تشغيل حماية الشبكة

تساعد حماية الشبكة على منع المستخدمين من استخدام أي تطبيق للوصول إلى المجالات الخطرة التي قد تستضيف رسائل التصيد الاحتيالي والمآثر والمحتوى الضار الآخر على الإنترنت. يمكنك تدقيق حماية الشبكة في بيئة اختبار لعرض التطبيقات التي سيتم حظرها قبل تمكين حماية الشبكة.

تعرف على المزيد حول خيارات تكوين تصفية الشبكة.

المتطلبات الأساسية

أنظمة التشغيل المدعومة

• بالنسبة لنظام التشغيل
• Linux (راجع حماية الشبكة لنظام التشغيل Linux)
• macOS (راجع حماية الشبكة لنظام التشغيل macOS)

تمكين حماية الشبكة

لتمكين حماية الشبكة، يمكنك استخدام أي من الطرق الموضحة في هذه المقالة.

إدارة إعدادات الأمان Microsoft Defender لنقطة النهاية

إنشاء نهج أمان نقطة النهاية

تلميح

تتطلب الإجراءات التالية دور مسؤول الأمان في Microsoft Entra ID.

1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى نهجأمان نقطة النهايةلإدارة> تكوين نقاط> النهاية. أو، للانتقال مباشرة إلى صفحة نهج أمان نقطة النهاية ، استخدم https://security.microsoft.com/policy-inventory.

2. في علامة التبويب نهج Windows في صفحة نهج أمان نقطة النهاية ، حدد إنشاء نهج جديد.

3. في القائمة المنبثقة Create a new policy التي تفتح، قم بتكوين الإعدادات التالية:

   • حدد النظام الأساسي: حدد Windows.
   • حدد template: حدد Microsoft Defender AntiVirus.

   حدد إنشاء نهج.

4. يتم فتح معالج إنشاء نهج جديد . في علامة التبويب Basics ، قم بتكوين الإعدادات التالية:

   • الاسم: أدخل اسما فريدا ووصفيا للنهج.
   • الوصف: أدخل وصفا اختياريا.

   حدد التالي.

5. في علامة التبويب إعدادات التكوين ، قم بتوسيع Defender ثم حدد قيمة لتمكين حماية الشبكة استنادا إلى نظام التشغيل:

   • عملاء Windows وخوادم Windows: القيم المتوفرة هي:

     • ممكن (وضع الحظر): وضع الحظر مطلوب لحظر مؤشرات عنوان IP/عنوان URL وتصفية محتوى الويب.
     • ممكن (وضع التدقيق)
     • معطل (افتراضي)
     • لم يتم تكوينه

   • Windows Server 2016 و Windows Server 2012 R2: تحتاج أيضا إلى تكوين إعداد Allow Network Protection Down Level في قسم Threat Severity Default Action. القيم المتوفرة هي:

     • سيتم تمكين حماية الشبكة من المستوى الأدنى
     • سيتم تعطيل Network Protection downlevel. (افتراضي)
     • لم يتم تكوينه

   • إعدادات حماية الشبكة الاختيارية لعملاء Windows وخوادم Windows:

     • السماح بمعالجة مخطط البيانات على خادم Win: القيم المتوفرة هي:

       • تم تمكين معالجة مخطط البيانات على Windows Server

       • تم تعطيل معالجة مخطط البيانات على Windows Server (افتراضي): نوصي بشدة بهذه القيمة لأي أدوار خادم تنشئ كميات كبيرة من حركة مرور UDP. على سبيل المثال:

         • وحدات التحكم بالمجال
         • خوادم Windows DNS
         • خوادم ملفات Windows
         • خوادم Microsoft SQL
         • خوادم Microsoft Exchange

         يساعد تعطيل معالجة مخطط البيانات على هذه الخوادم على الحفاظ على استقرار الشبكة ويضمن استخدام موارد النظام بشكل أفضل في البيئات عالية الطلب. يمكن أن يؤدي تمكين معالجة مخطط البيانات على هذه الخوادم إلى تقليل أداء الشبكة وموثوقيتها.

