Sdílet prostřednictvím

Použití ochrany sítě k ochraně před připojením ke škodlivým nebo podezřelým webům

Platí pro:

Platformy

  • Windows
  • macOS
  • Linux

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se k bezplatné zkušební verzi.

Přehled ochrany sítě

Ochrana sítě pomáhá chránit zařízení tím, že brání připojení ke škodlivým nebo podezřelým webům. Příkladem nebezpečných domén jsou domény, které hostují phishingové podvody, škodlivé soubory ke stažení, technické podvody nebo jiný škodlivý obsah. Ochrana sítě rozšiřuje rozsah Microsoft Defender filtru SmartScreen tak, aby blokoval veškerý odchozí provoz HTTP(S), který se pokouší připojit ke zdrojům se špatnou reputací (na základě domény nebo názvu hostitele).

Ochrana sítě rozšiřuje ochranu webové ochrany na úroveň operačního systému a je základní komponentou pro filtrování webového obsahu (WCF). Poskytuje funkce ochrany webu, které se nacházejí v microsoft Edgi, jiným podporovaným prohlížečům a nepřebíjených aplikacím. Ochrana sítě také poskytuje viditelnost a blokování indikátorů ohrožení (IOC) při použití s detekcí a odezvou koncového bodu. Ochrana sítě například spolupracuje s vlastními indikátory a blokuje konkrétní domény nebo názvy hostitelů.

V tomto videu se dozvíte, jak ochrana sítě pomáhá omezit prostor pro útoky na vaše zařízení v případě útoků phishing, zneužití a dalšího škodlivého obsahu:

Pokrytí ochrany sítě

Následující tabulka shrnuje oblasti pokrytí ochrany sítě.

Funkce Microsoft Edge Prohlížeče od jiných společností než Microsoft Neprobíjecí procesy
(například PowerShell)
Ochrana před webovými hrozbami Filtr SmartScreen musí být povolený. Ochrana sítě musí být v režimu blokování. Ochrana sítě musí být v režimu blokování.
Vlastní indikátory Filtr SmartScreen musí být povolený. Ochrana sítě musí být v režimu blokování. Ochrana sítě musí být v režimu blokování.
Filtrování webového obsahu Filtr SmartScreen musí být povolený. Ochrana sítě musí být v režimu blokování. Není podporováno

Pokud chcete zajistit, aby byl filtr SmartScreen pro Microsoft Edge povolený, použijte zásady Edge: Filtr SmartScreen je povolený.

Poznámka

Ochrana sítě ve Windows nemonitoruje Microsoft Edge. Pro jiné procesy než Microsoft Edge a Internet Explorer využívají scénáře webové ochrany ke kontrole a vynucování ochranu sítě. Na počítačích Mac a Linux integruje prohlížeč Microsoft Edge jenom ochranu před webovými hrozbami. Ochrana sítě musí být povolená v režimu blokování, aby podporovala vlastní indikátory a filtrování webového obsahu v Edgi a dalších prohlížečích.

Známé problémy & omezení

  • IP adresy jsou podporované pro všechny tři protokoly (TCP, HTTP a HTTPS (TLS)).
  • Ve vlastních indikátorech se podporují pouze jednotlivé IP adresy (žádné bloky CIDR ani rozsahy IP adres)
  • Adresy URL HTTP (včetně úplné cesty URL) se můžou blokovat pro libovolný prohlížeč nebo proces.
  • Plně kvalifikované názvy domén HTTPS (FQDN) můžou být blokované v prohlížečích jiných společností než Microsoft (indikátory určující úplnou cestu URL se dají blokovat jenom v Microsoft Edgi).
  • Blokování plně kvalifikovaných názvů domén v prohlížečích jiných společností než Microsoft vyžaduje, aby v těchto prohlížečích byly zakázané funkce QUIC a Encrypted Client Hello.
  • Plně kvalifikované názvy domén načtené prostřednictvím spojení HTTP2 se dají blokovat jenom v Microsoft Edgi.
  • Network Protection bude blokovat připojení na všech portech (ne jenom 80 a 443).

