Verkon suojauksen avulla voit estää yhteydet haitallisiin tai epäilyttäviin sivustoihin
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
- macOS
- Linux
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy ilmaiseen kokeiluversioon.
Verkon suojauksen yleiskatsaus
Verkon suojaus auttaa suojaamaan laitteita tietyiltä Internet-pohjaisilta tapahtumilta estämällä yhteydet haitallisiin tai epäilyttäviin sivustoihin. Verkon suojaus on hyökkäysalueen vähentämisominaisuus, joka auttaa estämään organisaatiosi käyttäjiä käyttämästä vaaralliseksi katsottuja toimialueita sovellusten kautta. Vaarallisia verkkotunnuksia ovat esimerkiksi verkkotunnukset, jotka isännöivät tietojenkalasteluhuijauksia, hyväksikäyttöjä ja muuta haitallista sisältöä Internetissä. Verkon suojaus laajentaa Microsoft Defender SmartScreeniä estääkseen kaiken lähtevän HTTP(S)-liikenteen, joka yrittää muodostaa yhteyden alhaisen maineen lähteisiin (toimialueen tai isäntänimen perusteella).
Verkon suojaus laajentaa verkon suojauksen käyttöjärjestelmätasolle ja on verkkosisällön suodatuksen (WCF) ydinosa. Se tarjoaa Microsoft Edgestä löytyneet verkkosuojaustoiminnot muihin tuettuihin selaimiin ja muihin kuin selainsovelluksiin. Verkon suojaus tarjoaa myös päätepisteen tunnistukseen ja vastaukseen käytettyjen kompromissien (IOC) ilmaisimien näkyvyyden ja estämisen. Esimerkiksi verkon suojaus toimii mukautettujen ilmaisimien kanssa, joiden avulla voit estää tietyt toimialueet tai isäntänimet.
Verkon suojauksen kattavuus
Seuraavassa taulukossa on yhteenveto kattavuuden verkon suojausalueista.
Ominaisuus | Microsoft Edge | Muut kuin Microsoft-selaimet | Nonbrowser-prosessit (esimerkiksi PowerShell) |
---|---|---|---|
Web Threat Protection | SmartScreen on otettava käyttöön | Verkon suojauksen on oltava lohkotilassa | Verkon suojauksen on oltava lohkotilassa |
Mukautetut ilmaisimet | SmartScreen on otettava käyttöön | Verkon suojauksen on oltava lohkotilassa | Verkon suojauksen on oltava lohkotilassa |
Verkkosisällön suodatus | SmartScreen on otettava käyttöön | Verkon suojauksen on oltava lohkotilassa | Ei tuettu |
Huomautus
Macissa ja Linuxissa verkon suojaus on oltava estetty-tilassa, jotta saat tukea näille Edgen ominaisuuksille. Windowsissa verkon suojaus ei valvo Microsoft Edgeä. Muissa prosesseissa kuin Microsoft Edgessä ja Internet Explorerissa verkon suojausskenaariot hyödyntävät verkon suojausta tarkastuksissa ja täytäntöönpanossa.
- IP-osoite on tuettu kaikissa kolmessa protokollassa (TCP, HTTP ja HTTPS (TLS)).
- Vain yksittäisiä IP-osoitteita tuetaan (ei CIDR-lohkoja tai IP-alueita) mukautetuissa ilmaisimissa.
- Salatut URL-osoitteet (koko polku) voidaan estää vain ensimmäisen osapuolen selaimissa (Internet Explorer, Edge).
- Salatut URL-osoitteet (vain FQDN) voidaan estää kolmansien osapuolten selaimissa (muu kuin Internet Explorer, Edge).
- Salaamattomille URL-osoitteille voidaan käyttää kaikkia URL-polkulohkoja.
Toiminnon suorittamisen ja URL-osoitteen ja IP-osoitteen estojen välillä voi olla jopa 2 tuntia viivettä (yleensä vähemmän).
Katso tästä videosta, miten verkon suojaus auttaa vähentämään laitteiden hyökkäyspintaa tietojenkalasteluhuijauksista, hyväksikäyttöistä ja muusta haitallisesta sisällöstä:
Verkon suojausta koskevat vaatimukset
Verkon suojaus edellyttää laitteita, joissa on käytössä jokin seuraavista käyttöjärjestelmistä:
- Windows 10 tai 11 (Pro tai Enterprise) (katso Tuetut Windows-versiot)
- Windows Server, versio 1803 tai uudempi (katso Tuetut Windows-versiot)
- macOS-versio 12 (Monterey) tai uudempi (katso Microsoft Defender for Endpoint Macissa)
- Tuettu Linux-versio (katso Microsoft Defender for Endpoint Linuxissa)
Verkon suojaus edellyttää myös Microsoft Defender virustentorjuntaohjelmaa, jossa reaaliaikainen suojaus on käytössä.
