Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Oversigt
Ved at oprette indikatorer for IP-adresser og URL-adresser eller domæner kan du nu tillade eller blokere IP-adresser, URL-adresser eller domæner baseret på din egen trusselsintelligens. Du kan også advare brugerne, hvis de åbner en risikable app. Prompten forhindrer dem ikke i at bruge appen. brugere kan tilsidesætte advarslen og fortsætte med at bruge appen, hvis det er nødvendigt.
Hvis du vil blokere skadelige IP-adresser/URL-adresser, kan Defender for Endpoint bruge:
- Windows Defender SmartScreen til Microsoft-browsere
- Netværksbeskyttelse af ikke-Microsoft-browsere og processer, der ikke er browsere
Standarddatasættet til trusselsintelligens til blokering af skadelige IP-adresser/URL-adresser administreres af Microsoft.
Du kan blokere yderligere skadelige IP-adresser/URL-adresser ved at konfigurere "Brugerdefinerede netværksindikatorer".
Understøttede operativsystemer
- Windows 11
- Windows 10, version 1709 eller nyere
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016, der kører Defender for Endpoint moderne unified løsning (kræver installation via MSI)
- Windows Server 2012 R2, der kører Defender for Endpoint moderne unified løsning (kræver installation via MSI)
- macOS
- Linux
- iOS
- Android
Før du begynder
Det er vigtigt at forstå følgende forudsætninger, før du opretter indikatorer for IP-adresser, URL-adresser eller domæner.
krav til Microsoft Defender antivirusversion
Integration i Microsoft-browsere styres af browserens SmartScreen-indstilling. I andre browsere og programmer skal din organisation have:
Microsoft Defender Antivirus konfigureret i aktiv tilstand.
Overvågning af funktionsmåde er aktiveret.
Skybaseret beskyttelse er slået til.
Klientversionen til antimalware skal være
4.18.1906.x
eller nyere. Se Månedlige platform- og programversioner.
Krav til netværksbeskyttelse
Url-adresse/IP-tilladelse og -blokering kræver, at Microsoft Defender for Endpoint komponenten Network Protection er aktiveret i blokeringstilstand. Du kan finde flere oplysninger om Netværksbeskyttelse og konfigurationsinstruktioner under Aktivér netværksbeskyttelse.
Krav til brugerdefinerede netværksindikatorer
Hvis du vil starte blokeringen af IP-adresser og/eller URL-adresser, skal du aktivere funktionen "Brugerdefinerede netværksindikatorer" på Microsoft Defender-portalen. Funktionen findes i Indstillinger>Slutpunkter>Generelle>avancerede funktioner. Du kan få flere oplysninger under Avancerede funktioner.
Hvis du vil have hjælp til indikatorer på iOS, skal du se Microsoft Defender for Endpoint på iOS.
Hvis du vil have hjælp til indikatorer på Android, skal du se Microsoft Defender for Endpoint på Android.
Begrænsninger for indikatorliste
Det er kun eksterne IP-adresser, der kan føjes til indikatorlisten. der ikke kan oprettes indikatorer for interne IP-adresser.
Processer, der ikke er Microsoft Edge og Internet Explorer
I forbindelse med andre processer end Microsoft Edge og Internet Explorer kan webbeskyttelsesscenarier bruge Netværksbeskyttelse til inspektion og håndhævelse:
- IP-adresser understøttes for alle tre protokoller (TCP, HTTP og HTTPS (TLS))
- Kun enkelte IP-adresser understøttes (ingen CIDR-blokke eller IP-intervaller) i brugerdefinerede indikatorer
- HTTP URL-adresser (herunder en fuldstændig URL-sti) kan blokeres for alle browsere eller processer
- Fuldt kvalificerede HTTPS-domænenavne (FQDN) kan blokeres i ikke-Microsoft-browsere (indikatorer, der angiver en fuld URL-sti, kan kun blokeres i Microsoft Edge)
- Blokering af FQDN'er i ikke-Microsoft-browsere kræver, at QUIC og Encrypted Client Hello er deaktiveret i disse browsere
- FQDN'er, der indlæses via HTTP2-forbindelsesforbindelser, kan kun blokeres i Microsoft Edge
- Hvis der er modstridende politikker for URL-indikator, anvendes den længere sti. URL-indikatorpolitikken
https://support.microsoft.com/office
har f.eks. forrang frem for URL-indikatorpolitikkenhttps://support.microsoft.com
.
Implementering af netværksbeskyttelse
I ikke-Microsoft Edge-processer bestemmer Network Protection det fuldt kvalificerede domænenavn for hver HTTPS-forbindelse ved at undersøge indholdet af det TLS-håndtryk, der forekommer efter et TCP/IP-håndtryk. Dette kræver, at HTTPS-forbindelsen bruger TCP/IP (ikke UDP/QUIC), og at ClientHello-meddelelsen ikke krypteres. Hvis du vil deaktivere QUIC og Encrypted Client Hello i Google Chrome, skal du se QuicAllowed og EncryptedClientHelloEnabled. For Mozilla Firefox skal du se Disable EncryptedClientHello og network.http.http3.enable.
