مشاركة عبر

استخدام حماية الشبكة للمساعدة في منع الاتصالات بالمواقع الضارة أو المشبوهة

  • مقالة

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل
  • macOS
  • Linux

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على نسخة تجريبية مجانية.

نظرة عامة على حماية الشبكة

تساعد حماية الشبكة على حماية الأجهزة من أحداث معينة مستندة إلى الإنترنت من خلال منع الاتصالات بالمواقع الضارة أو المشبوهة. حماية الشبكة هي إمكانية تقليل سطح الهجوم التي تساعد على منع الأشخاص في مؤسستك من الوصول إلى المجالات التي تعتبر خطيرة من خلال التطبيقات. ومن أمثلة المجالات الخطرة المجالات التي تستضيف رسائل التصيد الاحتيالي وعمليات الاستغلال والمحتوى الضار الآخر على الإنترنت. تعمل حماية الشبكة على توسيع نطاق Microsoft Defender SmartScreen لحظر جميع حركة مرور HTTP(S) الصادرة التي تحاول الاتصال بمصادر ذات سمعة منخفضة (استنادا إلى المجال أو اسم المضيف).

تعمل حماية الشبكة على توسيع الحماية في حماية الويب إلى مستوى نظام التشغيل، وهي مكون أساسي لتصفية محتوى الويب (WCF). يوفر وظيفة حماية الويب الموجودة في Microsoft Edge للمستعرضات والتطبيقات غير المدعومة الأخرى. توفر حماية الشبكة أيضا رؤية وحظر مؤشرات التسوية (IOCs) عند استخدامها مع اكتشاف نقطة النهاية والاستجابة لها. على سبيل المثال، تعمل حماية الشبكة مع المؤشرات المخصصة التي يمكنك استخدامها لحظر مجالات معينة أو أسماء مضيفين.

تغطية حماية الشبكة

يلخص الجدول التالي مجالات حماية الشبكة للتغطية.

الميزة Microsoft Edge مستعرضات الجهات الخارجية عمليات غير عابسة
(على سبيل المثال، PowerShell)
الحماية من تهديدات الويب يجب تمكين SmartScreen يجب أن تكون حماية الشبكة في وضع الحظر يجب أن تكون حماية الشبكة في وضع الحظر
مؤشرات مخصصة يجب تمكين SmartScreen يجب أن تكون حماية الشبكة في وضع الحظر يجب أن تكون حماية الشبكة في وضع الحظر
تصفية محتوى الويب يجب تمكين SmartScreen يجب أن تكون حماية الشبكة في وضع الحظر غير معتمد

ملاحظة

على Mac وLinux، يجب أن يكون لديك حماية للشبكة في وضع الحظر للحصول على دعم لهذه الميزات في Edge. في Windows، لا تراقب حماية الشبكة Microsoft Edge. بالنسبة للعمليات الأخرى غير Microsoft Edge وInternet Explorer، تستفيد سيناريوهات حماية الويب من حماية الشبكة للفحص والإنفاذ.

  • يتم دعم IP لجميع البروتوكولات الثلاثة (TCP وHTTP وHTTPS (TLS)).
  • يتم دعم عناوين IP واحدة فقط (لا توجد كتل CIDR أو نطاقات IP) في المؤشرات المخصصة.
  • يمكن حظر عناوين URL المشفرة (المسار الكامل) فقط على مستعرضات الطرف الأول (Internet Explorer، Edge).
  • يمكن حظر عناوين URL المشفرة (FQDN فقط) في مستعرضات الجهات الخارجية (أي بخلاف Internet Explorer و Edge).
  • يمكن تطبيق كتل مسار URL الكاملة لعناوين URL غير المشفرة.

قد يكون هناك ما يصل إلى ساعتين من زمن الانتقال (عادة أقل) بين وقت اتخاذ الإجراء، وحظر عنوان URL وعنوان IP.