Windows-versio | Microsoft Defenderin virustentorjunta |
---|---|
Windows 10 versio 1709 tai uudempi, Windows 11, Windows Server 1803 tai uudempi | Varmista, että Microsoft Defender virustentorjuntaohjelman reaaliaikainen suojaus, toiminnan valvonta ja pilvipalveluun toimitettu suojaus ovat käytössä (aktiivinen) |
Windows Server 2012 R2 ja Windows Server 2016 yhdessä yhdistetyn agentin kanssa | Platform Updaten versio 4.18.2001.x.x tai uudempi |
Miksi verkon suojaus on tärkeää
Verkon suojaus on osa Microsoft Defender for Endpoint hyökkäyspinnan vähentämisratkaisujen ryhmää. Verkon suojauksen avulla verkkokerros voi estää URL-osoitteet ja IP-osoitteet. Verkon suojaus voi estää URL-osoitteiden käytön käyttämällä tiettyjä selaimia ja tavallisia verkkoyhteyksiä. Oletusarvoisesti verkon suojaus suojaa tietokoneita tunnetuilta haitallisilta URL-osoitteilta SmartScreen-syötteen avulla, joka estää haitalliset URL-osoitteet samalla tavalla kuin SmartScreen Microsoft Edge -selaimessa. Verkon suojaustoiminto voidaan laajentaa koskemaan seuraavaa:
- Estä IP-osoitteet/URL-osoitteet omista uhkatiedoistasi (ilmaisimet)
- Estä Microsoft Defender for Cloud Apps palveluita, joita ei tueta
- Estä selaimen käyttö sivustoille luokan perusteella (verkkosisällön suodatus)
Verkon suojaus on tärkeä osa Microsoftin suojaus- ja vastauspinoa.
Vihje
Lisätietoja Windows Serverin, Linuxin, MacOS:n ja MTD:n (Mobile Threat Defense) verkon suojauksesta on artikkelissa Uhkien ennakoiva etsintä kehittyneellä metsästyksellä.
Estä komento- ja hallintahyökkäykset
Pahantahtoiset käyttäjät käyttävät komento- ja hallintapalvelintietokoneita (C2) komentojen lähettämiseen haittaohjelmien aiemmin vaarantamiin järjestelmiin. C2-hyökkäykset piilottavat yleensä pilvipohjaisissa palveluissa, kuten tiedostojen jakamisessa ja webmail-palveluissa, jolloin C2-palvelimet voivat välttää havaitsemisen sulautumalla tyypilliseen liikenteeseen.
C2-palvelimien avulla voidaan käynnistää komentoja, jotka voivat:
- Tietojen varastaminen
- Vaarantuneiden tietokoneiden hallinta bottiverkossa
- Häiritse laillisia sovelluksia
- Haittaohjelmien, kuten kiristysohjelman, levittäminen
Defender for Endpointin verkon suojauskomponentti tunnistaa ja estää yhteydet C2-infrastruktuureihin, joita käytetään ihmisen ylläpitämissä kiristyshaittaohjelmahyökkäyksissä, käyttämällä koneoppimisen ja älykkään kompromissi-indikaattorin (IoC) tunnistamista.
Verkon suojaus: C2-tunnistaminen ja korjaaminen
Alkuperäisessä muodossaan kiristyshaittaohjelma on hyödykeuhka, joka on esiohjelmoitu ja keskittynyt rajoitettuihin, tiettyihin tuloksiin (kuten tietokoneen salaamiseen). Kiristyshaittaohjelma on kuitenkin kehittynyt kehittyneeksi uhaksi, joka on ihmisvetoinen, mukautuva ja keskittyy suurempaan mittakaavaan ja laajalle levinneisiin tuloksiin, kuten koko organisaation omaisuuden tai tietojen pitämiseen lunnaita varten.
