Beskyt dit netværk

  • Artikel

Gælder for:

Platforme

  • Windows
  • Macos
  • Linux

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Oversigt over netværksbeskyttelse

Netværksbeskyttelse hjælper med at beskytte enheder mod internetbaserede hændelser. Netværksbeskyttelse er en funktionalitet til reduktion af angrebsoverfladen. Det hjælper med at forhindre medarbejdere i at få adgang til farlige domæner via programmer. Domæner, der hoster phishing-svindel, udnyttelser og andet skadeligt indhold på internettet, betragtes som farlige. Netværksbeskyttelse udvider omfanget af Microsoft Defender SmartScreen for at blokere al udgående HTTP(S)-trafik, der forsøger at oprette forbindelse til kilder med lavt omdømme (baseret på domænet eller værtsnavnet).

Netværksbeskyttelse udvider beskyttelsen i Webbeskyttelse til operativsystemets niveau og er en kernekomponent til webindholdsfiltrering (WCF). Den leverer den webbeskyttelsesfunktionalitet, der findes i Microsoft Edge, til andre understøttede browsere og programmer, der ikke er browsere. Netværksbeskyttelse giver også synlighed og blokering af indikatorer for kompromitteret (IOCs), når de bruges sammen med registrering og svar af slutpunkter. Netværksbeskyttelse fungerer f.eks. med dine brugerdefinerede indikatorer , som du kan bruge til at blokere bestemte domæner eller værtsnavne.

Netværksbeskyttelsesdækning

I følgende tabel opsummeres dækningsområder for netværksbeskyttelse.

Funktion Microsoft Edge Tredjepartsbrowsere Processer, der ikke er webbrowsere
(f.eks. PowerShell)
Web Threat Protection SmartScreen skal være aktiveret Netværksbeskyttelse skal være i blokeringstilstand Netværksbeskyttelse skal være i blokeringstilstand
Brugerdefinerede indikatorer SmartScreen skal være aktiveret Netværksbeskyttelse skal være i blokeringstilstand Netværksbeskyttelse skal være i blokeringstilstand
Filtrering af webindhold SmartScreen skal være aktiveret Netværksbeskyttelse skal være i blokeringstilstand Understøttes ikke

Bemærk!

På Mac og Linux skal du have netværksbeskyttelse i bloktilstand for at få support til disse funktioner i Edge. I Windows overvåger netværksbeskyttelse ikke Microsoft Edge. I forbindelse med andre processer end Microsoft Edge og Internet Explorer bruger webbeskyttelsesscenarier netværksbeskyttelse til inspektion og håndhævelse.

  • IP understøttes for alle tre protokoller (TCP, HTTP og HTTPS (TLS)).
  • Det er kun enkelte IP-adresser, der understøttes (ingen CIDR-blokke eller IP-områder) i brugerdefinerede indikatorer.
  • Krypterede URL-adresser (fuld sti) kan kun blokeres i førstepartsbrowsere (Internet Explorer, Edge).
  • Krypterede URL-adresser (kun FQDN) kan blokeres i tredjepartsbrowsere (dvs. andre end Internet Explorer, Edge).
  • Der kan anvendes komplette URL-stiblokke for ukrypterede URL-adresser.

Der kan være op til to timers ventetid (normalt mindre) mellem det tidspunkt, hvor handlingen udføres, og URL-adressen og IP-adressen blokeres.

Se denne video for at få mere at vide om, hvordan Netværksbeskyttelse hjælper med at reducere angrebsoverfladen på dine enheder fra phishing-svindel, udnyttelser og andet skadeligt indhold.

Krav til netværksbeskyttelse

Netværksbeskyttelse kræver Windows 10 eller 11 (Pro eller Enterprise), Windows Server version 1803 eller nyere, macOS version 11 eller nyere eller Defender Understøttede Linux-versioner og Microsoft Defender Antivirus realtidsbeskyttelse.

