Resolver problemas de proteção de rede

Aplica-se a:

• Microsoft Defender XDR
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender para Empresas
• API do Microsoft Defender para Endpoint 1

Este artigo fornece informações de resolução de problemas para proteção de rede, em casos como:

• A proteção de rede bloqueia um site seguro (falso positivo)
• A proteção de rede não consegue bloquear um site malicioso suspeito ou conhecido (falso negativo)

Existem quatro passos para resolver estes problemas:

1. Confirmar pré-requisitos
2. Utilizar o modo de auditoria para testar a regra
3. Adicionar exclusões para a regra especificada (para falsos positivos)
4. Submeter registos de suporte

Confirmar pré-requisitos

A proteção de rede funciona em dispositivos com as seguintes condições:

Utilizar o modo de auditoria

Pode ativar a proteção de rede no modo de auditoria e, em seguida, visitar um site concebido para despromover a funcionalidade. Todas as ligações do site são permitidas pela proteção de rede, mas é registado um evento para indicar qualquer ligação que seria bloqueada se a proteção de rede estivesse ativada.

1. Defina a proteção de rede como Modo de auditoria.

   Set-MpPreference -EnableNetworkProtection AuditMode
   

2. Execute a atividade de ligação que está a causar um problema (por exemplo, tente visitar o site ou ligue-se ao endereço IP que faz ou não quer bloquear).

3. Reveja os registos de eventos de proteção de rede para ver se a funcionalidade bloquearia a ligação se estivesse definida como Ativada.

   Se a proteção de rede não estiver a bloquear uma ligação que espera que a mesma bloqueie, ative a funcionalidade.

   Set-MpPreference -EnableNetworkProtection Enabled
   

Reportar um falso positivo ou falso negativo

Se testou a funcionalidade com o site de demonstração e com o modo de auditoria e a proteção de rede está a funcionar em cenários pré-configurados, mas não está a funcionar conforme esperado para uma ligação específica, utilize o formulário de submissão baseado na Web do Windows Defender Security Intelligence para comunicar um falso negativo ou falso positivo para proteção de rede. Com uma subscrição E5, também pode fornecer uma ligação para qualquer alerta associado.

Veja Resolver falsos positivos/negativos no Microsoft Defender para Endpoint.

Adicionar exclusões

As opções de exclusão atuais são:

1. Configurar um indicador de permissão personalizado.

2. Utilizar exclusões de IP: Add-MpPreference -ExclusionIpAddress 192.168.1.1.

3. Excluindo todo um processo. Para obter mais informações, veja Microsoft Defender Exclusões de antivírus.

Problemas de Desempenho de Rede

Em determinadas circunstâncias, um componente de proteção de rede pode contribuir para ligações de rede lentas a Controladores de Domínio e/ou servidores Exchange. Também poderá notar erros NETLOGON do ID do Evento 5783.

Para tentar resolver estes problemas, altere a Proteção de Rede de "modo de bloqueio" para "modo de auditoria" ou "desativado". Se os problemas de rede forem corrigidos, siga os passos seguintes para saber que componente na Proteção de Rede está a contribuir para o comportamento.

Desative os seguintes componentes por ordem e teste o desempenho da conectividade de rede depois de desativar cada um deles:

1. Desativar o Processamento de Datagramas no Windows Server
2. Desativar a Telemetria de Desempenho da Proteção de Rede
3. Desativar a análise de FTP
4. Desativar a análise SSH
5. Desativar a análise de RDP
6. Desativar a análise HTTP
7. Desativar a análise de SMTP
8. Desativar o DNS através da análise de TCP
9. Desativar a análise de DNS
10. Desativar a filtragem de ligação de entrada
11. Desativar a análise do TLS

Se os problemas de desempenho da rede persistirem depois de seguir estes passos de resolução de problemas, provavelmente não estão relacionados com a proteção de rede e deve procurar outras causas dos problemas de desempenho da rede.

Recolher dados de diagnóstico para submissões de ficheiros

Quando comunica um problema com a proteção de rede, é-lhe pedido que recolha e submeta dados de diagnóstico para as equipas de suporte e engenharia da Microsoft para ajudar a resolver problemas.

1. Abra uma linha de comandos elevada e mude para o diretório Windows Defender:

   cd c:\program files\windows defender
   

2. Execute este comando para gerar os registos de diagnóstico:

   mpcmdrun -getfiles
   

3. Anexe o ficheiro ao formulário de submissão. Por predefinição, os registos de diagnóstico são guardados em C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab.

Resolver problemas de conectividade com a proteção de rede (para clientes E5)

Devido ao ambiente onde a proteção de rede é executada, a Microsoft não consegue ver as definições de proxy do sistema operativo. Em alguns casos, os clientes de proteção de rede não conseguem aceder ao serviço cloud. Para resolver problemas de conectividade com a proteção de rede, configure uma das seguintes chaves de registo para que a proteção de rede tenha conhecimento da configuração do proxy:

Set-MpPreference -ProxyServer <proxy IP address: Port>

---OU---

Set-MpPreference -ProxyPacUrl <Proxy PAC url>

Pode configurar a chave de registo com o PowerShell, Microsoft Configuration Manager ou Política de Grupo. Eis alguns recursos para ajudar:

• Trabalhar com Chaves de Registo
• Configurar definições de cliente personalizadas para o Endpoint Protection
• Utilizar definições de Política de Grupo para gerir o Endpoint Protection

Consulte também

• Proteção da rede
• Proteção de rede e handshake tridirecional TCP
• Avaliar a proteção da rede
• Ativar a proteção de rede
• Resolver falsos positivos/negativos no Defender para Endpoint