Mezi přidáním indikátoru nebo zásad a zablokováním odpovídající adresy URL nebo IP adresy může být latence až dvě hodiny (obvykle menší).

Požadavky na ochranu sítě

Ochrana sítě vyžaduje zařízení s jedním z následujících operačních systémů:

Ochrana sítě také vyžaduje Microsoft Defender Antivirus s povolenou ochranou v reálném čase.

Verze systému Windows Antivirová ochrana v Microsoft Defenderu
Windows 10 verze 1709 nebo novější, Windows 11, Windows Server 1803 nebo novější Ujistěte se, že je povolená ochrana Microsoft Defender Antivirus v reálném čase, monitorování chování a cloudová ochrana (aktivní).
Windows Server 2012 R2 a Windows Server 2016 pomocí moderního sjednoceného řešení Verze 4.18.2001.x.x aktualizace platformy nebo novější

Proč je ochrana sítě důležitá

Ochrana sítě je součástí skupiny řešení pro omezení potenciální oblasti útoku v Microsoft Defender for Endpoint. Ochrana sítě umožňuje síťové vrstvě blokovat připojení k doménám a IP adresám. Ochrana sítě ve výchozím nastavení chrání počítače před známými škodlivými doménami pomocí informačního kanálu SmartScreen, který blokuje škodlivé adresy URL podobným způsobem jako filtr SmartScreen v prohlížeči Microsoft Edge. Funkce ochrany sítě je možné rozšířit na:

Tip

Podrobnosti o ochraně sítě pro Windows Server, Linux, macOS a ochranu před mobilními hrozbami (MTD) najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání.

Blokování útoků na příkazy a řízení

Servery C2 (Command and Control) slouží k odesílání příkazů do systémů, které byly dříve ohroženy malwarem.

Servery C2 je možné použít k inicializaci příkazů, které můžou:

  • Ukrást data
  • Řízení ohrožených počítačů v botnetu
  • Narušení legitimních aplikací
  • Šíření malwaru, jako je ransomware

Součást ochrany sítě defenderu for Endpoint identifikuje a blokuje připojení k serverům C2 používaným při útocích ransomwarem provozovaným člověkem pomocí technik, jako je strojové učení a identifikace inteligentního ukazatele ohrožení (IoC).

Ochrana sítě: Detekce a náprava C2

Ransomware se vyvinul v sofistikovanou hrozbu, která je řízená člověkem, adaptivní a zaměřená na rozsáhlé výsledky, jako je uchovávání prostředků nebo dat celé organizace za výkupné.

Podpora serverů příkazů a řízení (C2) je důležitou součástí tohoto vývoje ransomwaru a umožňuje těmto útokům přizpůsobit se prostředí, na které cílí. Přerušením propojení s infrastrukturou příkazů a řízení se zastaví postup útoku do další fáze. Další informace o detekci a nápravě C2 najdete v blogu tech community: Detekce a náprava útoků na příkazy a řízení na síťové vrstvě.

Ochrana sítě: Nové informační zprávy

Nové mapování Kategorie odpovědi Zdroje
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

Poznámka

customAllowList negeneruje oznámení o koncových bodech.

Nová oznámení pro určení ochrany sítě

Když se koncový uživatel pokusí navštívit web v prostředí, ve kterém je povolená ochrana sítě, jsou možné tři scénáře, jak je uvedeno v následující tabulce:

Scénář Co se stane
Adresa URL má známou dobrou pověst. Uživatel má povolený přístup bez překážek a na koncovém bodu se nezobrazuje žádné informační oznámení. V důsledku toho je doména nebo adresa URL nastavená na Povoleno.
Adresa URL má neznámou nebo nejistou pověst. Přístup uživatele je zablokovaný, ale s možností ho obejít (odblokovat). V důsledku toho je doména nebo adresa URL nastavená na Audit.
Adresa URL má známou špatnou (škodlivou) pověst. Uživatel nemá přístup. V důsledku toho je doména nebo adresa URL nastavená na Blokovat.

