排查网络保护问题
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
- Microsoft Defender for Endpoint 计划 1
提示
希望体验 Defender for Endpoint? 注册免费试用版。
本文提供有关 网络保护的故障排除信息,例如:
- 网络保护阻止安全 (误报) 的网站
- 网络保护无法阻止可疑或已知的恶意网站 (假负)
排查这些问题有四个步骤:
- 确认先决条件
- 使用审核模式测试规则
- 为误报) 添加指定规则 (排除项
- 提交支持日志
确认先决条件
网络保护适用于具有以下条件的设备:
- 终结点运行Windows 10 专业版或企业版版本 1709 或更高版本。
- 终结点使用 Microsoft Defender 防病毒作为唯一的防病毒保护应用。 查看使用非 Microsoft 防病毒解决方案时会发生什么情况。
- 已启用实时保护。
- 已启用行为监视。
- 已启用云提供的保护。
- Cloud Protection 网络连接 正常运行。
- 审核模式未启用。 使用 组策略 将规则设置为 Disabled (值:0) 。
使用审核模式
可以在审核模式下启用网络保护,然后访问旨在演示该功能的网站。 网络保护允许所有网站连接,但会记录一个事件,以指示启用网络保护后将阻止的任何连接。
将网络保护设置为 “审核模式”。
Set-MpPreference -EnableNetworkProtection AuditMode
执行导致问题的连接活动, (例如,尝试访问站点,或连接到要阻止或不想阻止) 的 IP 地址。
查看网络保护事件日志 ,了解在设置为 “已启用”的情况下,该功能是否会阻止连接。
如果网络保护未阻止预期应阻止的连接,请启用该功能。
Set-MpPreference -EnableNetworkProtection Enabled
报告误报或误报
如果已通过演示站点和审核模式测试了该功能,并且网络保护正在预配置方案中工作,但对特定连接未按预期工作,请使用 Windows Defender 安全智能基于 Web 的提交表单报告网络保护的误报或误报。 使用 E5 订阅,还可以 提供指向任何关联警报的链接。
请参阅在 Microsoft Defender for Endpoint 中解决误报/负数。
添加排除项
当前排除选项包括:
设置自定义允许指示器。
使用 IP 排除项:
Add-MpPreference -ExclusionIpAddress 192.168.1.1
。排除整个进程。 有关详细信息,请参阅Microsoft Defender防病毒排除项。
网络性能问题
在某些情况下,网络保护组件可能会导致与域控制器和/或 Exchange 服务器的网络连接速度变慢。 你可能还会注意到事件 ID 5783 NETLOGON 错误。
若要尝试解决这些问题,请将网络保护从“阻止模式”更改为“审核模式”或“禁用”。 如果网络问题已修复,请执行后续步骤,找出网络保护中的哪个组件导致了该行为。
按顺序禁用以下组件,并在禁用每个组件后测试网络连接性能:
- 在 Windows Server 上禁用数据报处理
- 禁用网络保护性能遥测
- 禁用 FTP 分析
- 禁用 SSH 分析
- 禁用 RDP 分析
- 禁用 HTTP 分析
- 禁用 SMTP 分析
- 禁用 DNS over TCP 分析
- 禁用 DNS 分析
- 禁用入站连接筛选
- 禁用 TLS 分析
如果在执行这些故障排除步骤后网络性能问题仍然存在,则它们可能与网络保护无关,你应该查找网络性能问题的其他原因。
收集文件提交的诊断数据
报告网络保护问题时,系统会要求你为 Microsoft 支持和工程团队收集并提交诊断数据,以帮助解决问题。
打开提升的命令提示符并切换到 Windows Defender 目录:
cd c:\program files\windows defender
运行以下命令以生成诊断日志:
mpcmdrun -getfiles
将文件附加到提交表单。 默认情况下,诊断日志保存在 。
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab
解决 E5 客户的网络保护 (连接问题)
由于运行网络保护的环境,Microsoft 无法看到你的操作系统代理设置。 在某些情况下,网络保护客户端无法访问云服务。 若要解决网络保护的连接问题,请配置以下注册表项之一,以便网络保护能够感知代理配置:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---或---
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
可以使用 PowerShell、Microsoft Configuration Manager 或 组策略 配置注册表项。 下面是一些可提供帮助的资源:
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。