       • لم يتم تكوينه

     • تعطيل DNS عبر تحليل TCP
       • تم تعطيل DNS عبر تحليل TCP
       • يتم تمكين DNS عبر تحليل TCP (افتراضي)
       • لم يتم تكوينه
     • تعطيل تحليل HTTP
       • تم تعطيل تحليل HTTP
       • يتم تمكين تحليل HTTP (افتراضي)
       • لم يتم تكوينه
     • تعطيل تحليل SSH
       • تم تعطيل تحليل SSH
       • يتم تمكين تحليل SSH (افتراضي)
       • لم يتم تكوينه
     • تعطيل تحليل TLS
       • تم تعطيل تحليل TLS
       • يتم تمكين تحليل TLS (افتراضي)
       • لم يتم تكوينه
     • [مهمل] تمكين DNS Sinkhole
       • تم تعطيل DNS Sinkhole
       • تم تمكين DNS Sinkhole. (افتراضي)
       • لم يتم تكوينه

   عند الانتهاء من علامة التبويب إعدادات التكوين ، حدد التالي.

6. على علامة التبويب الواجبات ، انقر في مربع البحث أو ابدأ بكتابة اسم مجموعة، ثم حدده من النتائج.

   يمكنك تحديد جميع المستخدمين أو جميع الأجهزة.

   عند تحديد مجموعة مخصصة، يمكنك استخدام هذه المجموعة لتضمين أعضاء المجموعة أو استبعادهم.

   عند الانتهاء من علامة التبويب الواجبات ، حدد التالي.

7. في علامة التبويب مراجعة + إنشاء ، راجع الإعدادات، ثم حدد حفظ.

Microsoft Intune

أسلوب الأساس Microsoft Defender لنقطة النهاية

هام

تطبق خطوط الأمان الأساسية مجموعة واسعة من الإعدادات الموصى بها من Microsoft على أجهزتك - تعد حماية الشبكة أحد الإعدادات بين العديد منها. إذا لم تكن أجهزتك مدارة بالفعل بواسطة الأساس، فإن نشر أساس فقط لتمكين حماية الشبكة سيفرض جميع إعدادات الأساس الأخرى أيضا، مما قد يتعارض مع التكوينات الموجودة. لتكوين حماية الشبكة فقط، استخدم أسلوب نهج مكافحة الفيروسات أو أسلوب ملف تعريف تكوين الجهاز بدلا من ذلك.

لتكوين حماية الشبكة كجزء من أساس أمان في Microsoft Intune، راجع إنشاء ملف تعريف لأساس أمان (يتم فتحه في علامة تبويب جديدة في وثائق Intune). عند إنشاء ملف التعريف، استخدم هذه الإعدادات:

• الأساس: أساس الأمان Microsoft Defender لنقطة النهاية
• إعدادات التكوين: توسيع Defender وتعيين تمكين حماية الشبكة إلى ممكن (وضع الحظر) أو ممكن (وضع التدقيق)

لمزيد من المعلومات حول خطوط أساس الأمان في Microsoft Intune، راجع التعرف على Intune أساسات الأمان لأجهزة Windows.

بعد إنشاء ملف التعريف الخاص بك وتعيينه، ارجع إلى هذه المقالة لمتابعة التحقق.

أسلوب نهج مكافحة الفيروسات

لتكوين حماية الشبكة باستخدام نهج الحماية من الفيروسات لأمان نقطة النهاية Microsoft Intune، راجع إنشاء نهج أمان نقطة نهاية (يفتح في علامة تبويب جديدة في وثائق Intune). عند إنشاء النهج، استخدم هذه الإعدادات:

• نوع النهج: برنامج الحماية من الفيروسات
• النظام الأساسي: Windows
• ملف التعريف: برنامج الحماية من الفيروسات Microsoft Defender
• إعدادات التكوين: تعيين تمكين حماية الشبكة إلى ممكن (وضع الحظر) للإنفاذ، أو ممكن (وضع التدقيق) لتقييم التأثير قبل الإنفاذ

لمزيد من المعلومات حول ملفات تعريف برنامج الحماية من الفيروسات Microsoft Defender في Microsoft Intune، راجع نهج مكافحة الفيروسات لأمان نقطة النهاية.