Komento- ja hallintapalvelimien tuki (C2) on tärkeä osa tätä kiristyshaittaohjelmakehitystä, ja sen avulla nämä hyökkäykset voivat sopeutua niiden kohteena olevaan ympäristöön. Linkin katkaiseminen komento- ja hallintainfrastruktuuriin pysäyttää hyökkäyksen etenemisen seuraavaan vaiheeseen. Lisätietoja C2-tunnistamisesta ja korjaamisesta on artikkelissa Komento- ja hallintahyökkäysten tunnistaminen ja korjaaminen verkkokerroksessa.
Verkon suojaus: uudet ilmoitusruutuilmoitukset
Uusi yhdistämismääritys | Vastausluokka | Lähteistä |
---|---|---|
tietojenkalastelu | Tietojenkalastelu | SmartScreen |
ilkeä | Ilkeä | SmartScreen |
komento ja hallinta | C2 | SmartScreen |
komento ja hallinta | COCO | SmartScreen |
ilkeä | Untrusted | SmartScreen |
IT-järjestelmänvalvojan tekemä | Mukautettu Estoluettelo | |
IT-järjestelmänvalvojan tekemä | Mukautettukäytäntö |
Huomautus
customAllowList ei luo päätepisteisiin ilmoituksia.
Uusia ilmoituksia verkon suojauksen määrittämiseksi
Uusi, julkisesti saatavilla oleva verkon suojauksen ominaisuus käyttää SmartScreen-funktioita estämään tietojenkalastelutoiminnot haitallisista komento- ja hallintasivustoista. Kun loppukäyttäjä yrittää vierailla verkkosivustossa ympäristössä, jossa verkon suojaus on käytössä, on mahdollista käyttää kolmea skenaariota:
- URL-osoitteella on tunnettu hyvä maine – Tässä tapauksessa käyttäjälle sallitaan käyttöoikeus ilman estämistä, eikä päätepisteessä esitetä ilmoitusruutua. Itse asiassa toimialueen tai URL-osoitteen arvoksi on määritetty Sallittu.
- URL-osoitteella on tuntematon tai epävarma maine – Käyttäjän käyttö on estetty, mutta lohkon voi kiertää (poistaa eston). Itse asiassa toimialueen tai URL-osoitteen arvoksi on määritetty Valvonta.
- URL-osoitteella on tunnettu huono (haitallinen) maine – Käyttäjää estetään käyttämästä. Itse asiassa toimialue tai URL-osoite on Block.
Varoita käyttökokemuksesta
Käyttäjä käy sivustossa. Jos URL-osoitteen maine on tuntematon tai epävarma, ilmoitusruutu esittää käyttäjälle seuraavat vaihtoehdot:
- Ok: Ilmoitusruutu julkaistaan (poistetaan), ja yritys käyttää sivustoa lopetetaan.
- Poista esto: Käyttäjällä on sivuston käyttöoikeus 24 tunnin ajan. jonka jälkeen lohko voidaan palauttaa. Käyttäjä voi käyttää Poista esto -toimintoa sivuston käyttämiseen, kunnes järjestelmänvalvoja estää (estää) sivuston käyttämisen, mikä poistaa eston poistamisasetuksen.
- Palaute: Ilmoitusruutu esittää käyttäjälle linkin palvelupyynnön lähettämiseen. Käyttäjä voi lähettää palautetta järjestelmänvalvojalle perustellakseen sivuston käyttöoikeuksia.
Huomautus
Tässä artikkelissa näytetyt kuvat käyttökokemuksen ja block
käyttökokemuksen warn
osalta käyttävät esimerkkinä paikkamerkkitekstinä estettyä URL-osoitetta. Toimivassa ympäristössä luetteloidaan todellinen URL-osoite tai toimialue.
Estä käyttökokemus
Käyttäjä käy sivustossa. Jos URL-osoitteen maine on huono, ilmoitusruutu esittää käyttäjälle seuraavat vaihtoehdot:
- Ok: Ilmoitusruutu julkaistaan (poistetaan), ja yritys käyttää sivustoa lopetetaan.
- Palaute: Ilmoitusruutu esittää käyttäjälle linkin palvelupyynnön lähettämiseen. Käyttäjä voi lähettää palautetta järjestelmänvalvojalle perustellakseen sivuston käyttöoikeuksia.