Windows-version Microsoft Defender Antivirus
Windows 10 version 1709 eller nyere, Windows 11, Windows Server 1803 eller nyere Sørg for, at Microsoft Defender Antivirus-beskyttelse i realtid, overvågning af funktionsmåde og skybaseret beskyttelse er aktiveret (aktiv)
Windows Server 2012 R2 og Windows Server 2016 med unified agent Platformopdatering version 4.18.2001.x.x eller nyere

Hvorfor netværksbeskyttelse er vigtig

Netværksbeskyttelse er en del af gruppen af løsninger til reduktion af angrebsoverfladen i Microsoft Defender for Endpoint. Netværksbeskyttelse gør det muligt for netværkslaget at blokere URL-adresser og IP-adresser. Netværksbeskyttelse kan forhindre ADGANG til URL-adresser ved hjælp af visse browsere og standardnetværksforbindelser. Som standard beskytter netværksbeskyttelse dine computere mod kendte skadelige URL-adresser ved hjælp af SmartScreen-feedet, hvilket blokerer skadelige URL-adresser på samme måde som SmartScreen i Microsoft Edge-browseren. Funktionaliteten til netværksbeskyttelse kan udvides til:

Netværksbeskyttelse er en vigtig del af Microsofts beskyttelses- og svarstak.

Tip

Du kan finde flere oplysninger om netværksbeskyttelse til Windows Server, Linux, MacOS og Mobile Threat Defense (MTD) under Proaktiv jagt efter trusler med avanceret jagt.

Bloker kommando- og kontrolangreb

C2-servercomputere (Command and Control) bruges af ondsindede brugere til at sende kommandoer til systemer, der tidligere er kompromitteret af skadelig software. C2-angreb skjules typisk i cloudbaserede tjenester som fildeling og webmailtjenester, hvilket gør det muligt for C2-serverne at undgå registrering ved at blande sig med typisk trafik.

C2-servere kan bruges til at starte kommandoer, der kan:

  • Stjæl data
  • Styr kompromitterede computere i et botnet
  • Afbryd legitime programmer
  • Spred malware, f.eks. ransomware

Netværksbeskyttelseskomponenten i Defender for Endpoint identificerer og blokerer forbindelser til C2-infrastrukturer, der bruges i menneskeligt drevne ransomware-angreb, ved hjælp af teknikker som maskinel indlæring og intelligent ioC-identifikation (indicator-of-compromise).

Netværksbeskyttelse: C2-registrering og -afhjælpning

I sin oprindelige form er ransomware en råvaretrussel, forudprogrammeret og fokuseret på begrænsede, specifikke resultater (for eksempel kryptering af en computer). Ransomware har dog udviklet sig til en sofistikeret trussel, der er menneskeligt drevet, adaptiv og fokuseret på større skala og mere udbredte resultater, som at holde en hel organisations aktiver eller data som løsesum.

Understøttelse af kommando- og kontrolservere (C2) er en vigtig del af denne ransomware-udvikling og er det, der gør det muligt for disse angreb at tilpasse sig det miljø, de er målrettet mod. Hvis du afbryder linket til kommando- og kontrolinfrastrukturen, stopper det et angrebs forløb til næste fase. Du kan finde flere oplysninger om C2-registrering og -afhjælpning under Registrering og afhjælpning af kommando- og kontrolangreb på netværkslaget.

Netværksbeskyttelse: Nye toastbeskeder

Ny tilknytning Svarkategori Kilder
Phishing Phishing Smartscreen
Skadelig Skadelig Smartscreen
kommando og kontrolelement C2 Smartscreen
kommando og kontrolelement COCO Smartscreen
Skadelig Untrusted Smartscreen
af it-administratoren CustomBlockList
af it-administratoren Brugerdefineret politik

Bemærk!

customAllowList genererer ikke meddelelser på slutpunkter.

Nye meddelelser til bestemmelse af netværksbeskyttelse

En ny offentligt tilgængelig funktion i netværksbeskyttelse bruger funktioner i SmartScreen til at blokere phishing-aktiviteter fra skadelige kommando- og kontrolwebsteder.

Når en slutbruger forsøger at besøge et websted i et miljø, hvor netværksbeskyttelse er aktiveret, er der tre mulige scenarier:

  • URL-adressen har et kendt godt omdømme – I dette tilfælde har brugeren tilladelse til at få adgang uden hindring, og der vises ingen toastbesked på slutpunktet. Domænet eller URL-adressen er reelt angivet til Tilladt.
  • URL-adressen har et ukendt eller usikkert omdømme – Brugerens adgang er blokeret, men med muligheden for at omgå (fjerne blokeringen) blokken. Domænet eller URL-adressen er reelt angivet til Overvågning.
  • URL-adressen har et kendt dårligt (skadeligt) omdømme – Brugeren forhindres i at få adgang. Domænet eller URL-adressen er reelt angivet til Bloker.

