Jaa


Verkon suojauksen avulla voit estää yhteydet haitallisiin tai epäilyttäviin sivustoihin

Koskee seuraavia:

Käyttöympäristöt

  • Windows
  • macOS
  • Linux

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy ilmaiseen kokeiluversioon.

Verkon suojauksen yleiskatsaus

Verkon suojaus auttaa suojaamaan laitteita tietyiltä Internet-pohjaisilta tapahtumilta estämällä yhteydet haitallisiin tai epäilyttäviin sivustoihin. Verkon suojaus on hyökkäysalueen vähentämisominaisuus, joka auttaa estämään organisaatiosi käyttäjiä käyttämästä vaaralliseksi katsottuja toimialueita sovellusten kautta. Vaarallisia verkkotunnuksia ovat esimerkiksi verkkotunnukset, jotka isännöivät tietojenkalasteluhuijauksia, hyväksikäyttöjä ja muuta haitallista sisältöä Internetissä. Verkon suojaus laajentaa Microsoft Defender SmartScreeniä estääkseen kaiken lähtevän HTTP(S)-liikenteen, joka yrittää muodostaa yhteyden alhaisen maineen lähteisiin (toimialueen tai isäntänimen perusteella).

Verkon suojaus laajentaa verkon suojauksen käyttöjärjestelmätasolle ja on verkkosisällön suodatuksen (WCF) ydinosa. Se tarjoaa Microsoft Edgestä löytyneet verkkosuojaustoiminnot muihin tuettuihin selaimiin ja muihin kuin selainsovelluksiin. Verkon suojaus tarjoaa myös päätepisteen tunnistukseen ja vastaukseen käytettyjen kompromissien (IOC) ilmaisimien näkyvyyden ja estämisen. Esimerkiksi verkon suojaus toimii mukautettujen ilmaisimien kanssa, joiden avulla voit estää tietyt toimialueet tai isäntänimet.

Verkon suojauksen kattavuus

Seuraavassa taulukossa on yhteenveto kattavuuden verkon suojausalueista.

Ominaisuus Microsoft Edge Muut kuin Microsoft-selaimet Nonbrowser-prosessit
(esimerkiksi PowerShell)
Web Threat Protection SmartScreen on otettava käyttöön Verkon suojauksen on oltava lohkotilassa Verkon suojauksen on oltava lohkotilassa
Mukautetut ilmaisimet SmartScreen on otettava käyttöön Verkon suojauksen on oltava lohkotilassa Verkon suojauksen on oltava lohkotilassa
Verkkosisällön suodatus SmartScreen on otettava käyttöön Verkon suojauksen on oltava lohkotilassa Ei tuettu

Huomautus

Macissa ja Linuxissa verkon suojaus on oltava estetty-tilassa, jotta saat tukea näille Edgen ominaisuuksille. Windowsissa verkon suojaus ei valvo Microsoft Edgeä. Muissa prosesseissa kuin Microsoft Edgessä ja Internet Explorerissa verkon suojausskenaariot hyödyntävät verkon suojausta tarkastuksissa ja täytäntöönpanossa.

  • IP-osoite on tuettu kaikissa kolmessa protokollassa (TCP, HTTP ja HTTPS (TLS)).
  • Vain yksittäisiä IP-osoitteita tuetaan (ei CIDR-lohkoja tai IP-alueita) mukautetuissa ilmaisimissa.
  • Salatut URL-osoitteet (koko polku) voidaan estää vain ensimmäisen osapuolen selaimissa (Internet Explorer, Edge).
  • Salatut URL-osoitteet (vain FQDN) voidaan estää kolmansien osapuolten selaimissa (muu kuin Internet Explorer, Edge).
  • Salaamattomille URL-osoitteille voidaan käyttää kaikkia URL-polkulohkoja.

Toiminnon suorittamisen ja URL-osoitteen ja IP-osoitteen estojen välillä voi olla jopa 2 tuntia viivettä (yleensä vähemmän).

Katso tästä videosta, miten verkon suojaus auttaa vähentämään laitteiden hyökkäyspintaa tietojenkalasteluhuijauksista, hyväksikäyttöistä ja muusta haitallisesta sisällöstä:

Verkon suojausta koskevat vaatimukset

Verkon suojaus edellyttää laitteita, joissa on käytössä jokin seuraavista käyttöjärjestelmistä:

Verkon suojaus edellyttää myös Microsoft Defender virustentorjuntaohjelmaa, jossa reaaliaikainen suojaus on käytössä.