Afgørelsen af, om der skal tillades eller blokeres adgang til et websted, foretages efter afslutningen af trevejshandsken via TCP/IP og TLS-håndtryk . Når et websted er blokeret af netværksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess
under NetworkConnectionEvents
på Microsoft Defender-portalen, selvom webstedet er blokeret.
NetworkConnectionEvents
rapporteres fra TCP-laget og ikke fra netværksbeskyttelse. Når det trevejshåndtryk er fuldført, er adgang til webstedet tilladt eller blokeret af netværksbeskyttelse.
Her er et eksempel på, hvordan det fungerer:
Lad os antage, at en bruger forsøger at få adgang til et websted på sin enhed. Webstedet hostes tilfældigvis på et farligt domæne, og det bør blokeres af netværksbeskyttelse.
TCP/IP-håndtrykket begynder. Før den fuldføres, logføres en
NetworkConnectionEvents
handling, og denActionType
er angivet somConnectionSuccess
. Men så snart TCP/IP-handshakeprocessen er fuldført, blokerer netværksbeskyttelse adgangen til webstedet. Alt dette sker hurtigt. En lignende proces forekommer med Microsoft Defender SmartScreen. Det er, når håndtrykket er fuldført, at der foretages en bestemmelse, og adgang til et websted enten er blokeret eller tilladt.I Microsoft Defender-portalen vises en besked i beskedkøen. Oplysningerne om denne besked omfatter både
NetworkConnectionEvents
ogAlertEvents
. Du kan se, at webstedet er blokeret, selvom du også har etNetworkConnectionEvents
element med ActionType forConnectionSuccess
.
Kontrolelementer i advarselstilstand
Når du bruger advarselstilstand, kan du konfigurere følgende kontrolelementer:
Overløbs evne
- Knappen Tillad i Microsoft Edge
- Knappen Tillad på toast (ikke-Microsoft-browsere)
- Overløb varighedsparameteren på indikatoren
- Tilsidesæt håndhævelse på tværs af Microsoft- og ikke-Microsoft-browsere
URL-adresse til omdirigering
- URL-adresseparameter for omdirigering på indikatoren
- URL-adresse til omdirigering i Microsoft Edge
- URL-adresse til omdirigering på toast (ikke-Microsoft-browsere)
Du kan finde flere oplysninger under Styr de apps, der registreres af Microsoft Defender for Endpoint.
Rækkefølge for håndtering af konflikter i forbindelse med indikator-IP-adresse og domænepolitik
Politikkonflikthåndtering for domæner/URL-adresser/IP-adresser adskiller sig fra håndtering af politikkonflikter for certifikater.
Hvis der er angivet flere forskellige handlingstyper for den samme indikator (f.eks. tre indikatorer for Microsoft.com med handlingstyperne blok,advars og tillad), vil disse handlingstyper træde i kraft:
Tillad
Advare
Bloker
"Allow" tilsidesætter "warn", som tilsidesætter "block" på følgende måde: Allow
>>Warn
Block
. Derfor er det tilladt i det forrige eksempel Microsoft.com
.
indikatorer for Defender for Cloud Apps
Hvis din organisation har aktiveret integration mellem Defender for Endpoint og Defender for Cloud Apps, oprettes der blokindikatorer i Defender for Endpoint for alle ikke-registrerede cloudprogrammer. Hvis et program sættes i overvågningstilstand, oprettes der advarselsindikatorer (blok, der kan tilsidesættes) for de URL-adresser, der er knyttet til programmet. Tillad indikatorer oprettes ikke automatisk for godkendte programmer. Indikatorer, der oprettes af Defender for Cloud Apps følger den samme politikkonflikthåndtering, der er beskrevet i forrige afsnit.
Prioritet for politik
Microsoft Defender for Endpoint politik har forrang frem for Microsoft Defender Antivirus-politik. I situationer, hvor Defender for Endpoint er angivet til Allow
, men Microsoft Defender Antivirus er angivet til Block
, er Allow
resultatet .
Rangplacering for flere aktive politikker
Anvendelse af flere forskellige politikker til filtrering af webindhold på den samme enhed resulterer i den mere restriktive politik, der gælder for hver kategori. Overvej følgende scenarie:
- Politik 1 blokerer kategori 1 og 2 og overvåger resten
- Politik 2 blokerer kategori 3 og 4 og overvåger resten
Resultatet er, at kategorierne 1-4 er blokeret. Dette scenarie er illustreret på følgende billede.
Opret en indikator for IP-adresser, URL-adresser eller domæner fra indstillingssiden
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg fanen IP-adresser eller URL-adresser/domæner .
Vælg Tilføj element.
Angiv følgende oplysninger:
- Indikator: Angiv enhedsdetaljerne, og definer indikatorens udløb.
- Handling: Angiv den handling, der skal udføres, og angiv en beskrivelse.
- Område: Angiv den eller de computergrupper, der skal gennemtvinge indikatoren.
Gennemse oplysningerne under fanen Oversigt , og vælg derefter Gem.
Vigtigt!
Det kan tage op til 48 timer, efter at der er oprettet en politik for en URL-adresse eller IP-adresse, der skal blokeres på en enhed. I de fleste tilfælde træder blokke i kraft om under to timer.
Relaterede artikler
- Opret indikatorer
- Opret indikatorer for filer
- Opret indikatorer baseret på certifikater
- Administrer indikatorer
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.