شاهد هذا الفيديو لمعرفة كيفية مساعدة حماية الشبكة في تقليل سطح الهجوم لأجهزتك من عمليات التصيد الاحتيالي والمآثر والمحتوى الضار الآخر.

متطلبات حماية الشبكة

تتطلب حماية الشبكة الأجهزة التي تعمل بأحد أنظمة التشغيل التالية:

تتطلب حماية الشبكة أيضا Microsoft Defender مكافحة الفيروسات مع تمكين الحماية في الوقت الحقيقي.

إصدار Windows برنامج الحماية من الفيروسات من Microsoft Defender
Windows 10 الإصدار 1709 أو أحدث، Windows 11، Windows Server 1803 أو أحدث تأكد من تمكين Microsoft Defender الحماية من الفيروسات في الوقت الحقيقيومراقبة السلوكوالحماية المقدمة من السحابة (نشطة)
Windows Server 2012 R2 وWindows Server 2016 مع العامل الموحد إصدار تحديث النظام الأساسي 4.18.2001.x.x أو أحدث

لماذا حماية الشبكة مهمة

تعد حماية الشبكة جزءا من مجموعة حلول تقليل الأجزاء المعرضة للهجوم في Microsoft Defender لنقطة النهاية. تمكن حماية الشبكة طبقة الشبكة من حظر عناوين URL وعناوين IP. يمكن أن تمنع حماية الشبكة الوصول إلى عناوين URL باستخدام مستعرضات معينة واتصالات شبكة قياسية. بشكل افتراضي، تقوم حماية الشبكة بحماية أجهزة الكمبيوتر من عناوين URL الضارة المعروفة باستخدام موجز SmartScreen، الذي يحظر عناوين URL الضارة بطريقة مشابهة ل SmartScreen في مستعرض Microsoft Edge. يمكن توسيع وظيفة حماية الشبكة إلى:

تعد حماية الشبكة جزءا مهما من مكدس الحماية والاستجابة من Microsoft.

تلميح

للحصول على تفاصيل حول حماية الشبكة ل Windows Server وLinux وMacOS و Mobile Threat Defense (MTD)، راجع البحث الاستباقي عن التهديدات من خلال التتبع المتقدم.

حظر هجمات الأوامر والتحكم

يتم استخدام أجهزة كمبيوتر خادم الأوامر والتحكم (C2) من قبل المستخدمين الضارين لإرسال الأوامر إلى الأنظمة التي تم اختراقها مسبقا بواسطة البرامج الضارة. عادة ما تختفي هجمات C2 في الخدمات المستندة إلى السحابة مثل مشاركة الملفات وخدمات بريد الويب، ما يمكن خوادم C2 من تجنب الكشف عن طريق المزج مع نسبة استخدام الشبكة النموذجية.

يمكن استخدام خوادم C2 لبدء الأوامر التي يمكنها:

  • سرقة البيانات
  • التحكم في أجهزة الكمبيوتر المخترقة في شبكة الروبوت
  • تعطيل التطبيقات المشروعة
  • نشر البرامج الضارة، مثل برامج الفدية الضارة

يحدد مكون حماية الشبكة ل Defender لنقطة النهاية ويحظر الاتصالات بالبنى الأساسية C2 المستخدمة في هجمات برامج الفدية الضارة التي يديرها الإنسان، باستخدام تقنيات مثل التعلم الآلي وتحديد مؤشر الاختراق الذكي (IoC).

حماية الشبكة: الكشف عن C2 ومعالجته

في شكلها الأولي، برامج الفدية الضارة هي تهديد سلعة يتم برمجتها مسبقا وتركز على نتائج محدودة ومحددة (مثل تشفير جهاز كمبيوتر). ومع ذلك، تطورت برامج الفدية الضارة إلى تهديد متطور يستند إلى الإنسان، ومتكيف، ويركز على نتائج أوسع نطاقا وأكثر انتشارا، مثل الاحتفاظ بأصول أو بيانات المؤسسة بأكملها للحصول على فدية.