Windows-versio Microsoft Defenderin virustentorjunta
Windows 10 versio 1709 tai uudempi, Windows 11, Windows Server 1803 tai uudempi Varmista, että Microsoft Defender virustentorjuntaohjelman reaaliaikainen suojaus, toiminnan valvonta ja pilvipalveluun toimitettu suojaus ovat käytössä (aktiivinen)
Windows Server 2012 R2 ja Windows Server 2016 yhdessä yhdistetyn agentin kanssa Platform Updaten versio 4.18.2001.x.x tai uudempi

Miksi verkon suojaus on tärkeää

Verkon suojaus on osa Microsoft Defender for Endpoint hyökkäyspinnan vähentämisratkaisujen ryhmää. Verkon suojauksen avulla verkkokerros voi estää URL-osoitteet ja IP-osoitteet. Verkon suojaus voi estää URL-osoitteiden käytön käyttämällä tiettyjä selaimia ja tavallisia verkkoyhteyksiä. Oletusarvoisesti verkon suojaus suojaa tietokoneita tunnetuilta haitallisilta URL-osoitteilta SmartScreen-syötteen avulla, joka estää haitalliset URL-osoitteet samalla tavalla kuin SmartScreen Microsoft Edge -selaimessa. Verkon suojaustoiminto voidaan laajentaa koskemaan seuraavaa:

  • Estä IP-osoitteet/URL-osoitteet omista uhkatiedoistasi (ilmaisimet)
  • Estä Microsoft Defender for Cloud Apps palveluita, joita ei tueta
  • Estä selaimen käyttö sivustoille luokan perusteella (verkkosisällön suodatus)

Verkon suojaus on tärkeä osa Microsoftin suojaus- ja vastauspinoa.

Vihje

Lisätietoja Windows Serverin, Linuxin, MacOS:n ja MTD:n (Mobile Threat Defense) verkon suojauksesta on artikkelissa Uhkien ennakoiva etsintä kehittyneellä metsästyksellä.

Estä komento- ja hallintahyökkäykset

Pahantahtoiset käyttäjät käyttävät komento- ja hallintapalvelintietokoneita (C2) komentojen lähettämiseen haittaohjelmien aiemmin vaarantamiin järjestelmiin. C2-hyökkäykset piilottavat yleensä pilvipohjaisissa palveluissa, kuten tiedostojen jakamisessa ja webmail-palveluissa, jolloin C2-palvelimet voivat välttää havaitsemisen sulautumalla tyypilliseen liikenteeseen.

C2-palvelimien avulla voidaan käynnistää komentoja, jotka voivat:

  • Tietojen varastaminen
  • Vaarantuneiden tietokoneiden hallinta bottiverkossa
  • Häiritse laillisia sovelluksia
  • Haittaohjelmien, kuten kiristysohjelman, levittäminen

Defender for Endpointin verkon suojauskomponentti tunnistaa ja estää yhteydet C2-infrastruktuureihin, joita käytetään ihmisen ylläpitämissä kiristyshaittaohjelmahyökkäyksissä, käyttämällä koneoppimisen ja älykkään kompromissi-indikaattorin (IoC) tunnistamista.

Verkon suojaus: C2-tunnistaminen ja korjaaminen

Alkuperäisessä muodossaan kiristyshaittaohjelma on hyödykeuhka, joka on esiohjelmoitu ja keskittynyt rajoitettuihin, tiettyihin tuloksiin (kuten tietokoneen salaamiseen). Kiristyshaittaohjelma on kuitenkin kehittynyt kehittyneeksi uhaksi, joka on ihmisvetoinen, mukautuva ja keskittyy suurempaan mittakaavaan ja laajalle levinneisiin tuloksiin, kuten koko organisaation omaisuuden tai tietojen pitämiseen lunnaita varten.

Komento- ja hallintapalvelimien tuki (C2) on tärkeä osa tätä kiristyshaittaohjelmakehitystä, ja sen avulla nämä hyökkäykset voivat sopeutua niiden kohteena olevaan ympäristöön. Linkin katkaiseminen komento- ja hallintainfrastruktuuriin pysäyttää hyökkäyksen etenemisen seuraavaan vaiheeseen. Lisätietoja C2-tunnistamisesta ja korjaamisesta on artikkelissa Komento- ja hallintahyökkäysten tunnistaminen ja korjaaminen verkkokerroksessa.