Prostředí upozornění

Uživatel navštíví web. Pokud má adresa URL neznámou nebo nejistou reputaci, zobrazí se uživateli informační zpráva s následujícími možnostmi:

  • OK: Informační zpráva se uvolní (odebere) a pokus o přístup k webu skončí.
  • Odblokovat: Uživatel má přístup k webu po dobu 24 hodin; v tomto okamžiku je blok znovu povolený. Uživatel může pro přístup k webu dál používat funkci Odblokovat , dokud správce web nezakáže (nezablokuje), a tím možnost Odblokovat odebere.
  • Zpětná vazba: Informační zpráva zobrazí uživateli odkaz na odeslání lístku, který může použít k odeslání zpětné vazby správci ve snaze ospravedlnit přístup k webu.

Zobrazuje upozornění na obsah útoku phishing ochrany sítě.

Poznámka

Obrázky uvedené v tomto článku pro prostředí i warnblock prostředí používají jako příklad zástupného textu blokovanou adresu URL. Ve funkčním prostředí je uvedená skutečná adresa URL nebo doména.

Povolení pomocí CSP Convert warn verdict to block

Ve výchozím nastavení mají verdikty filtru SmartScreen pro škodlivé weby za následek upozornění, které může uživatel přepsat. Můžete nastavit zásadu, která převede upozornění na bloky a zabrání takovému přepsání.

V případě jiných prohlížečů než Edge si přečtěte téma Defender CSP: Configuration/EnableConvertWarnToBlock. Informace o prohlížečích Edge najdete v tématu Zásady Edge: Zabránění přepsání výzvy filtru SmartScreen.

Použití Zásady skupiny k povolení funkce Převést verdikt upozornění na blokování

Povolením tohoto nastavení zablokuje ochrana sítě síťový provoz místo zobrazení upozornění.

  1. Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny.

  2. Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

  3. V Editor správa Zásady skupiny přejděte na Konfigurace počítače a pak vyberte Šablony pro správu.

  4. Rozbalte strom na Součásti> systému Windows Microsoft Defender Antivirový>systém kontroly sítě.

  5. Poklikejte na Převést verdikt upozornění na blokování a nastavte možnost na Povoleno.

  6. Vyberte OK.

Prostředí blokování

Když uživatel navštíví web, jehož adresa URL má špatnou pověst, informační zpráva zobrazí uživateli následující možnosti:

  • OK: Informační zpráva se uvolní (odebere) a pokus o přístup k webu skončí.
  • Zpětná vazba: Informační zpráva zobrazí uživateli odkaz na odeslání lístku, který může použít k odeslání zpětné vazby správci ve snaze ospravedlnit přístup k webu.

Zobrazuje oznámení o blokování obsahu známého útoku phishing pro ochranu sítě.

Odblokování filtru SmartScreen

Pomocí indikátorů v Defenderu for Endpoint můžou správci koncovým uživatelům umožnit obejít upozornění generovaná pro některé adresy URL a IP adresy. V závislosti na tom, proč je adresa URL zablokovaná, může uživatel při zobrazení blokování filtru SmartScreen nabídnout možnost odblokovat web až na 24 hodin. V takových případech se zobrazí Zabezpečení Windows informační zpráva, která uživateli umožní vybrat možnost Odblokovat. V takových případech se adresa URL nebo IP adresa po zadané časové období odblokují.

Zabezpečení Windows oznámení pro ochranu sítě.

Microsoft Defender for Endpoint správci můžou nakonfigurovat funkci odblokování filtru SmartScreen na portálu Microsoft Defender pomocí indikátoru povolení pro IP adresy, adresy URL a domény.

Adresa URL a formulář IP adresy pro blokování filtru SmartScreen pro ochranu sítě.