بعد إنشاء النهج وتعيينه، ارجع إلى هذه المقالة لمتابعة التحقق.

أسلوب ملف تعريف تكوين الجهاز

لتكوين حماية الشبكة باستخدام ملف تعريف تكوين جهاز Microsoft Intune، راجع إضافة إعدادات حماية نقطة النهاية في Intune (يفتح في علامة تبويب جديدة في وثائق Intune). عند إنشاء ملف التعريف، استخدم هذه الإعدادات:

• النظام الأساسي: Windows 10 والإصدارات الأحدث
• نوع ملف التعريف: قوالب > حماية نقطة النهاية
• إعدادات التكوين: توسيعMicrosoft Defender تصفية شبكةExploit Guard> وتعيين حماية الشبكة إلى تمكين أو تدقيق

لمزيد من المعلومات حول إعداد حماية الشبكة والقيم المتوفرة، راجع إعدادات تصفية الشبكة لحماية نقطة النهاية.

بعد إنشاء ملف التعريف الخاص بك وتعيينه، ارجع إلى هذه المقالة لمتابعة التحقق وطرق النشر البديلة.

إدارة الأجهزة المحمولة (MDM)

1. استخدم موفر خدمة تكوين EnableNetworkProtection (CSP) لتشغيل حماية الشبكة أو إيقاف تشغيلها، أو لتمكين وضع التدقيق.

2. قم بتحديث Microsoft Defender النظام الأساسي لمكافحة البرامج الضارة إلى أحدث إصدار قبل تشغيل حماية الشبكة أو إيقاف تشغيلها.

نهج المجموعة

استخدم الإجراء التالي لتمكين حماية الشبكة على أجهزة الكمبيوتر المرتبطة بالمجال أو على كمبيوتر مستقل.

1. على كمبيوتر مستقل، انتقل إلى البدء ثم اكتب وحدد تحرير نهج المجموعة.

   -او-

   على كمبيوتر إدارة نهج المجموعة مرتبط بالمجال، افتح وحدة تحكم إدارة نهج المجموعة (GPMC). انقر بزر الماوس الأيمن فوق نهج المجموعة Object الذي تريد تكوينه وحدد Edit.

2. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

3. قم بتوسيع الشجرة إلى مكونات> Windows Microsoft Defender مكافحة الفيروسات> Microsoft Defenderحماية شبكةExploit Guard>.

   في الإصدارات القديمة من Windows، قد يحتوي مسار نهج المجموعة على Windows برنامج الحماية من الفيروسات من Defender بدلا من Microsoft Defender مكافحة الفيروسات.

4. انقر نقرا مزدوجا فوق إعداد منع المستخدمين والتطبيقات من الوصول إلى مواقع الويب الخطرة وقم بتعيين الخيار إلى ممكن. في قسم الخيارات، يجب تحديد أحد الخيارات التالية:

   • الحظر: لا يمكن للمستخدمين الوصول إلى عناوين IP والمجالات الضارة.
   • تعطيل (افتراضي): لا تعمل ميزة حماية الشبكة. لا يتم حظر المستخدمين من الوصول إلى المجالات الضارة.
   • وضع التدقيق: إذا زار مستخدم عنوان IP ضار أو مجالا، يتم تسجيل حدث في سجل أحداث Windows. ومع ذلك، لا يتم حظر المستخدم من زيارة العنوان.

   هام

   لتمكين حماية الشبكة بالكامل، يجب تعيين خيار نهج المجموعة إلى ممكن وحدد أيضا حظر في القائمة المنسدلة الخيارات.

5. (هذه الخطوة اختيارية.) اتبع الخطوات الواردة في التحقق مما إذا كانت حماية الشبكة ممكنة للتحقق من صحة إعدادات نهج المجموعة.

Microsoft Configuration Manager

1. افتح وحدة تحكم Configuration Manager.

2. انتقل إلى Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

3. حدد Create Exploit Guard Policy من الشريط لإنشاء نهج جديد.

4. لتحرير نهج موجود، حدد النهج، ثم حدد خصائص من الشريط أو قائمة النقر بزر الماوس الأيمن. قم بتحرير خيار تكوين حماية الشبكة من علامة التبويب حماية الشبكة .