يعد دعم خوادم الأوامر والتحكم (C2) جزءا مهما من تطور برامج الفدية الضارة هذا، وهو ما يمكن هذه الهجمات من التكيف مع البيئة التي تستهدفها. يؤدي قطع الارتباط إلى البنية الأساسية للأوامر والتحكم إلى إيقاف تقدم الهجوم إلى مرحلته التالية. لمزيد من المعلومات حول الكشف عن C2 ومعالجته، راجع الكشف عن هجمات الأوامر والتحكم في طبقة الشبكة ومعالجتها.

حماية الشبكة: الإعلامات المنبثقة الجديدة

تعيين جديد فئة الاستجابة المصادر
التصيد الاحتيالي التصيّد الاحتيالي SmartScreen
خبيث خبيث SmartScreen
الأمر والتحكم C2 SmartScreen
الأمر والتحكم كوكو SmartScreen
خبيث موثوق به SmartScreen
بواسطة مسؤول تكنولوجيا المعلومات CustomBlockList
بواسطة مسؤول تكنولوجيا المعلومات نهج مخصص

ملاحظة

لا تنشئ customAllowList إعلامات على نقاط النهاية.

إعلامات جديدة لتحديد حماية الشبكة

تستخدم القدرة الجديدة والمتاحة للجمهور في حماية الشبكة الوظائف في SmartScreen لحظر أنشطة التصيد الاحتيالي من مواقع الأوامر والتحكم الضارة. عندما يحاول المستخدم النهائي زيارة موقع ويب في بيئة يتم فيها تمكين حماية الشبكة، تكون ثلاثة سيناريوهات ممكنة:

  • عنوان URL له سمعة جيدة معروفة - في هذه الحالة يسمح للمستخدم بالوصول دون إعاقة، ولا يوجد إعلام منبثق مقدم على نقطة النهاية. في الواقع، يتم تعيين المجال أو عنوان URL إلى مسموح به.
  • عنوان URL له سمعة غير معروفة أو غير مؤكدة - يتم حظر وصول المستخدم، ولكن مع القدرة على التحايل (إلغاء حظر) الكتلة. في الواقع، يتم تعيين المجال أو عنوان url إلى Audit.
  • عنوان URL له سمعة سيئة معروفة (ضارة) - يمنع المستخدم من الوصول. في الواقع، يتم تعيين المجال أو عنوان url إلى حظر.

تحذير التجربة

يزور المستخدم موقع ويب:

  • إذا كان عنوان url له سمعة غير معروفة أو غير مؤكدة، فإن الإعلام المنبثق يقدم للمستخدم الخيارات التالية:

    • موافق - يتم إصدار الإعلام المنبثق (تمت إزالته)، ويتم إنهاء محاولة الوصول إلى الموقع.

    • إلغاء الحظر - يمكن للمستخدم الوصول إلى الموقع لمدة 24 ساعة؛ عند هذه النقطة يتم إعادة تمكين الكتلة. يمكن للمستخدم الاستمرار في استخدام إلغاء الحظر للوصول إلى الموقع حتى الوقت الذي يحظر فيه المسؤول (كتل) الموقع، وبالتالي إزالة خيار إلغاء الحظر.

    • الملاحظات - يقدم الإعلام المنبثق للمستخدم ارتباطا لإرسال تذكرة، يمكن للمستخدم استخدامها لإرسال الملاحظات إلى المسؤول في محاولة لتبرير الوصول إلى الموقع.

      إظهار إعلام تحذير محتوى التصيد الاحتيالي لحماية الشبكة.

    ملاحظة

    تستخدم الصور الموضحة warn في هذه المقالة لكل من التجربة والخبرة block "عنوان url المحظور" كنص عنصر نائب مثال. في بيئة تعمل، يتم سرد عنوان URL أو المجال الفعلي.

تجربة الحظر

يزور المستخدم موقع ويب:

  • إذا كان عنوان url له سمعة سيئة، فإن الإعلام المنبثق يقدم للمستخدم الخيارات التالية:

    • موافق يتم إصدار الإعلام المنبثق (تمت إزالته)، ويتم إنهاء محاولة الوصول إلى الموقع.

