Résoudre les problèmes de protection réseau

S’applique à :

• Microsoft Defender XDR
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME
• Microsoft Defender pour point de terminaison Plan 1

Cet article fournit des informations de dépannage pour la protection réseau, dans les cas suivants :

• La protection réseau bloque un site web sécurisé (faux positif)
• La protection réseau ne parvient pas à bloquer un site web suspect ou malveillant connu (faux négatif)

Il existe quatre étapes pour résoudre ces problèmes :

1. Confirmer les prérequis
2. Utiliser le mode audit pour tester la règle
3. Ajouter des exclusions pour la règle spécifiée (pour les faux positifs)
4. Envoyer les journaux de support

Confirmer les prérequis

La protection réseau fonctionne sur les appareils avec les conditions suivantes :

Utiliser le mode Audit

Vous pouvez activer la protection réseau en mode audit, puis visiter un site web conçu pour la démonstration de la fonctionnalité. Toutes les connexions de site web sont autorisées par la protection réseau, mais un événement est journalisé pour indiquer toute connexion qui serait bloquée si la protection réseau était activée.

1. Définissez protection réseau sur Mode audit.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Effectuez l’activité de connexion à l’origine d’un problème (par exemple, une tentative de visite du site ou une connexion à l’adresse IP que vous voulez ou non bloquer).

3. Passez en revue les journaux des événements de protection réseau pour voir si la fonctionnalité bloquerait la connexion si elle était définie sur Activé.

   Si la protection réseau ne bloque pas une connexion que vous pensez qu’elle doit bloquer, activez la fonctionnalité.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Signaler un faux positif ou un faux négatif

Si vous avez testé la fonctionnalité avec le site de démonstration et le mode audit, et que la protection réseau travaille sur des scénarios préconfigurés, mais ne fonctionne pas comme prévu pour une connexion spécifique, utilisez le formulaire de soumission web Windows Defender Security Intelligence pour signaler un faux négatif ou faux positif pour la protection réseau. Avec un abonnement E5, vous pouvez également fournir un lien vers n’importe quelle alerte associée.

Consultez Résoudre les faux positifs/négatifs dans Microsoft Defender pour point de terminaison.

Ajouter des exclusions

Les options d’exclusion actuelles sont les suivantes :

1. Configuration d’un indicateur d’autorisation personnalisé.

2. Utilisation d’exclusions d’adresses IP : Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. Exclusion d’un processus entier. Pour plus d’informations, consultez exclusions Microsoft Defender antivirus.

Problèmes de performances réseau

Dans certaines circonstances, un composant de protection réseau peut contribuer à ralentir les connexions réseau aux contrôleurs de domaine et/ou aux serveurs Exchange. Vous pouvez également remarquer des erreurs NETLOGON d’ID d’événement 5783.

Pour tenter de résoudre ces problèmes, remplacez protection réseau du « mode bloc » par « mode audit » ou « désactivé ». Si vos problèmes réseau sont résolus, suivez les étapes suivantes pour savoir quel composant de Protection réseau contribue au comportement.

Désactivez les composants suivants dans l’ordre et testez les performances de votre connectivité réseau après avoir désactivé chacun d’eux :

1. Désactiver le traitement des datagrammes sur Windows Server
2. Désactiver la télémétrie des performances de la protection réseau
3. Désactiver l’analyse FTP
4. Désactiver l’analyse SSH
5. Désactiver l’analyse RDP
6. Désactiver l’analyse HTTP
7. Désactiver l’analyse SMTP
8. Désactiver l’analyse DNS sur TCP
9. Désactiver l’analyse DNS
10. Désactiver le filtrage des connexions entrantes
11. Désactiver l’analyse TLS

Si vos problèmes de performances réseau persistent après avoir suivi ces étapes de résolution des problèmes, ils ne sont probablement pas liés à la protection réseau et vous devez rechercher d’autres causes de vos problèmes de performances réseau.

Collecter des données de diagnostic pour les soumissions de fichiers

Lorsque vous signalez un problème avec la protection du réseau, vous êtes invité à collecter et à envoyer des données de diagnostic pour les équipes de support technique et d’ingénierie Microsoft afin de les aider à résoudre les problèmes.

1. Ouvrez une invite de commandes avec élévation de privilèges et accédez au répertoire Windows Defender :

   cd c:\program files\windows defender
   

2. Exécutez cette commande pour générer les journaux de diagnostic :

   mpcmdrun -getfiles
   

3. Joignez le fichier au formulaire de soumission. Par défaut, les journaux de diagnostic sont enregistrés dans C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Résoudre les problèmes de connectivité liés à la protection réseau (pour les clients E5)

En raison de l’environnement dans lequel la protection réseau s’exécute, Microsoft ne peut pas voir les paramètres de proxy de votre système d’exploitation. Dans certains cas, les clients de protection réseau ne peuvent pas atteindre le service cloud. Pour résoudre les problèmes de connectivité liés à la protection réseau, configurez l’une des clés de Registre suivantes afin que la protection réseau prenne en compte la configuration du proxy :

Set-MpPreference -ProxyServer <proxy IP address: Port>

---OU---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Vous pouvez configurer la clé de Registre à l’aide de PowerShell, Microsoft Configuration Manager ou stratégie de groupe. Voici quelques ressources pour vous aider :

• Utilisation des clés de Registre
• Configurer les paramètres client personnalisés pour Endpoint Protection
• Utiliser les paramètres stratégie de groupe pour gérer Endpoint Protection

Voir aussi

• Protection du réseau
• Protection réseau et liaison tcp triple
• Évaluer la protection du réseau
• Activer la protection réseau
• Résoudre les faux positifs/négatifs dans Defender pour point de terminaison