Viz Vytváření indikátorů pro IP adresy a adresy URL/domény.

Použití ochrany sítě

Ochrana sítě je povolená pro každé zařízení, což se obvykle provádí pomocí infrastruktury pro správu. Informace o podporovaných metodách najdete v tématu Zapnutí ochrany sítě.

Poznámka

Microsoft Defender Antivirus musí být v aktivním režimu, aby bylo možné povolit ochranu sítě.

Ochranu sítě můžete povolit v audit režimu nebo block režimu. Pokud chcete vyhodnotit dopad povolení ochrany sítě před tím, než skutečně zablokujete IP adresy nebo adresy URL, můžete povolit ochranu sítě v režimu auditování. Režim auditu protokoluje vždy, když se koncoví uživatelé připojí k adrese nebo lokalitě, které by jinak zablokovala ochrana sítě. Chcete-li vynutit blokování vlastních indikátorů nebo kategorií filtrování webového obsahu, musí být ochrana sítě v block režimu.

Informace o ochraně sítě pro Linux a macOS najdete v následujících článcích:

Pokročilé rozšířené proaktivní vyhledávání

Pokud k identifikaci událostí auditu používáte rozšířené proaktivní vyhledávání, máte z konzoly k dispozici až 30denní historii. Viz Rozšířené proaktivní vyhledávání.

Události auditu najdete v části Rozšířené proaktivní vyhledávání na portálu Defenderu for Endpoint (https://security.microsoft.com).

Události auditu jsou v DeviceEvents s hodnotou ActionType .ExploitGuardNetworkProtectionAudited Bloky se zobrazují s actiontypem ExploitGuardNetworkProtectionBlocked.

Tady je příklad dotazu pro zobrazení událostí služby Network Protection v prohlížečích jiných společností než Microsoft:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Rozšířené proaktivní vyhledávání pro auditování a identifikaci událostí

Tip

Tyto položky obsahují data ve sloupci AdditionalFields , který poskytuje další informace o akci, včetně polí IsAudit, ResponseCategory a DisplayName.

Tady je další příklad:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Kategorie Odpověď vám řekne, co událost způsobilo, jako v tomto příkladu:

ResponseCategory Funkce zodpovědná za událost
CustomPolicy WCF
CustomBlockList Vlastní indikátory
CasbPolicy Defender for Cloud Apps
Malicious Webové hrozby
Phishing Webové hrozby

Další informace najdete v tématu Řešení potíží s bloky koncových bodů.

Pokud používáte prohlížeč Microsoft Edge, použijte pro Microsoft Defender události SmartScreen tento dotaz:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Výsledný seznam adres URL a IP adres můžete použít k určení toho, co by se zablokovalo, pokud je ochrana sítě na zařízení nastavená na režim blokování. Můžete také zjistit, které funkce by blokovaly adresy URL a IP adresy. Projděte si seznam a identifikujte všechny adresy URL nebo IP adresy, které jsou pro vaše prostředí nezbytné. Pak můžete vytvořit indikátor povolení pro tyto adresy URL nebo IP adresy. Povolit indikátory mají přednost před všemi bloky. Viz Pořadí priorit pro bloky ochrany sítě.

Po vytvoření indikátoru pro odblokování webu se můžete pokusit původní blok vyřešit následujícím způsobem:

  • Filtr SmartScreen: Pokud je to vhodné, nahlásit falešně pozitivní zprávu
  • Indikátor: úprava existujícího ukazatele
  • MCA: Kontrola neschválené aplikace
  • WCF: Rekategorizace požadavků

Poznámka

Vzhledem k tomu, že se jedná o nastavení pro jednotlivá zařízení, pokud existují zařízení, která se nemůžou přesunout do režimu blokování, můžete je jednoduše nechat v auditování, aby přijímala události auditování.

Informace o tom, jak hlásit falešně pozitivní výsledky v datech filtru SmartScreen, najdete v tématu Hlášení falešně pozitivních výsledků.