    • ردود الفعل يقدم الإعلام المنبثق للمستخدم ارتباطا لإرسال تذكرة، يمكن للمستخدم استخدامها لإرسال ملاحظات إلى المسؤول في محاولة لتبرير الوصول إلى الموقع.

      يعرض إعلاما محظورا لمحتوى التصيد الاحتيالي المعروف لحماية الشبكة.

إلغاء حظر SmartScreen

باستخدام المؤشرات في Defender لنقطة النهاية، يمكن للمسؤولين السماح للمستخدمين النهائيين بتجاوز التحذيرات التي تم إنشاؤها لبعض عناوين URL وعناوين IP. اعتمادا على سبب حظر عنوان URL، عند مواجهة كتلة SmartScreen، يمكن أن توفر للمستخدم القدرة على إلغاء حظر الموقع لمدة تصل إلى 24 ساعة. في مثل هذه الحالات، يظهر إعلام منبثق أمن Windows، مما يسمح للمستخدم بتحديد إلغاء الحظر. في مثل هذه الحالات، يتم إلغاء حظر عنوان URL أو IP للفترة الزمنية المحددة.

إعلام أمن Windows لحماية الشبكة.

يمكن للمسؤولين Microsoft Defender لنقطة النهاية تكوين وظيفة SmartScreen إلغاء الحظر في مدخل Microsoft Defender باستخدام مؤشر السماح لعناوين IP وعناوين URL والمجالات.

عنوان URL لتكوين كتلة SmartScreen لحماية الشبكة ونموذج IP.

راجع إنشاء مؤشرات لعناوين IP وعناوين URL/المجالات.

استخدام حماية الشبكة

يتم تمكين حماية الشبكة لكل جهاز، والذي يتم عادة باستخدام البنية الأساسية للإدارة. للحصول على الأساليب المدعومة، راجع تشغيل حماية الشبكة.

ملاحظة

يجب أن يكون برنامج الحماية من الفيروسات Microsoft Defender في الوضع النشط لتمكين حماية الشبكة.

يمكنك تمكين حماية الشبكة في audit الوضع أو block الوضع. إذا كنت ترغب في تقييم تأثير تمكين حماية الشبكة قبل حظر عناوين IP أو عناوين URL فعليا، يمكنك تمكين حماية الشبكة في وضع التدقيق، وجمع البيانات حول ما سيتم حظره. يسجل وضع التدقيق كلما اتصل المستخدمون النهائيون بعنوان أو موقع سيتم حظره بخلاف ذلك بواسطة حماية الشبكة. لكي تعمل مؤشرات التسوية (IoC) أو تصفية محتوى الويب (WCF)، يجب أن تكون حماية الشبكة في block الوضع.

للحصول على معلومات حول حماية الشبكة لنظامي التشغيل Linux وmacOS، راجع المقالات التالية:

الصيد المتقدم

إذا كنت تستخدم تتبعا متقدما لتحديد أحداث التدقيق، فلديك محفوظات تصل إلى 30 يوما متاحة من وحدة التحكم. راجع التتبع المتقدم.

يمكنك العثور على أحداث التدقيق في التتبع المتقدم في مدخل Defender لنقطة النهاية (https://security.microsoft.com).

أحداث التدقيق موجودة في DeviceEvents مع ActionType من ExploitGuardNetworkProtectionAudited. يتم عرض الكتل باستخدام ActionType من ExploitGuardNetworkProtectionBlocked.

فيما يلي مثال على استعلام لعرض أحداث Network Protection للمستعرضات غير التابعة ل Microsoft:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

تتبع متقدم للتدقيق وتحديد الأحداث.

تلميح

تحتوي هذه الإدخالات على بيانات في عمود AdditionalFields الذي يمنحك معلومات رائعة حول الإجراء، إذا قمت بتوسيع AdditionalFields ، يمكنك أيضا الحصول على الحقول: IsAudit و ResponseCategory و DisplayName.

