

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。

通过