SmartScreen poista esto
Defender for Endpointin ilmaisimien avulla järjestelmänvalvojat voivat antaa käyttäjien ohittaa joillekin URL-osoitteille ja URL-osoitteille luodut varoitukset. Sen mukaan, miksi URL-osoite on estetty, SmartScreen-lohkon kohdatessa se voi tarjota käyttäjälle mahdollisuuden poistaa sivuston esto jopa 24 tunnin ajan. Tällaisissa tapauksissa näyttöön tulee Windowsin suojaus ilmoitusruutu, jonka avulla käyttäjä voi valita Poista esto. Tällaisissa tapauksissa URL-osoitetta tai IP-osoitetta ei ole estetty määritetyn ajanjakson ajan.
Microsoft Defender for Endpoint järjestelmänvalvojat voivat määrittää SmartScreenin estotoiminnon Microsoft Defender portaalissa käyttämällä IPS-, URL- ja toimialueilmaisinta.
Katso Url-osoitteiden ja URL-osoitteiden/toimialueiden ilmaisimien luominen.
Verkon suojauksen käyttäminen
Verkon suojaus on käytössä laitetta kohden, mikä tehdään yleensä hallintainfrastruktuurin avulla. Tuetut menetelmät ovat kohdassa Verkon suojauksen ottaminen käyttöön.
Huomautus
Microsoft Defender virustentorjuntaohjelman on oltava aktiivisessa tilassa, jotta verkkosuojaus voidaan ottaa käyttöön.
Voit ottaa verkon suojauksen audit
käyttöön tilassa tai block
tilassa. Jos haluat arvioida verkon suojauksen käyttöönoton vaikutusta ennen IP-osoitteiden tai URL-osoitteiden estämistä, voit ottaa verkon suojauksen käyttöön valvontatilassa ja kerätä tietoja siitä, mikä estetään. Valvontatila kirjaa aina, kun loppukäyttäjät muodostavat yhteyden osoitteeseen tai sivustoon, jonka verkkosuojaus muuten estäisi. Jotta kompromissi-(IoC) tai verkkosisällön suodatus (WCF) toimisi, verkon suojauksen on oltava käytössä block
.
Lisätietoja Linuxin ja macOS:n verkkosuojauksesta on seuraavissa artikkeleissa:
Tarkennettu etsintä
Jos käytät kehittynyttä metsästystä valvontatapahtumien tunnistamiseen, konsolista on saatavilla enintään 30 päivän historia. Katso Kehittynyt metsästys.
Voit etsiä valvontatapahtumat kehittyneestä metsästyksestä Defender for Endpoint -portaalista (https://security.microsoft.com).
Valvontatapahtumat ovat DeviceEvents-toiminnoissa, joiden ActionType-arvo ExploitGuardNetworkProtectionAudited
on . Lohkot näytetään, ja ActionType-arvo ExploitGuardNetworkProtectionBlocked
on .
Tässä on esimerkkikysely muiden kuin Microsoft-selainten verkon suojaustapahtumien tarkastelemiseen:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
Vihje
Nämä merkinnät sisältävät tietoja AdditionalFields-sarakkeessa , mikä antaa sinulle erinomaisia tietoja toiminnosta. Jos laajennat AdditionalField-kenttiä , saat myös kentät : IsAudit, ResponseCategory ja DisplayName.
Tässä on toinen esimerkki:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
Vastaus-luokka kertoo, mikä aiheutti tapahtuman, kuten tässä esimerkissä:
Vastauksen luokka | Tapahtumasta vastaava ominaisuus |
---|---|
Mukautettukäytäntö | WCF |
Mukautettu Estoluettelo | Mukautetut ilmaisimet |
CasbPolicy | Defender for Cloud Apps |
Ilkeä | WWW-uhat |
Tietojenkalastelu | WWW-uhat |
Lisätietoja on kohdassa Päätepistelohkojen vianmääritys.
Jos käytät Microsoft Edge -selainta, käytä tätä kyselyä SmartScreen-tapahtumien Microsoft Defender:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
Voit käyttää tulokseksi saatavaa URL-osoitteiden ja URL-osoitteiden luetteloa määrittämään, mikä estetään, jos verkon suojaus on määritetty estämään tila laitteessa. Näet myös, mitkä ominaisuudet estävät URL-osoitteet ja URL-osoitteet. Tarkista luettelo, jos haluat tunnistaa ympäristösi edellyttämät URL-osoitteet tai URL-osoitteet. Voit sitten luoda sallittujen osoitteiden ilmaisimen näille URL-osoitteille tai IP-osoitteille. Salli ilmaisimien olla etusijalla kaikkiin lohkoihin nähden.