Verkon suojaus: uudet ilmoitusruutuilmoitukset

Uusi yhdistämismääritys Vastausluokka Lähteistä
tietojenkalastelu Tietojenkalastelu SmartScreen
ilkeä Ilkeä SmartScreen
komento ja hallinta C2 SmartScreen
komento ja hallinta COCO SmartScreen
ilkeä Untrusted SmartScreen
IT-järjestelmänvalvojan tekemä Mukautettu Estoluettelo
IT-järjestelmänvalvojan tekemä Mukautettukäytäntö

Huomautus

customAllowList ei luo päätepisteisiin ilmoituksia.

Uusia ilmoituksia verkon suojauksen määrittämiseksi

Uusi, julkisesti saatavilla oleva verkon suojauksen ominaisuus käyttää SmartScreen-funktioita estämään tietojenkalastelutoiminnot haitallisista komento- ja hallintasivustoista. Kun loppukäyttäjä yrittää vierailla verkkosivustossa ympäristössä, jossa verkon suojaus on käytössä, on mahdollista käyttää kolmea skenaariota:

  • URL-osoitteella on tunnettu hyvä maine – Tässä tapauksessa käyttäjälle sallitaan käyttöoikeus ilman estämistä, eikä päätepisteessä esitetä ilmoitusruutua. Itse asiassa toimialueen tai URL-osoitteen arvoksi on määritetty Sallittu.
  • URL-osoitteella on tuntematon tai epävarma maine – Käyttäjän käyttö on estetty, mutta lohkon voi kiertää (poistaa eston). Itse asiassa toimialueen tai URL-osoitteen arvoksi on määritetty Valvonta.
  • URL-osoitteella on tunnettu huono (haitallinen) maine – Käyttäjää estetään käyttämästä. Itse asiassa toimialue tai URL-osoite on Block.

Varoita käyttökokemuksesta

Käyttäjä käy sivustossa. Jos URL-osoitteen maine on tuntematon tai epävarma, ilmoitusruutu esittää käyttäjälle seuraavat vaihtoehdot:

  • Ok: Ilmoitusruutu julkaistaan (poistetaan), ja yritys käyttää sivustoa lopetetaan.
  • Poista esto: Käyttäjällä on sivuston käyttöoikeus 24 tunnin ajan. jonka jälkeen lohko voidaan palauttaa. Käyttäjä voi käyttää Poista esto -toimintoa sivuston käyttämiseen, kunnes järjestelmänvalvoja estää (estää) sivuston käyttämisen, mikä poistaa eston poistamisasetuksen.
  • Palaute: Ilmoitusruutu esittää käyttäjälle linkin palvelupyynnön lähettämiseen. Käyttäjä voi lähettää palautetta järjestelmänvalvojalle perustellakseen sivuston käyttöoikeuksia.

Näyttää verkkosuojauksen tietojenkalastelusisällön varoitusilmoituksen.

Huomautus

Tässä artikkelissa näytetyt kuvat käyttökokemuksen ja block käyttökokemuksen warn osalta käyttävät esimerkkinä paikkamerkkitekstinä estettyä URL-osoitetta. Toimivassa ympäristössä luetteloidaan todellinen URL-osoite tai toimialue.

Estä käyttökokemus

Käyttäjä käy sivustossa. Jos URL-osoitteen maine on huono, ilmoitusruutu esittää käyttäjälle seuraavat vaihtoehdot:

  • Ok: Ilmoitusruutu julkaistaan (poistetaan), ja yritys käyttää sivustoa lopetetaan.
  • Palaute: Ilmoitusruutu esittää käyttäjälle linkin palvelupyynnön lähettämiseen. Käyttäjä voi lähettää palautetta järjestelmänvalvojalle perustellakseen sivuston käyttöoikeuksia.

Näyttää verkon suojauksen tunnetun tietojenkalastelusisällön estetyt ilmoitukset.