Advar-oplevelse

En bruger besøger et websted:

  • Hvis URL-adressen har et ukendt eller usikkert omdømme, vil en toastbesked give brugeren følgende muligheder:

    • Ok – Toastmeddelelsen frigives (fjernes), og forsøget på at få adgang til webstedet er afsluttet.

    • Fjern blokering - Brugeren har adgang til webstedet i 24 timer. hvorefter blokken kan genbruges. Brugeren kan fortsætte med at bruge Fjern blokering til at få adgang til webstedet, indtil administratoren forbyder (blokerer) webstedet og dermed fjerner muligheden for at fjerne blokeringen.

    • Feedback – Toastbeskeden giver brugeren et link til at indsende en billet, som brugeren kan bruge til at sende feedback til administratoren i et forsøg på at retfærdiggøre adgangen til webstedet.

      Viser en advarsel om advarsel om phishing-indhold til netværksbeskyttelse.

    Bemærk!

    De billeder, der vises her for at advare og blokere (nedenfor), indeholder begge en liste over "blokeret URL-adresse" som eksempelpladsholdertekst. i et fungerende miljø vises den faktiske URL-adresse eller det faktiske domæne.

Blokoplevelse

En bruger besøger et websted:

  • Hvis URL-adressen har et dårligt omdømme, vil en toastbesked give brugeren følgende muligheder:

    • Ok Toastbeskeden frigives (fjernes), og forsøget på at få adgang til webstedet afsluttes.

    • Feedback Toastbeskeden giver brugeren et link til at indsende en billet, som brugeren kan bruge til at sende feedback til administratoren i et forsøg på at retfærdiggøre adgangen til webstedet.

      Viser en kendt meddelelse om blokeret phishing-indhold i netværksbeskyttelse.

Fjern blokering af SmartScreen

Med indikatorer i Defender for Endpoint kan administratorer tillade, at slutbrugere tilsidesætter advarsler, der genereres for nogle URL-adresser og IP-adresser. Afhængigt af hvorfor URL-adressen blev blokeret, kan det give mulighed for at fjerne blokeringen af webstedet i op til 24 timer, når der opstår en SmartScreen-blok. I sådanne tilfælde vises en Windows Sikkerhed toastbesked, der giver slutbrugeren mulighed for at fjerne blokeringen af URL-adressen eller IP-adressen i den definerede tidsperiode.

Windows Sikkerhed meddelelse om netværksbeskyttelse.

Microsoft Defender for Endpoint administratorer kan konfigurere Funktionen Til fjernelse af blokering af SmartScreen på Microsoft Defender-portalen ved hjælp af en "tillad"-indikator for IP-adresser, URL-adresser og domæner.

SmartScreen til netværksbeskyttelse blokerer konfiguration af ULR- og IP-formular.

Se Opret indikatorer for IP-adresser og URL-adresser/domæner.

Brug af netværksbeskyttelse

Netværksbeskyttelse er aktiveret pr. enhed, hvilket typisk gøres ved hjælp af din administrationsinfrastruktur. Du kan se understøttede metoder under Slå netværksbeskyttelse til.

Bemærk!

Microsoft Defender Antivirus skal være aktiv for at aktivere netværksbeskyttelse.

Du kan aktivere netværksbeskyttelse i overvågningstilstand eller bloktilstand . Hvis du vil evaluere effekten af at aktivere netværksbeskyttelse, før du faktisk blokerer IP-adresser eller URL-adresser, kan du aktivere netværksbeskyttelse i overvågningstilstand i tid til at indsamle data om, hvad der blokeres. Overvågningstilstand logfører, når slutbrugerne har oprettet forbindelse til en adresse eller et websted, der ellers ville være blevet blokeret af netværksbeskyttelse. Bemærk, at hvis indikatorer for kompromitteret (IoC) eller filtrering af webindhold (WCF) skal fungere, skal netværksbeskyttelsen være i "Bloktilstand"

Du kan få mere at vide om netværksbeskyttelse til Linux og macOS under: Netværksbeskyttelse til Linux og netværksbeskyttelse til macOS.

Avanceret jagt

Hvis du bruger avanceret jagt til at identificere overvågningshændelser, har du op til 30 dages historik tilgængelig fra konsollen. Se Avanceret jagt.