Podrobnosti o vytváření vlastních sestav Power BI najdete v tématu Vytváření vlastních sestav pomocí Power BI.

Konfigurace ochrany sítě

Další informace o tom, jak povolit ochranu sítě, najdete v tématu Povolení ochrany sítě. K povolení a správě ochrany sítě v síti použijte Zásady skupiny, PowerShell nebo poskytovatele CSP MDM.

Po povolení ochrany sítě možná budete muset nakonfigurovat síť nebo bránu firewall tak, aby umožňovaly připojení mezi koncovými zařízeními a webovými službami:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Požadovaná konfigurace prohlížeče

V procesech jiných než Microsoft Edge určuje služba Network Protection plně kvalifikovaný název domény pro každé připojení HTTPS tím, že prozkoumá obsah metody handshake protokolu TLS, ke které dochází po handshake protokolu TCP/IP. To vyžaduje, aby připojení HTTPS používalo PROTOKOL TCP/IP (ne UDP/QUIC) a aby zpráva ClientHello nebyla zašifrovaná. Pokud chcete v Prohlížeči Google Chrome zakázat funkce QUIC a Encrypted Client Hello, přečtěte si téma QuicAllowed a EncryptedClientHelloEnabled. Informace o prohlížeči Mozilla Firefox najdete v tématu Zakázání šifrováníClientHello a network.http.http3.enable.

Zobrazení událostí ochrany sítě

Ochrana sítě funguje nejlépe s Microsoft Defender for Endpoint, která poskytuje podrobné sestavy událostí ochrany před zneužitím a bloků v rámci scénářů šetření výstrah.

Když ochrana sítě blokuje připojení, zobrazí se v klientovi oznámení. Váš tým pro operace zabezpečení může oznámení přizpůsobit podrobnostmi vaší organizace a kontaktními informacemi.

Kontrola událostí ochrany sítě na portálu Microsoft Defender

Defender for Endpoint poskytuje podrobné sestavy událostí a bloků v rámci scénářů šetření výstrah. Tyto podrobnosti můžete zobrazit na portálu Microsoft Defender (https://security.microsoft.com) ve frontě upozornění nebo pomocí rozšířeného proaktivního vyhledávání. Pokud používáte režim auditování, můžete pomocí rozšířeného proaktivního vyhledávání zjistit, jak by nastavení ochrany sítě ovlivnilo vaše prostředí, pokud by bylo povolené.

Kontrola událostí ochrany sítě ve Windows Prohlížeč událostí

Můžete zkontrolovat protokol událostí Windows a zobrazit události, které se vytvoří, když ochrana sítě blokuje (nebo audituje) přístup ke škodlivé IP adrese nebo doméně:

  1. Vytvořte dotaz XML.

  2. Vyberte OK.

Tento postup vytvoří vlastní zobrazení, které filtry zobrazí pouze následující události související s ochranou sítě:

ID události Popis
5007 Událost při změně nastavení
1125 Událost, kdy se ochrana sítě aktivuje v režimu auditování
1126 Událost, kdy se ochrana sítě aktivuje v režimu blokování

Ochrana sítě a třícestné metody handshake protokolu TCP

U ochrany sítě se určení, zda povolit nebo zablokovat přístup k lokalitě, provádí po dokončení třícestného metody handshake prostřednictvím protokolu TCP/IP. Proto když ochrana sítě blokuje lokalitu, může se na portálu ConnectionSuccessDeviceNetworkEvents Microsoft Defender zobrazit typ akce pod, i když byl web zablokovaný. DeviceNetworkEvents jsou hlášeny z vrstvy PROTOKOLU TCP, nikoli z ochrany sítě. Po dokončení metody handshake protokolu TCP/IP a jakékoli metody handshake protokolu TLS je přístup k lokalitě povolený nebo blokovaný ochranou sítě.