SmartScreen poista esto

Defender for Endpointin ilmaisimien avulla järjestelmänvalvojat voivat antaa käyttäjien ohittaa joillekin URL-osoitteille ja URL-osoitteille luodut varoitukset. Sen mukaan, miksi URL-osoite on estetty, SmartScreen-lohkon kohdatessa se voi tarjota käyttäjälle mahdollisuuden poistaa sivuston esto jopa 24 tunnin ajan. Tällaisissa tapauksissa näyttöön tulee Windowsin suojaus ilmoitusruutu, jonka avulla käyttäjä voi valita Poista esto. Tällaisissa tapauksissa URL-osoitetta tai IP-osoitetta ei ole estetty määritetyn ajanjakson ajan.

Windowsin suojaus ilmoitus verkon suojauksesta.

Microsoft Defender for Endpoint järjestelmänvalvojat voivat määrittää SmartScreenin estotoiminnon Microsoft Defender portaalissa käyttämällä IPS-, URL- ja toimialueilmaisinta.

Verkon suojaus SmartScreen estää määrityksen URL-osoitteen ja IP-lomakkeen.

Katso Url-osoitteiden ja URL-osoitteiden/toimialueiden ilmaisimien luominen.

Verkon suojauksen käyttäminen

Verkon suojaus on käytössä laitetta kohden, mikä tehdään yleensä hallintainfrastruktuurin avulla. Tuetut menetelmät ovat kohdassa Verkon suojauksen ottaminen käyttöön.

Huomautus

Microsoft Defender virustentorjuntaohjelman on oltava aktiivisessa tilassa, jotta verkkosuojaus voidaan ottaa käyttöön.

Voit ottaa verkon suojauksen audit käyttöön tilassa tai block tilassa. Jos haluat arvioida verkon suojauksen käyttöönoton vaikutusta ennen IP-osoitteiden tai URL-osoitteiden estämistä, voit ottaa verkon suojauksen käyttöön valvontatilassa ja kerätä tietoja siitä, mikä estetään. Valvontatila kirjaa aina, kun loppukäyttäjät muodostavat yhteyden osoitteeseen tai sivustoon, jonka verkkosuojaus muuten estäisi. Jotta kompromissi-(IoC) tai verkkosisällön suodatus (WCF) toimisi, verkon suojauksen on oltava käytössä block .

Lisätietoja Linuxin ja macOS:n verkkosuojauksesta on seuraavissa artikkeleissa:

Tarkennettu etsintä

Jos käytät kehittynyttä metsästystä valvontatapahtumien tunnistamiseen, konsolista on saatavilla enintään 30 päivän historia. Katso Kehittynyt metsästys.

Voit etsiä valvontatapahtumat kehittyneestä metsästyksestä Defender for Endpoint -portaalista (https://security.microsoft.com).

Valvontatapahtumat ovat DeviceEvents-toiminnoissa, joiden ActionType-arvo ExploitGuardNetworkProtectionAuditedon . Lohkot näytetään, ja ActionType-arvo ExploitGuardNetworkProtectionBlockedon .

Tässä on esimerkkikysely muiden kuin Microsoft-selainten verkon suojaustapahtumien tarkastelemiseen:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Kehittynyt metsästys tapahtumien seurantaa ja tunnistamista varten.

Vihje

Nämä merkinnät sisältävät tietoja AdditionalFields-sarakkeessa , mikä antaa sinulle erinomaisia tietoja toiminnosta. Jos laajennat AdditionalField-kenttiä , saat myös kentät : IsAudit, ResponseCategory ja DisplayName.

Tässä on toinen esimerkki:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Vastaus-luokka kertoo, mikä aiheutti tapahtuman, kuten tässä esimerkissä:

Vastauksen luokka Tapahtumasta vastaava ominaisuus
Mukautettukäytäntö WCF
Mukautettu Estoluettelo Mukautetut ilmaisimet
CasbPolicy Defender for Cloud Apps
Ilkeä WWW-uhat
Tietojenkalastelu WWW-uhat

Lisätietoja on kohdassa Päätepistelohkojen vianmääritys.

Jos käytät Microsoft Edge -selainta, käytä tätä kyselyä SmartScreen-tapahtumien Microsoft Defender:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Voit käyttää tulokseksi saatavaa URL-osoitteiden ja URL-osoitteiden luetteloa määrittämään, mikä estetään, jos verkon suojaus on määritetty estämään tila laitteessa. Näet myös, mitkä ominaisuudet estävät URL-osoitteet ja URL-osoitteet. Tarkista luettelo, jos haluat tunnistaa ympäristösi edellyttämät URL-osoitteet tai URL-osoitteet. Voit sitten luoda sallittujen osoitteiden ilmaisimen näille URL-osoitteille tai IP-osoitteille. Salli ilmaisimien olla etusijalla kaikkiin lohkoihin nähden.