فيما يلي مثال آخر:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

تخبرك فئة الاستجابة بما تسبب في الحدث، كما هو الحال في هذا المثال:

فئة الاستجابة الميزة المسؤولة عن الحدث
نهج مخصص WCF
CustomBlockList مؤشرات مخصصة
CasbPolicy Defender for Cloud Apps
خبيث تهديدات الويب
التصيّد الاحتيالي تهديدات الويب

لمزيد من المعلومات، راجع استكشاف أخطاء كتل نقطة النهاية وإصلاحها.

إذا كنت تستخدم مستعرض Microsoft Edge، فاستخدم هذا الاستعلام لأحداث SmartScreen Microsoft Defender:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

يمكنك استخدام القائمة الناتجة من عناوين URL وعناوين IP لتحديد ما سيتم حظره إذا تم تعيين حماية الشبكة إلى وضع الحظر على الجهاز. يمكنك أيضا معرفة الميزات التي ستحظر عناوين URL وعناوين IP. راجع القائمة لتحديد أي عناوين URL أو عناوين IP ضرورية لبيئتك. يمكنك بعد ذلك إنشاء مؤشر السماح لعناوين URL أو عناوين IP هذه. يكون للسماح بالمؤشرات الأسبقية على أي كتل.

بمجرد إنشاء مؤشر، يمكنك إلقاء نظرة على حل المشكلة الأساسية كما يلي:

  • SmartScreen – مراجعة الطلب
  • المؤشر – تعديل المؤشر الموجود
  • MCA - مراجعة التطبيق غير المخول
  • WCF – إعادة تخصيص الطلب

باستخدام هذه البيانات، يمكنك اتخاذ قرار مستنير بشأن تمكين حماية الشبكة في وضع الحظر. راجع ترتيب الأسبقية لحظر حماية الشبكة.

ملاحظة

نظرا لأن هذا إعداد لكل جهاز، إذا كانت هناك أجهزة لا يمكنها الانتقال إلى وضع الحظر، يمكنك ببساطة تركها قيد التدقيق حتى تتمكن من تصحيح التحدي وستستمر في تلقي أحداث التدقيق.

للحصول على معلومات حول كيفية الإبلاغ عن الإيجابيات الخاطئة، راجع الإبلاغ عن الإيجابيات الخاطئة.

للحصول على تفاصيل حول كيفية إنشاء تقارير Power BI الخاصة بك، راجع إنشاء تقارير مخصصة باستخدام Power BI.

تكوين حماية الشبكة

لمزيد من المعلومات حول كيفية تمكين حماية الشبكة، راجع تمكين حماية الشبكة. استخدم نهج المجموعة أو PowerShell أو MDM CSPs لتمكين حماية الشبكة وإدارتها في شبكتك.

بعد تمكين حماية الشبكة، قد تحتاج إلى تكوين الشبكة أو جدار الحماية للسماح بالاتصالات بين أجهزة نقطة النهاية وخدمات الويب:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

عرض أحداث حماية الشبكة

تعمل حماية الشبكة بشكل أفضل مع Microsoft Defender لنقطة النهاية، ما يمنحك تقارير مفصلة عن أحداث وكتل الحماية من الهجمات كجزء من سيناريوهات التحقيق في التنبيه.

عندما تمنع حماية الشبكة اتصالا، يتم عرض إعلام من مركز الصيانة. يمكن لفريق عمليات الأمان تخصيص الإعلام بتفاصيل مؤسستك ومعلومات الاتصال. بالإضافة إلى ذلك، يمكن تمكين قواعد تقليل سطح الهجوم الفردية وتخصيصها لتناسب تقنيات معينة للمراقبة.

يمكنك أيضا استخدام وضع التدقيق لتقييم كيفية تأثير حماية الشبكة على مؤسستك إذا تم تمكينها.