Kun olet luonut ilmaisimen, voit tarkastella taustalla olevan ongelman ratkaisemista seuraavasti:
- SmartScreen – pyydä tarkistusta
- Ilmaisin – muokkaa olemassa olevaa ilmaisinta
- MCA – tarkista sovellus, jota ei tueta
- WCF – pyynnön uudelleenluokittuminen
Näiden tietojen avulla voit tehdä tietoisen päätöksen verkon suojauksen käyttöönotosta estotilassa. Katso Verkon suojauslohkojen käsittelyjärjestys.
Huomautus
Koska tämä on laitekohtainen asetus, jos on laitteita, jotka eivät voi siirtyä Esto-tilaan, voit jättää ne valvontatilaan, kunnes voit korjata haasteen ja saat silti valvontatapahtumat.
Lisätietoja epätosi-positiivisten tietojen ilmoittamisesta on kohdassa Raportoi epätosi-positiiviset.
Lisätietoja omien Power BI -raporttien luomisesta on artikkelissa Mukautettujen raporttien luominen Power BI:n avulla.
Määritetään verkon suojausta
Lisätietoja verkon suojauksen käyttöönotosta on kohdassa Verkon suojauksen ottaminen käyttöön. Ota verkon suojaus käyttöön ja hallitse sitä verkossa ryhmäkäytäntö, PowerShellin tai MDM:n CSP:iden avulla.
Kun olet ottanut verkon suojauksen käyttöön, sinun on ehkä määritettävä verkkosi tai palomuurisi sallimaan yhteydet päätepistelaitteiden ja verkkopalveluiden välillä:
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
Verkon suojaustapahtumien tarkasteleminen
Verkon suojaus toimii parhaiten Microsoft Defender for Endpoint kanssa, jolloin saat yksityiskohtaisen raportoinnin hyödyntämissuojaustapahtumista ja -lohkoista osana hälytysten tutkintaskenaarioita.
Kun verkon suojaus estää yhteyden, toimintokeskuksesta tulee ilmoitus. Suojaustoimintatiimisi voi mukauttaa ilmoitusta organisaatiosi tiedoilla ja yhteystietoilla. Lisäksi yksittäiset hyökkäyspinnan vähentämissäännöt voidaan ottaa käyttöön ja mukauttaa tiettyjen valvottavien tekniikoiden mukaan.
Valvontatilan avulla voit myös arvioida, miten verkon suojaus vaikuttaisi organisaatioosi, jos se otetaan käyttöön.
Verkon suojaustapahtumien tarkistaminen Microsoft Defender portaalissa
Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan. Voit tarkastella näitä tietoja Microsoft Defender portaalissa (https://security.microsoft.com) ilmoitusjonossa tai käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten verkon suojausasetukset vaikuttaisivat ympäristöösi, jos ne otetaan käyttöön.
Verkonsuojaustapahtumien tarkistaminen Windows Tapahtumienvalvonta
Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun verkon suojaus estää (tai auditoi) haitallisen IP-osoitteen tai toimialueen käytön:
Valitse OK.
Tämä toimintosarja luo mukautetun näkymän, joka suodattaa näyttämään vain seuraavat verkon suojaukseen liittyvät tapahtumat:
Tapahtuman tunnus | Kuvaus |
---|---|
5007 |
Tapahtuma, kun asetuksia muutetaan |
1125 |
Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa |
1126 |
Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa |
Verkon suojaus ja TCP:n kolmisuuntainen kättely
Verkon suojauksen avulla määritetään, sallitaanko sivustolle pääsy vai estetäänkö se sen jälkeen, kun kolmitiekäsittely on suoritettu TCP/IP:n kautta. Näin ollen kun verkon suojaus estää sivuston, saatat nähdä toimintotyypin ConnectionSuccess
alle DeviceNetworkEvents
Microsoft Defender portaalissa, vaikka sivusto on estetty.
DeviceNetworkEvents
ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. Kun kaksisuuntainen kättely on valmis, verkkosuojaus sallii tai estää sivuston käytön.
Tässä on esimerkki siitä, miten tämä toimii:
Oletetaan, että käyttäjä yrittää käyttää verkkosivustoa laitteessaan. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.