Du kan finde overvågningshændelserne i Avanceret jagt på Defender for Endpoint-portalen (https://security.microsoft.com).

Overvågningshændelser er i DeviceEvents med actionType af ExploitGuardNetworkProtectionAudited. Blokke vises med actiontype af ExploitGuardNetworkProtectionBlocked.

Her er et eksempel på en forespørgsel til visning af Network Protection-hændelser for tredjepartsbrowsere:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Avanceret jagt efter overvågning og identificering af hændelser.

Tip

Disse poster indeholder data i kolonnen AdditionalFields , som giver dig gode oplysninger om handlingen. Hvis du udvider AdditionalFields , kan du også hente felterne: IsAudit, ResponseCategory og DisplayName.

Her er et andet eksempel:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Kategorien Svar fortæller dig, hvad der forårsagede hændelsen, f.eks.:

Svarkategori Funktion, der er ansvarlig for hændelsen
Brugerdefineret politik WCF
CustomBlockList Brugerdefinerede indikatorer
CasbPolicy Defender for Cloud Apps
Skadelig Webtrusler
Phishing Webtrusler

Du kan finde flere oplysninger under Fejlfinding af slutpunktblokke.

Bemærk, at Microsoft Defender SmartScreen-hændelser specifikt for Microsoft Edge-browseren, skal have en anden forespørgsel:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Du kan bruge den resulterende liste over URL-adresser og IP-adresser til at bestemme, hvad der ville være blevet blokeret, hvis enheden var i blokeringstilstand, og hvilken funktion der blokerede dem. Gennemse hvert element på listen for at identificere URL-adresser eller IP-adresser, uanset om der er nødvendige for dit miljø. Hvis du finder poster, der er blevet overvåget, og som er kritiske for dit miljø, skal du oprette en indikator, der tillader dem på dit netværk. Tillad, at URL-adresser/IP-indikatorer tilsidesætter en hvilken som helst blok.

Når du har oprettet en indikator, kan du se på, hvordan du løser det underliggende problem:

  • SmartScreen – anmod om gennemsyn
  • Indikator – rediger eksisterende indikator
  • MCA – gennemse ikke-sanktioneret APP
  • WCF – omkategorisering af anmodning

Ved hjælp af disse data kan du træffe en informeret beslutning om at aktivere Netværksbeskyttelse i bloktilstand. Se Rangorden for netværksbeskyttelsesblokke.

Bemærk!

Da dette er en indstilling pr. enhed, kan du, hvis der er enheder, der ikke kan flytte til bloktilstand, bare lade dem være på overvågning, indtil du kan rette op på udfordringen, og du stadig modtager overvågningshændelserne.

Du kan få oplysninger om, hvordan du rapporterer falske positiver, under Rapportér falske positiver.

Du kan finde oplysninger om, hvordan du opretter dine egne Power BI-rapporter, under Opret brugerdefinerede rapporter ved hjælp af Power BI.

Konfiguration af netværksbeskyttelse

Du kan få mere at vide om, hvordan du aktiverer netværksbeskyttelse, under Aktivér netværksbeskyttelse. Brug Gruppepolitik, PowerShell eller MDM-CSP'er til at aktivere og administrere netværksbeskyttelse på dit netværk.

Når du har aktiveret netværksbeskyttelse, skal du muligvis konfigurere netværket eller firewallen for at tillade forbindelser mellem dine slutpunktsenheder og webtjenesterne:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Visning af netværksbeskyttelseshændelser

Netværksbeskyttelse fungerer bedst sammen med Microsoft Defender for Endpoint, hvilket giver dig detaljeret rapportering om hændelser og blokke for udnyttelse af beskyttelse som en del af scenarier med undersøgelse af beskeder.

Når netværksbeskyttelse blokerer en forbindelse, vises der en meddelelse fra Løsningscenter. Dit team af sikkerhedshandlinger kan tilpasse meddelelsen med din organisations oplysninger og kontaktoplysninger. Derudover kan individuelle regler for reduktion af angrebsoverfladen aktiveres og tilpasses, så de passer til visse teknikker, der skal overvåges.

Du kan også bruge overvågningstilstand til at evaluere, hvordan netværksbeskyttelse vil påvirke din organisation, hvis den er aktiveret.