مراجعة أحداث حماية الشبكة في مدخل Microsoft Defender

يوفر Defender لنقطة النهاية تقارير مفصلة عن الأحداث والكتل كجزء من سيناريوهات التحقيق في التنبيه الخاصة به. يمكنك عرض هذه التفاصيل في مدخل Microsoft Defender (https://security.microsoft.com) في قائمة انتظار التنبيهات أو باستخدام التتبع المتقدم. إذا كنت تستخدم وضع التدقيق، يمكنك استخدام التتبع المتقدم لمعرفة كيفية تأثير إعدادات حماية الشبكة على بيئتك إذا تم تمكينها.

مراجعة أحداث حماية الشبكة في Windows عارض الأحداث

يمكنك مراجعة سجل أحداث Windows لمشاهدة الأحداث التي يتم إنشاؤها عند وصول كتل حماية الشبكة (أو تدقيقها) إلى عنوان IP أو مجال ضار:

  1. انسخ XML مباشرة.

  2. حدد موافق.

ينشئ هذا الإجراء طريقة عرض مخصصة تقوم بالتصفية لإظهار الأحداث التالية المتعلقة بحماية الشبكة فقط:

معرف الحدث الوصف
5007 حدث عند تغيير الإعدادات
1125 حدث عند تشغيل حماية الشبكة في وضع التدقيق
1126 حدث عند تشغيل حماية الشبكة في وضع الحظر

حماية الشبكة ومصافحة TCP ثلاثية الاتجاه

مع حماية الشبكة، يتم تحديد ما إذا كان يجب السماح بالوصول إلى موقع أو حظره بعد الانتهاء من تأكيد الاتصال ثلاثي الاتجاه عبر TCP/IP. وبالتالي، عندما تحظر حماية الشبكة موقعا، قد ترى نوع إجراء ضمن ConnectionSuccessDeviceNetworkEvents في مدخل Microsoft Defender، على الرغم من حظر الموقع. DeviceNetworkEvents يتم الإبلاغ عن من طبقة TCP، وليس من حماية الشبكة. بعد اكتمال تأكيد الاتصال ثلاثي الاتجاه، يسمح بالوصول إلى الموقع أو يتم حظره بواسطة حماية الشبكة.

فيما يلي مثال على كيفية عمل ذلك:

  1. لنفترض أن المستخدم يحاول الوصول إلى موقع ويب على جهازه. يحدث أن تتم استضافة الموقع على مجال خطير، ويجب حظره بواسطة حماية الشبكة.

  2. يبدأ تأكيد الاتصال ثلاثي الاتجاه عبر TCP/IP. قبل اكتماله، DeviceNetworkEvents يتم تسجيل إجراء، ويتم إدراجه ActionType ك ConnectionSuccess. ومع ذلك، بمجرد اكتمال عملية تأكيد الاتصال ثلاثية الاتجاه، تمنع حماية الشبكة الوصول إلى الموقع. كل هذا يحدث بسرعة. تحدث عملية مماثلة مع Microsoft Defender SmartScreen؛ عندما يكتمل تأكيد الاتصال ثلاثي الاتجاه يتم تحديده، ويتم حظر الوصول إلى موقع أو السماح به.

  3. في مدخل Microsoft Defender، يتم سرد تنبيه في قائمة انتظار التنبيهات. تتضمن تفاصيل هذا التنبيه كلا DeviceNetworkEvents من و AlertEvidence. يمكنك أن ترى أنه تم حظر الموقع، على الرغم من أن لديك أيضا عنصرا DeviceNetworkEvents مع ActionType الخاص ب ConnectionSuccess.

اعتبارات لسطح المكتب الظاهري ل Windows الذي يعمل Windows 10 Enterprise متعدد الجلسات

نظرا لطبيعة Windows 10 Enterprise متعددة المستخدمين، ضع النقاط التالية في الاعتبار:

  1. حماية الشبكة هي ميزة على مستوى الجهاز ولا يمكن استهدافها لجلسات مستخدم محددة.