Kun olet luonut ilmaisimen, voit tarkastella taustalla olevan ongelman ratkaisemista seuraavasti:

  • SmartScreen – pyydä tarkistusta
  • Ilmaisin – muokkaa olemassa olevaa ilmaisinta
  • MCA – tarkista sovellus, jota ei tueta
  • WCF – pyynnön uudelleenluokittuminen

Näiden tietojen avulla voit tehdä tietoisen päätöksen verkon suojauksen käyttöönotosta estotilassa. Katso Verkon suojauslohkojen käsittelyjärjestys.

Huomautus

Koska tämä on laitekohtainen asetus, jos on laitteita, jotka eivät voi siirtyä Esto-tilaan, voit jättää ne valvontatilaan, kunnes voit korjata haasteen ja saat silti valvontatapahtumat.

Lisätietoja epätosi-positiivisten tietojen ilmoittamisesta on kohdassa Raportoi epätosi-positiiviset.

Lisätietoja omien Power BI -raporttien luomisesta on artikkelissa Mukautettujen raporttien luominen Power BI:n avulla.

Määritetään verkon suojausta

Lisätietoja verkon suojauksen käyttöönotosta on kohdassa Verkon suojauksen ottaminen käyttöön. Ota verkon suojaus käyttöön ja hallitse sitä verkossa ryhmäkäytäntö, PowerShellin tai MDM:n CSP:iden avulla.

Kun olet ottanut verkon suojauksen käyttöön, sinun on ehkä määritettävä verkkosi tai palomuurisi sallimaan yhteydet päätepistelaitteiden ja verkkopalveluiden välillä:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Verkon suojaustapahtumien tarkasteleminen

Verkon suojaus toimii parhaiten Microsoft Defender for Endpoint kanssa, jolloin saat yksityiskohtaisen raportoinnin hyödyntämissuojaustapahtumista ja -lohkoista osana hälytysten tutkintaskenaarioita.

Kun verkon suojaus estää yhteyden, toimintokeskuksesta tulee ilmoitus. Suojaustoimintatiimisi voi mukauttaa ilmoitusta organisaatiosi tiedoilla ja yhteystietoilla. Lisäksi yksittäiset hyökkäyspinnan vähentämissäännöt voidaan ottaa käyttöön ja mukauttaa tiettyjen valvottavien tekniikoiden mukaan.

Valvontatilan avulla voit myös arvioida, miten verkon suojaus vaikuttaisi organisaatioosi, jos se otetaan käyttöön.

Verkon suojaustapahtumien tarkistaminen Microsoft Defender portaalissa

Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan. Voit tarkastella näitä tietoja Microsoft Defender portaalissa (https://security.microsoft.com) ilmoitusjonossa tai käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten verkon suojausasetukset vaikuttaisivat ympäristöösi, jos ne otetaan käyttöön.

Verkonsuojaustapahtumien tarkistaminen Windows Tapahtumienvalvonta

Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun verkon suojaus estää (tai auditoi) haitallisen IP-osoitteen tai toimialueen käytön:

  1. Kopioi XML suoraan.

  2. Valitse OK.

Tämä toimintosarja luo mukautetun näkymän, joka suodattaa näyttämään vain seuraavat verkon suojaukseen liittyvät tapahtumat:

Tapahtuman tunnus Kuvaus
5007 Tapahtuma, kun asetuksia muutetaan
1125 Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa
1126 Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa

Verkon suojaus ja TCP:n kolmisuuntainen kättely

Verkon suojauksen avulla määritetään, sallitaanko sivustolle pääsy vai estetäänkö se sen jälkeen, kun kolmitiekäsittely on suoritettu TCP/IP:n kautta. Näin ollen kun verkon suojaus estää sivuston, saatat nähdä toimintotyypin ConnectionSuccess alle DeviceNetworkEvents Microsoft Defender portaalissa, vaikka sivusto on estetty. DeviceNetworkEvents ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. Kun kaksisuuntainen kättely on valmis, verkkosuojaus sallii tai estää sivuston käytön.

Tässä on esimerkki siitä, miten tämä toimii:

  1. Oletetaan, että käyttäjä yrittää käyttää verkkosivustoa laitteessaan. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.