Gennemse netværksbeskyttelseshændelser på Microsoft Defender-portalen

Defender for Endpoint giver detaljeret rapportering om hændelser og blokke som en del af scenarierne til undersøgelse af vigtige beskeder. Du kan få vist disse oplysninger på Microsoft Defender-portalen (https://security.microsoft.com) i beskedkøen eller ved hjælp af avanceret jagt. Hvis du bruger overvågningstilstand, kan du bruge avanceret jagt til at se, hvordan indstillinger for netværksbeskyttelse vil påvirke dit miljø, hvis de er aktiveret.

Gennemse netværksbeskyttelseshændelser i Windows Logbog

Du kan gennemse Windows-hændelsesloggen for at se hændelser, der oprettes, når netværksbeskyttelse blokerer (eller overvåger) adgang til en skadelig IP-adresse eller et skadeligt domæne:

  1. Kopiér XML-koden direkte.

  2. Vælg OK.

Denne procedure opretter en brugerdefineret visning, der filtrerer for kun at vise følgende hændelser, der er relateret til netværksbeskyttelse:

Hændelses-id Beskrivelse
5007 Hændelse, når indstillingerne ændres
1125 Hændelse, når netværksbeskyttelse udløses i overvågningstilstand
1126 Hændelse, når netværksbeskyttelse udløses i bloktilstand

Netværksbeskyttelse og TCP-trevejs-håndtryk

Med netværksbeskyttelse bestemmes det, om der skal tillades eller blokeres adgang til et websted, efter at det trevejshåndtryk er fuldført via TCP/IP. Når et websted er blokeret af netværksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under DeviceNetworkEvents på Microsoft Defender-portalen, selvom webstedet er blokeret. DeviceNetworkEvents rapporteres fra TCP-laget og ikke fra netværksbeskyttelse. Når det trevejshåndtryk er fuldført, er adgang til webstedet tilladt eller blokeret af netværksbeskyttelse.

Her er et eksempel på, hvordan det fungerer:

  1. Lad os antage, at en bruger forsøger at få adgang til et websted på sin enhed. Webstedet hostes tilfældigvis på et farligt domæne, og det bør blokeres af netværksbeskyttelse.

  2. Det trevejs-håndtryk via TCP/IP begynder. Før den fuldføres, logføres en DeviceNetworkEvents handling, og den ActionType er angivet som ConnectionSuccess. Men så snart den trevejshandtryksproces er fuldført, blokerer netværksbeskyttelse adgangen til webstedet. Alt dette sker hurtigt. En lignende proces forekommer med Microsoft Defender SmartScreen. Det er, når det trevejshåndtryk fuldfører, at der foretages en bestemmelse, og adgang til et websted enten er blokeret eller tilladt.

  3. I Microsoft Defender-portalen vises en besked i beskedkøen. Oplysningerne om denne besked omfatter både DeviceNetworkEvents og AlertEvidence. Du kan se, at webstedet er blokeret, selvom du også har et DeviceNetworkEvents element med ActionType for ConnectionSuccess.

Overvejelser i forbindelse med virtuelt Windows-skrivebord, der kører Windows 10 Enterprise multisession

På grund af typen af flere brugere i Windows 10 Enterprise skal du være opmærksom på følgende punkter:

  1. Netværksbeskyttelse er en funktion i hele enheden og kan ikke målrettes til bestemte brugersessioner.

  2. Politikker til filtrering af webindhold gælder også for hele enheden.

  3. Hvis du har brug for at skelne mellem brugergrupper, kan du overveje at oprette separate Windows Virtual Desktop-værtsgrupper og -tildelinger.

  4. Test netværksbeskyttelse i overvågningstilstand for at vurdere dens funktionsmåde, før den udrulles.

  5. Overvej at ændre størrelsen på udrulningen, hvis du har et stort antal brugere eller et stort antal sessioner med flere brugere.

Alternativ mulighed for netværksbeskyttelse

For Windows Server 2012R2/2016 Unified MDE klient, Windows Server version 1803 eller nyere, Windows Server 2019 eller nyere og Windows 10 Enterprise Multi-Session 1909 og nyere, der bruges i Windows Virtual Desktop på Azure, kan netværksbeskyttelse til Microsoft Edge aktiveres ved hjælp af følgende metode:

  1. Brug Slå netværksbeskyttelse til, og følg vejledningen for at anvende din politik.

  2. Udfør følgende PowerShell-kommandoer:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Bemærk!

I nogle tilfælde kan det påvirke netværkets ydeevne, afhængigt af din infrastruktur, mængden af trafik og andre forhold Set-MpPreference -AllowDatagramProcessingOnWinServer 1 .