Tady je příklad, jak to funguje:

  1. Předpokládejme, že se uživatel pokusí o přístup k webu. Web je hostovaný v nebezpečné doméně a měla by být blokována ochranou sítě.

  2. Spustí se trojcestné handshake přes protokol TCP/IP. Než se akce dokončí, DeviceNetworkEvents zaprotokoluje se a zobrazí ActionType se jako ConnectionSuccess. Jakmile se ale třícestný proces handshake dokončí, ochrana sítě zablokuje přístup k lokalitě. To všechno se děje rychle.

  3. Na portálu Microsoft Defender je ve frontě upozornění uvedená výstraha. Podrobnosti o této výstraze zahrnují i DeviceNetworkEventsAlertEvidence. Můžete vidět, že web byl zablokován, i když máte DeviceNetworkEvents také položku s actiontypem ConnectionSuccess.

Důležité informace o virtuálních počítačích s Windows se systémem Windows 10 Enterprise více relací

Vzhledem k tomu, že Windows 10 Enterprise má více uživatelů, mějte na paměti následující skutečnosti:

  • Ochrana sítě je funkce pro celé zařízení a není možné ji cílit na konkrétní uživatelské relace.
  • Pokud potřebujete rozlišovat mezi skupinami uživatelů, zvažte vytvoření samostatných fondů hostitelů a přiřazení služby Windows Virtual Desktop.
  • Před zavedením otestujte ochranu sítě v režimu auditování a vyhodnoťte její chování.
  • Pokud máte velký počet uživatelů nebo velký počet relací s více uživateli, zvažte změnu velikosti nasazení.

Alternativní možnost ochrany sítě

Pro Windows Server 2012 R2 a Windows Server 2016 pomocí moderního sjednoceného řešení Windows Server verze 1803 nebo novější a Windows 10 Enterprise Více relací 1909 a novějších, které se používají ve službě Windows Virtual Desktop v Azure, je možné povolit ochranu sítě pro Microsoft Edge pomocí následující metody:

  1. Použijte možnost Zapnout ochranu sítě a postupujte podle pokynů k použití zásad.

  2. Spusťte následující příkazy PowerShellu:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    Poznámka

    V některých případech může mít vliv na výkon sítě v závislosti na vaší infrastruktuře, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 objemu provozu a dalších podmínkách.

Ochrana sítě pro Windows Servery

Následující informace jsou specifické pro Windows Servery.

Ověřte, že je povolená ochrana sítě.

Pomocí Editor registru ověřte, jestli je na místním zařízení povolená ochrana sítě.

  1. Výběrem tlačítka Start na hlavním panelu a zadáním příkazu regedit otevřete Editor registru.

  2. V boční nabídce vyberte HKEY_LOCAL_MACHINE .

  3. Přejděte mezi vnořenými nabídkami dočásti OchranasítěOchrana ochrany Exploit Guard> vprogramu Microsoft Windows Defenderzásady >SOFTWARU> v programuWindows> Defender>.

    (Pokud klíč není k dispozici, přejděte na SOFTWARE>.Microsoft>Windows Defender>Ochrana Exploit Guard> v programu Windows DefenderOchrana sítě)

  4. Vyberte EnableNetworkProtection a zobrazte aktuální stav ochrany sítě na zařízení:

    • 0 = Vypnuto
    • 1 = Zapnuto (povoleno)
    • 2 = Režim auditování

Další informace najdete v tématu Zapnutí ochrany sítě.

Navrhované klíče registru ochrany sítě

V případě Windows Server 2012 R2 a Windows Server 2016 s využitím moderního sjednoceného řešení Windows Server verze 1803 nebo novější a Windows 10 Enterprise multi-session 1909 a novějších (používá se ve Službě Windows Virtual Desktop v Azure) povolte další klíče registru. následuje:

  1. Přejděte na HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows DefenderWindows Defender> Exploit Guard >Ochrana sítě.

