本文提供 網路保護的疑難排解資訊,例如:
- 網路保護可封鎖安全的網站 (誤報)
- 網路保護無法阻止可疑或已知的惡意網站 (誤報)
有四個步驟可以針對這些問題進行疑難排解:
- 確認必要條件
- 使用稽核模式來測試規則
- 新增指定規則的排除項目 (誤判)
- 提交支援記錄
確認必要條件
網路保護適用於具有以下條件的裝置:
- 端點正在執行 Windows 10 專業版或企業版,版本 1709 或更高版本。
使用稽核模式
您可以在稽核模式下啟用網路保護,然後造訪旨在示範該功能的網站。 網路保護允許所有網站連線,但會記錄一個事件,以指出如果啟用網路保護,將封鎖的任何連線。
將網路保護設定為 稽核模式。
Set-MpPreference -EnableNetworkProtection AuditMode執行導致問題的連線活動 (例如,嘗試造訪網站,或連線到您想要或不想封鎖) 的 IP 位址。
檢閱網路保護事件記錄檔 ,以查看如果該功能設定為 [已啟用],是否會封鎖連線。
如果網路保護未封鎖您預期應該封鎖的連線,請啟用此功能。
Set-MpPreference -EnableNetworkProtection Enabled
報告誤報或誤報
如果您已使用示範網站和稽核模式測試此功能,而且網路保護正在預先設定的案例上運作,但未如特定連線的預期般運作,請使用 Windows Defender 安全性情報 Web 型提交表單 來報告網路保護的誤判或誤判。 透過 E5 訂閱,您也可以 提供任何相關聯警示的連結。
請參閱 解決適用於端點的 Microsoft Defender 中的誤判/負面。
新增排除項目
目前的排除選項包括:
設定自訂允許指示器。
使用 IP 排除:
Add-MpPreference -ExclusionIpAddress 192.168.1.1。排除整個過程。 如需詳細資訊,請參閱 Microsoft Defender 防病毒軟體排除專案。
網路效能問題
在某些情況下,網路保護元件可能會導致網域控制站和/或 Exchange 伺服器的網路連線速度變慢。 您可能也會注意到事件標識碼 5783 NETLOGON 錯誤。
若要嘗試解決這些問題,請將網路保護從「封鎖模式」變更為「稽核模式」或「停用」。 如果您的網路問題已修正,請遵循後續步驟,找出網路保護中的哪個元件導致了該行為。
依序停用下列元件,並在停用每個元件之後測試您的網路連線效能:
- 在 Windows Server 上停用資料包處理
- 停用網路保護效能遙測
- 停用 FTP 剖析
- 停用 SSH 剖析
- 停用 RDP 剖析
- 停用 HTTP 剖析
- 停用 SMTP 剖析
- 停用 DNS over TCP 剖析
- 停用 DNS 剖析
- 停用輸入連線篩選
- 停用 TLS 剖析
如果執行這些疑難排解步驟後,您的網路效能問題仍然存在,則它們可能與網路保護無關,您應該尋找網路效能問題的其他原因。
收集檔案提交的診斷資料
當您回報網路保護問題時,系統會要求您收集並提交 Microsoft 支援服務和工程小組的診斷數據,以協助針對問題進行疑難排解。
開啟提高許可權的命令提示字元,並變更為 Windows Defender 目錄:
cd c:\program files\windows defender執行此命令以產生診斷日誌:
mpcmdrun -getfiles將檔案附加到提交表單中。 依預設,診斷記錄會儲存在
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab。
解決 E5 客戶的網路保護 (連線問題)
由於執行網路保護的環境,Microsoft 無法看到您的作業系統 Proxy 設定。 在某些情況下,網路保護用戶端無法連線到雲端服務。 若要解決網路保護的連線問題,請設定下列其中一個登錄機碼,讓網路保護知道 Proxy 設定:
Set-MpPreference -ProxyServer <proxy IP address: Port>
---或---
Set-MpPreference -ProxyPacUrl <Proxy PAC url>
您可以使用 PowerShell、Microsoft Configuration Manager 或群組原則來設定登錄機碼。 以下是一些可以提供幫助的資源:
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。