5. في الصفحة عام ، حدد اسما للنهج الجديد وتحقق من تمكين خيار حماية الشبكة .

6. في صفحة حماية الشبكة ، حدد أحد الإعدادات التالية لخيار تكوين حماية الشبكة :

   • حظر
   • تدقيق
   • ذوي الاحتياجات الخاصه

7. أكمل بقية الخطوات، واحفظ النهج.

8. من الشريط، حدد Deploy لنشر النهج إلى مجموعة.

PowerShell

1. على جهاز Windows، حدد بدء، واكتب powershell، وانقر بزر الماوس الأيمن فوق Windows PowerShell، ثم حدد تشغيل كمسؤول.

2. قم بتشغيل cmdlet التالي:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. بالنسبة Windows Server، استخدم الأوامر الإضافية المدرجة في الجدول التالي:

   إصدار Windows Server	الاوامر
   Windows Server 2019 والإصدارات الأحدث	Set-MpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016‏ Windows Server 2012 R2 مع العامل الموحد Microsoft Defender لنقطة النهاية	Set-MpPreference -AllowNetworkProtectionDownLevel $true Set-MpPreference -AllowNetworkProtectionOnWinServer $true

هام

تعطيل إعداد "AllowDatagramProcessingOnWinServer". يعد تعطيل هذا الإعداد مهما لأي أدوار تنشئ كميات كبيرة من حركة مرور UDP مثل وحدات تحكم المجال وخوادم Windows DNS وخوادم ملفات Windows وخوادم Microsoft SQL وخوادم Microsoft Exchange وغيرها. يمكن أن يؤدي تمكين معالجة مخطط البيانات في هذه الحالات إلى تقليل أداء الشبكة وموثوقيتها. يساعد تعطيله على الحفاظ على استقرار الشبكة ويضمن استخدام موارد النظام بشكل أفضل في البيئات عالية الطلب.

1. (هذه الخطوة اختيارية.) لتعيين حماية الشبكة إلى وضع التدقيق، استخدم الأمر cmdlet التالي:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   لإيقاف تشغيل حماية الشبكة، استخدم المعلمة Disabled بدلا من AuditMode أو Enabled.

التحقق مما إذا كانت حماية الشبكة ممكنة

يمكنك استخدام محرر السجل للتحقق من حالة حماية الشبكة.

1. افتح محرر التسجيل (على سبيل المثال، شغل regedit.exe).

2. انتقل إلى المسار التالي: HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender>Policy Manager

   إذا لم يكن هذا المسار موجودا، فانتقل إلى HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

3. حدد EnableNetworkProtection لمشاهدة الحالة الحالية لحماية الشبكة على الجهاز:

   • 0متوقف عن التشغيل
   • 1 قيد التشغيل
   • 2 هو وضع التدقيق

   

معلومات مهمة حول إزالة إعدادات Exploit Guard من جهاز

عند نشر نهج Exploit Guard باستخدام Configuration Manager، تظل الإعدادات على العميل حتى إذا قمت بإزالة التوزيع لاحقا. إذا تمت إزالة التوزيع، فإن سجلات Delete العميل غير مدعومة في ExploitGuardHandler.log الملف.

لإزالة إعدادات Exploit Guard بشكل صحيح، استخدم البرنامج النصي PowerShell التالي في SYSTEM السياق:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"

$defenderObject.AttackSurfaceReductionRules = $null

$defenderObject.AttackSurfaceReductionOnlyExclusions = $null

$defenderObject.EnableControlledFolderAccess = $null

$defenderObject.ControlledFolderAccessAllowedApplications = $null

$defenderObject.ControlledFolderAccessProtectedFolders = $null

$defenderObject.EnableNetworkProtection = $null

$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"

$exploitGuardObject.ExploitProtectionSettings = $null

$exploitGuardObject.Put()

راجع أيضًا

• حماية الشبكة
• حماية الشبكة لنظام التشغيل Linux
• حماية الشبكة لنظام التشغيل macOS
• حماية الشبكة ومصافحة TCP ثلاثية الاتجاه
• تقييم حماية الشبكة
• استكشاف أخطاء حماية الشبكة وإصلاحها