Netværksbeskyttelse til Windows-servere

Følgende er oplysninger, der er specifikke for Windows Servers.

Kontrollér, at netværksbeskyttelse er aktiveret

Kontrollér, om netværksbeskyttelse er aktiveret på en lokal enhed ved hjælp af registreringsdatabasen Editor.

  1. Vælg knappen Start på proceslinjen, og skriv regedit for at åbne Editor i registreringsdatabasen.

  2. Vælg HKEY_LOCAL_MACHINE i sidemenuen.

  3. Naviger gennem de indlejrede menuer til SOFTWAREpolitikker>>Microsoft>Windows defender>Windows Defender Exploit Guard>Network Protection.

    (Hvis nøglen ikke findes, skal du navigere til SOFTWARE>Microsoft>> Windows Defender Windows Defender Exploit Guard>Network Protection)

  4. Vælg EnableNetworkProtection for at se den aktuelle tilstand af netværksbeskyttelse på enheden:

    • 0 = Fra
    • 1 = Slået til (aktiveret)
    • 2 = overvågningstilstand

Du kan finde flere oplysninger under: Slå netværksbeskyttelse til

Forslag til netværksbeskyttelse

For Windows Server 2012R2/2016 Unified MDE klient, Windows Server version 1803 eller nyere, Windows Server 2019 eller nyere og Windows 10 Enterprise Multi-Session 1909 og nyere (bruges i Windows Virtual Desktop på Azure) er der yderligere registreringsdatabasenøgler, der skal aktiveres:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\ Windows Defender Windows Defender Exploit Guard\Network Protection

  • AllowNetworkProtectionOnWinServer (dword) 1 (hex)
  • EnableNetworkProtection (dword) 1 (hex)
  • AllowNetworkProtectionDownLevel (dword) 1 (hex) - kun Windows Server 2012R2 og Windows Server 2016

Bemærk!

Afhængigt af din infrastruktur, mængden af trafik og andre betingelser kan HKEY_LOCAL_MACHINE\SOFTWARE-politikker\\Microsoft\Windows Defender \NIS-forbrugere\\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) have indflydelse på netværkets ydeevne.

Du kan finde flere oplysninger under: Slå netværksbeskyttelse til

Konfiguration af Windows Servers og Windows Multi-session kræver PowerShell

For Windows Servers og Windows Multi-session er der yderligere elementer, som du skal aktivere ved hjælp af PowerShell-cmdlet'er. Til Windows Server 2012R2/2016 Unified MDE klient, Windows Server version 1803 eller nyere, Windows Server 2019 eller nyere og Windows 10 Enterprise Multi-Session 1909 og nyere, der bruges i Windows Virtual Desktop på Azure.

  1. Set-MpPreference -EnableNetworkProtection er aktiveret
  2. Set-MpPreference –AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference –AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference –AllowDatagramProcessingOnWinServer 1

Bemærk!

Afhængigt af din infrastruktur, mængden af trafik og andre betingelser kan Set-MpPreference -AllowDatagramProcessingOnWinServer 1 i nogle tilfælde have en effekt på netværkets ydeevne.

Fejlfinding af netværksbeskyttelse

På grund af det miljø, hvor netværksbeskyttelse kører, kan funktionen muligvis ikke registrere operativsystemets proxyindstillinger. I nogle tilfælde kan klienter til netværksbeskyttelse ikke oprette forbindelse til cloudtjenesten. Du kan løse forbindelsesproblemet ved at konfigurere en statisk proxy for Microsoft Defender Antivirus.

Optimering af ydeevnen for netværksbeskyttelse

Netværksbeskyttelse har nu en optimering af ydeevnen, der gør det muligt for Bloker-tilstand at starte asynkront undersøgelse af langvarige forbindelser, hvilket kan forbedre ydeevnen og også hjælpe med problemer med appkompatibilitet. Denne optimeringsfunktion er som standard slået til. Du kan slå denne funktion fra ved hjælp af følgende PowerShell-cmdlet:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.