  2. Kolmisuuntainen kättely TCP/IP:n kautta alkaa. Ennen kuin se on valmis, DeviceNetworkEvents toiminto kirjataan lokiin, ja sen ActionType luettelona ConnectionSuccesson . Kuitenkin heti, kun kaksisuuntainen kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti. Samanlainen prosessi tapahtuu smartscreen-Microsoft Defender: kun kolmisuuntainen kädenpuristus valmistuu, määritys tehdään ja sivuston käyttö on joko estetty tai sallittu.

  3. Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että DeviceNetworkEventsAlertEvidence. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonka DeviceNetworkEvents ActionType on ConnectionSuccess.

Huomioon otettavia seikkoja Windowsin näennäistyöpöydällä, joka on käynnissä Windows 10 Enterprise usean istunnon ajan

Pidä mielessä seuraavat asiat, koska Windows 10 Enterprise on useita käyttäjää:

  1. Verkon suojaus on koko laitteen laajuinen ominaisuus, eikä sitä voida kohdistaa tiettyihin käyttäjäistuntoihin.

  2. Verkkosisällön suodatuskäytännöt ovat myös koko laitteessa.

  3. Jos haluat erottaa käyttäjäryhmät toisistaan, harkitse erillisten Windowsin virtuaalityöpöydän isäntävarantojen ja määritysten luomista.

  4. Testaa verkon suojaus valvontatilassa sen toiminnan arvioimiseksi ennen käyttöönottoa.

  5. Harkitse käyttöönoton koon muuttamista, jos käyttäjiä on paljon tai istuntoja on paljon.

Vaihtoehtoinen vaihtoehto verkon suojaamiseen

Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, jossa käytetään modernia yhdistettyä ratkaisua, Windows Serverin versio 1803 tai uudempi ja Windows 10 Enterprise Multi-Session 1909 ja uudemmat versiot, joita käytetään Windows Virtual Desktopissa Azuressa, Microsoft Edgen verkkosuojaus voidaan ottaa käyttöön seuraavalla tavalla:

  1. Ota verkkosuojaus käyttöön ja ota käytäntösi käyttöön noudattamalla ohjeita.

  2. Suorita seuraavat PowerShell-komennot:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      Huomautus

      Joissakin tapauksissa infrastruktuurista, liikenteen määrästä ja muista ehdoista Set-MpPreference -AllowDatagramProcessingOnWinServer 1 riippuen tämä voi vaikuttaa verkon suorituskykyyn.

Windows Server -palvelimien verkkosuojaus

Seuraavassa on tietoja, jotka koskevat Windows-palvelimia.

Varmista, että verkkosuojaus on käytössä

Tarkista Rekisteri-Kirjoitusavustaja avulla, onko verkkosuojaus käytössä paikallisessa laitteessa.

  1. Avaa Rekisteri-Kirjoitusavustaja valitsemalla tehtäväpalkista Käynnistä-painike ja kirjoittamalla regedit.

  2. Valitse HKEY_LOCAL_MACHINE sivuvalikosta.

  3. Siirry sisäkkäiset valikot kohtaanOHJELMISTOKÄYTÄNNÖT>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Jos avainta ei ole, siirry KOHTAAN SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Verkon suojaus)

  4. Valitse EnableNetworkProtection , niin näet laitteen verkon suojauksen nykyisen tilan:

    • 0 = ei käytössä
    • 1 = käytössä (käytössä)
    • 2 = valvontatila

Lisätietoja on artikkelissa Verkon suojauksen ottaminen käyttöön.

Ehdotetut verkon suojausrekisteriavaimet

Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, jossa käytetään modernia yhdistettyä ratkaisua, Windows Serverin versiossa 1803 tai uudemmassa sekä Windows 10 Enterprise Multi-Session 1909:ssä ja sitä uudemmissa (käytetään Azuren Windows Virtual Desktopissa), ota käyttöön muut rekisteriavaimet seuraavasti:

  1. Siirry kohtaan HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

  2. Määritä seuraavat avaimet:

    • AllowNetworkProtectionOnWinServer (DWORD) asetus: 1 (heksa)
    • EnableNetworkProtection (DWORD) asetus: 1 (heksa)
    • (Vain Windows Server 2012 R2:ssa ja Windows Server 2016:ssa) AllowNetworkProtectionDownLevel (DWORD) asetus: 1 (heksa)

Huomautus

Infrastruktuuristasi, liikenteen määrästä ja muista ehdoista riippuen HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) voi vaikuttaa verkon suorituskykyyn.