  2. نهج تصفية محتوى الويب هي أيضا على مستوى الجهاز.

  3. إذا كنت بحاجة إلى التمييز بين مجموعات المستخدمين، ففكر في إنشاء تجمعات وتعيينات منفصلة لمضيفي Windows Virtual Desktop.

  4. اختبر حماية الشبكة في وضع التدقيق لتقييم سلوكها قبل طرحها.

  5. ضع في اعتبارك تغيير حجم التوزيع إذا كان لديك عدد كبير من المستخدمين أو عدد كبير من الجلسات متعددة المستخدمين.

خيار بديل لحماية الشبكة

بالنسبة إلى Windows Server 2012 R2 وWindows Server 2016 باستخدام الحل الموحد الحديث، والإصدار 1803 من Windows Server أو إصدار أحدث، Windows 10 Enterprise Multi-Session 1909 والإصدارات الأحدث، المستخدمة في Windows Virtual Desktop على Azure، يمكن تمكين حماية الشبكة ل Microsoft Edge باستخدام الطريقة التالية:

  1. استخدم تشغيل حماية الشبكة واتبع الإرشادات لتطبيق النهج الخاص بك.

  2. تنفيذ أوامر PowerShell التالية:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      ملاحظة

      في بعض الحالات، اعتمادا على البنية الأساسية وحجم نسبة استخدام الشبكة والشروط الأخرى، Set-MpPreference -AllowDatagramProcessingOnWinServer 1 يمكن أن يكون لها تأثير على أداء الشبكة.

حماية الشبكة لخوادم Windows

فيما يلي معلومات خاصة بخوادم Windows.

تحقق من تمكين حماية الشبكة

تحقق مما إذا كانت حماية الشبكة ممكنة على جهاز محلي باستخدام المحرر السجل.

  1. حدد زر البدء في شريط المهام واكتب regedit لفتح المحرر السجل.

  2. حدد HKEY_LOCAL_MACHINE من القائمة الجانبية.

  3. انتقل عبر القوائم المتداخلة إلى SOFTWARE>Policies>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (إذا لم يكن المفتاح موجودا، فانتقل إلى SOFTWARE>Microsoft>Windows Defender>حماية استغلال> Windows Defenderحماية الشبكة)

  4. حدد EnableNetworkProtection لمشاهدة الحالة الحالية لحماية الشبكة على الجهاز:

    • 0 = إيقاف التشغيل
    • 1 = تشغيل (ممكن)
    • 2 = وضع التدقيق

لمزيد من المعلومات، راجع تشغيل حماية الشبكة.

مفاتيح التسجيل المقترحة لحماية الشبكة

بالنسبة إلى Windows Server 2012 R2 وWindows Server 2016 باستخدام الحل الموحد الحديث، إصدار Windows Server 1803 أو أحدث، Windows 10 Enterprise متعدد الجلسات 1909 والإصدارات الأحدث (المستخدمة في Windows Virtual Desktop على Azure)، قم بتمكين مفاتيح التسجيل الأخرى، كما يلي:

  1. انتقل إلى HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

  2. تكوين المفاتيح التالية:

    • AllowNetworkProtectionOnWinServer تم تعيين (DWORD) إلى 1 (سداسي عشري)
    • EnableNetworkProtection تم تعيين (DWORD) إلى 1 (سداسي عشري)
    • (على Windows Server 2012 R2 وWindows Server 2016 فقط) AllowNetworkProtectionDownLevel تم تعيين (DWORD) إلى 1 (سداسي عشري)

ملاحظة

اعتمادا على البنية الأساسية وحجم نسبة استخدام الشبكة والشروط الأخرى، يمكن أن يكون HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (سداسي عشري) تأثيرا على أداء الشبكة.