  2. Nakonfigurujte následující klíče:

    • AllowNetworkProtectionOnWinServer (DWORD) nastaveno na 1 (hex)
    • EnableNetworkProtection (DWORD) nastaveno na 1 (hex)
    • (Při Windows Server 2012 R2 a pouze Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) nastaveno na 1 (šestnáctkové)

Poznámka

V závislosti na vaší infrastruktuře, objemu provozu a dalších podmínkách můžou mít na výkon sítě vliv HKEY_LOCAL_MACHINE>ZÁSADY>SOFTWARU>pro uživatele> v programuMicrosoft>Windows Defender>NIS>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex).

Další informace najdete v tématu Zapnutí ochrany sítě.

Konfigurace windows serverů a více relací Windows vyžaduje PowerShell.

Pro Windows Servery a Windows Multi-session existují další položky, které musíte povolit pomocí rutin PowerShellu. Pro Windows Server 2012 R2 a Windows Server 2016 pomocí moderního sjednoceného řešení Windows Server verze 1803 nebo novější a Windows 10 Enterprise multi-session 1909 a novějších, které se používají ve Windows Virtual Desktopu v Azure, spusťte následující příkazy PowerShellu.:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Poznámka

V některých případech může v závislosti na vaší infrastruktuře, objemu provozu a dalších podmínkách Set-MpPreference -AllowDatagramProcessingOnWinServer 1 ovlivnit výkon sítě.

Řešení potíží s ochranou sítě

Vzhledem k prostředí, ve kterém běží ochrana sítě, nemusí být funkce schopná rozpoznat nastavení proxy serveru operačního systému. V některých případech se klienti ochrany sítě nemůžou připojit ke cloudové službě. Pokud chcete problém s připojením vyřešit, nakonfigurujte statický proxy server pro Microsoft Defender Antivirus.

Poznámka

Funkce ochrany sítě nepodporují šifrovaný klient Hello a protokol QUIC. Ujistěte se, že jsou tyto protokoly v prohlížečích zakázané, jak je popsáno výše v části Požadovaná konfigurace prohlížeče .

Pokud chcete quic zakázat ve všech klientech, můžete blokovat provoz QUIC přes bránu Windows Firewall.

Zakázání QUIC v bráně Windows Firewall

Tato metoda ovlivňuje všechny aplikace, včetně prohlížečů a klientských aplikací (například Microsoft Office). Spuštěním rutiny v PowerShellu New-NetFirewallRule přidejte nové pravidlo brány firewall, které zakáže QUIC blokováním veškerého odchozího provozu UDP na portu 443:


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Optimalizace výkonu ochrany sítě

Ochrana sítě zahrnuje optimalizaci výkonu, která umožňuje block režimu asynchronně kontrolovat dlouhodobá připojení, což může přinést zlepšení výkonu. Tato optimalizace může také pomoct s problémy s kompatibilitou aplikací. Tato funkce je ve výchozím nastavení zapnutá.

Povolení allowSwitchToAsyncInspection pomocí CSP

Defender CSP: Configuration/AllowSwitchToAsyncInspection

Povolení zapnutí asynchronní kontroly pomocí Zásady skupiny

Tento postup umožňuje ochraně sítě zlepšit výkon přepnutím z kontroly v reálném čase na asynchronní kontrolu.

  1. Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny.

  2. Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a pak vyberte Upravit.

  3. V Editor správa Zásady skupiny přejděte na Konfigurace počítače a pak vyberte Šablony pro správu.

  4. Rozbalte strom na Součásti> systému Windows Microsoft Defender Antivirový>systém kontroly sítě.

  5. Poklikejte na Zapnout asynchronní kontrolu a pak nastavte možnost na Povoleno.

  6. Vyberte OK.

Povolení asynchronní kontroly pomocí rutiny PowerShellu Microsoft Defender Antivirové ochrany

Tuto funkci můžete zapnout pomocí následující rutiny PowerShellu:

Set-MpPreference -AllowSwitchToAsyncInspection $true

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.