Lisätietoja on kohdassa : Verkon suojauksen ottaminen käyttöön

Windows Serversin ja Windowsin usean istunnon kokoonpano edellyttää PowerShellin

Windows-palvelimien ja Windowsin moniistuntojen tapauksessa on myös muita kohteita, jotka sinun on otettava käyttöön PowerShellin cmdlet-komentojen avulla. Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, jossa käytetään modernia yhdistettyä ratkaisua, Windows Serverin versio 1803 tai uudempi sekä Windows 10 Enterprise Multi-Session 1909 ja uudemmat versiot, joita käytetään Windows Virtual Desktopissa Azuressa, suorita seuraavat PowerShell-komennot:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Huomautus

Joissakin tapauksissa infrastruktuurista, liikenteen määrästä ja muista olosuhteista Set-MpPreference -AllowDatagramProcessingOnWinServer 1 riippuen se voi vaikuttaa verkon suorituskykyyn.

Verkon suojauksen vianmääritys

Verkon suojauksen suorittamisympäristön vuoksi toiminto ei ehkä tunnista käyttöjärjestelmän välityspalvelimen asetuksia. Joissakin tapauksissa verkkosuojausasiakkaat eivät pääse pilvipalveluun. Voit ratkaista yhteysongelman määrittämällä staattisen välityspalvelimen Microsoft Defender virustentorjuntaa varten.

Huomautus

Varmista ennen vianmäärityksen aloittamista, että quic-protokollan arvoksi disabled määritetään käytetyissä selaimissa. QUIC-protokollaa ei tueta verkon suojaustoiminnoissa.

Koska yleinen suojattu käyttö ei tällä hetkellä tue UDP-liikennettä, UDP-liikennettä porttiin 443 ei voi tunneloida. Voit poistaa QUIC-protokollan käytöstä niin, että Global Secure Access -asiakkaat voivat palata käyttämään HTTPS:tä (portin 443 TCP-liikenne). Sinun on tehtävä tämä muutos, jos käytettävät palvelimet tukevat QUIC:tä (esimerkiksi Microsoft Exchange Online kautta). Voit poistaa QUIC:n käytöstä jollakin seuraavista toiminnoista:

Quic-toiminnon poistaminen käytöstä Windowsin palomuurissa

Yleisin tapa poistaa QUIC käytöstä on poistaa kyseinen ominaisuus käytöstä Windowsin palomuurissa. Tämä menetelmä vaikuttaa kaikkiin sovelluksiin, kuten selaimiin ja asiakassovelluksiin (kuten Microsoft Officeen). Suorita PowerShellissä cmdlet-komento, jos haluat lisätä uuden palomuurisäännön, New-NetFirewallRule joka poistaa QUIC:n käytöstä kaikesta laitteen lähtevästä liikenteestä:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

QUIC-toiminnon poistaminen käytöstä verkkoselaimessa

Voit poistaa QUIC:n käytöstä selaimen tasolla. Tämä tapa poistaa QUIC käytöstä tarkoittaa kuitenkin sitä, että QUIC jatkaa työskentelyä muiden kuinbrowser-sovellusten parissa. Jos haluat poistaa QUIC:n käytöstä Microsoft Edgessä tai Google Chromessa, avaa selain, etsi Kokeellinen QUIC-protokolla -asetus (#enable-quic merkintä) ja muuta sitten asetukseksi Disabled. Seuraavassa taulukossa on esitetty selaimen osoiteriville kirjoitettava URI-tunnus, jotta voit käyttää kyseistä asetusta.

Selain URI
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

Verkon suojauksen suorituskyvyn optimointi

Verkon suojaus sisältää suorituskyvyn optimoinnin, jonka avulla tila voi block asynkronisesti tarkastaa pitkäaikaiset yhteydet, mikä voi parantaa suorituskykyä. Tämä optimointi voi myös auttaa sovellusten yhteensopivuusongelmien kanssa. Tämä ominaisuus on oletusarvoisesti käytössä. Voit poistaa tämän ominaisuuden käytöstä käyttämällä seuraavaa PowerShellin cmdlet-komentoa:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.