لمزيد من المعلومات، راجع: تشغيل حماية الشبكة

يتطلب تكوين Windows Servers وWindows متعدد الجلسات PowerShell

بالنسبة إلى Windows Servers وWindows متعدد الجلسات، هناك عناصر أخرى يجب تمكينها باستخدام PowerShell cmdlets. بالنسبة إلى Windows Server 2012 R2 وWindows Server 2016 باستخدام الحل الموحد الحديث، والإصدار 1803 من Windows Server أو أحدث، Windows 10 Enterprise Multi-Session 1909 والإصدارات الأحدث، المستخدمة في Windows Virtual Desktop على Azure، قم بتشغيل أوامر PowerShell التالية:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

ملاحظة

في بعض الحالات، اعتمادا على البنية الأساسية وحجم نسبة استخدام الشبكة والظروف الأخرى، Set-MpPreference -AllowDatagramProcessingOnWinServer 1 يمكن أن يؤثر على أداء الشبكة.

استكشاف أخطاء حماية الشبكة وإصلاحها

نظرا للبيئة التي يتم فيها تشغيل حماية الشبكة، قد لا تتمكن الميزة من الكشف عن إعدادات وكيل نظام التشغيل. في بعض الحالات، لا يتمكن عملاء حماية الشبكة من الوصول إلى الخدمة السحابية. لحل مشكلة الاتصال، قم بتكوين وكيل ثابت لبرنامج الحماية من الفيروسات Microsoft Defender.

ملاحظة

قبل بدء استكشاف الأخطاء وإصلاحها، تأكد من تعيين بروتوكول QUIC إلى disabled في المستعرضات المستخدمة. بروتوكول QUIC غير مدعوم مع وظيفة حماية الشبكة.

نظرا لأن Global Secure Access لا يدعم حاليا حركة مرور UDP، فلا يمكن توجيه حركة مرور UDP إلى المنفذ 443 نفقا. يمكنك تعطيل بروتوكول QUIC بحيث يعود عملاء Global Secure Access إلى استخدام HTTPS (نسبة استخدام الشبكة TCP على المنفذ 443). يجب إجراء هذا التغيير إذا كانت الخوادم التي تحاول الوصول إليها تدعم QUIC (على سبيل المثال، من خلال Microsoft Exchange Online). لتعطيل QUIC، يمكنك اتخاذ أحد الإجراءات التالية:

تعطيل QUIC في جدار حماية Windows

الطريقة الأكثر عمومية لتعطيل QUIC هي تعطيل هذه الميزة في جدار حماية Windows. يؤثر هذا الأسلوب على جميع التطبيقات، بما في ذلك المستعرضات وتطبيقات العميل (مثل Microsoft Office). في PowerShell، قم بتشغيل New-NetFirewallRule cmdlet لإضافة قاعدة جدار حماية جديدة تقوم بتعطيل QUIC لجميع نسبة استخدام الشبكة الصادرة من الجهاز:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

تعطيل QUIC في مستعرض ويب

يمكنك تعطيل QUIC على مستوى مستعرض الويب. ومع ذلك، يعني هذا الأسلوب لتعطيل QUIC أن QUIC يستمر في العمل على التطبيقات غير المثبتة. لتعطيل QUIC في Microsoft Edge أو Google Chrome، افتح المستعرض، وحدد موقع إعداد بروتوكول QUIC التجريبي (#enable-quic العلامة)، ثم غير الإعداد إلى Disabled. يوضح الجدول التالي عنوان URI الذي يجب إدخاله في شريط عناوين المستعرض بحيث يمكنك الوصول إلى هذا الإعداد.

المستعرض URI
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

تحسين أداء حماية الشبكة

تتضمن حماية الشبكة تحسين الأداء الذي يسمح block للوضع بفحص الاتصالات طويلة الأمد بشكل غير متزامن، مما قد يوفر تحسينا في الأداء. يمكن أن يساعد هذا التحسين أيضا في مشاكل توافق التطبيق. هذه الإمكانية قيد التشغيل بشكل افتراضي. يمكنك إيقاف تشغيل هذه الإمكانية باستخدام PowerShell cmdlet التالي:

Set-MpPreference -AllowSwitchToAsyncInspection $false

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.