Kolmisuuntainen kättely TCP/IP:n kautta alkaa. Ennen kuin se on valmis,
DeviceNetworkEvents
toiminto kirjataan lokiin, ja senActionType
luettelonaConnectionSuccess
on . Kuitenkin heti, kun kaksisuuntainen kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti. Samanlainen prosessi tapahtuu smartscreen-Microsoft Defender: kun kolmisuuntainen kädenpuristus valmistuu, määritys tehdään ja sivuston käyttö on joko estetty tai sallittu.Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että
DeviceNetworkEvents
AlertEvidence
. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonkaDeviceNetworkEvents
ActionType onConnectionSuccess
.
Huomioon otettavia seikkoja Windowsin näennäistyöpöydällä, joka on käynnissä Windows 10 Enterprise usean istunnon ajan
Pidä mielessä seuraavat asiat, koska Windows 10 Enterprise on useita käyttäjää:
Verkon suojaus on koko laitteen laajuinen ominaisuus, eikä sitä voida kohdistaa tiettyihin käyttäjäistuntoihin.
Verkkosisällön suodatuskäytännöt ovat myös koko laitteessa.
Jos haluat erottaa käyttäjäryhmät toisistaan, harkitse erillisten Windowsin virtuaalityöpöydän isäntävarantojen ja määritysten luomista.
Testaa verkon suojaus valvontatilassa sen toiminnan arvioimiseksi ennen käyttöönottoa.
Harkitse käyttöönoton koon muuttamista, jos käyttäjiä on paljon tai istuntoja on paljon.
Vaihtoehtoinen vaihtoehto verkon suojaamiseen
Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, jossa käytetään modernia yhdistettyä ratkaisua, Windows Serverin versio 1803 tai uudempi ja Windows 10 Enterprise Multi-Session 1909 ja uudemmat versiot, joita käytetään Windows Virtual Desktopissa Azuressa, Microsoft Edgen verkkosuojaus voidaan ottaa käyttöön seuraavalla tavalla:
Ota verkkosuojaus käyttöön ja ota käytäntösi käyttöön noudattamalla ohjeita.
Suorita seuraavat PowerShell-komennot:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Huomautus
Joissakin tapauksissa infrastruktuurista, liikenteen määrästä ja muista ehdoista
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
riippuen tämä voi vaikuttaa verkon suorituskykyyn.
Windows Server -palvelimien verkkosuojaus
Seuraavassa on tietoja, jotka koskevat Windows-palvelimia.
Varmista, että verkkosuojaus on käytössä
Tarkista Rekisteri-Kirjoitusavustaja avulla, onko verkkosuojaus käytössä paikallisessa laitteessa.
Avaa Rekisteri-Kirjoitusavustaja valitsemalla tehtäväpalkista Käynnistä-painike ja kirjoittamalla regedit.
Valitse HKEY_LOCAL_MACHINE sivuvalikosta.
Siirry sisäkkäiset valikot kohtaanOHJELMISTOKÄYTÄNNÖT>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.
(Jos avainta ei ole, siirry KOHTAAN SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Verkon suojaus)
Valitse EnableNetworkProtection , niin näet laitteen verkon suojauksen nykyisen tilan:
-
0
= ei käytössä -
1
= käytössä (käytössä) -
2
= valvontatila
-
Lisätietoja on artikkelissa Verkon suojauksen ottaminen käyttöön.
Ehdotetut verkon suojausrekisteriavaimet
Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, jossa käytetään modernia yhdistettyä ratkaisua, Windows Serverin versiossa 1803 tai uudemmassa sekä Windows 10 Enterprise Multi-Session 1909:ssä ja sitä uudemmissa (käytetään Azuren Windows Virtual Desktopissa), ota käyttöön muut rekisteriavaimet seuraavasti:
Siirry kohtaan HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.
Määritä seuraavat avaimet:
-
AllowNetworkProtectionOnWinServer
(DWORD) asetus:1
(heksa) -
EnableNetworkProtection
(DWORD) asetus:1
(heksa) - (Vain Windows Server 2012 R2:ssa ja Windows Server 2016:ssa)
AllowNetworkProtectionDownLevel
(DWORD) asetus:1
(heksa)
-
Huomautus
Infrastruktuuristasi, liikenteen määrästä ja muista ehdoista riippuen HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) voi vaikuttaa verkon suorituskykyyn.
Lisätietoja on kohdassa : Verkon suojauksen ottaminen käyttöön
Windows Serversin ja Windowsin usean istunnon kokoonpano edellyttää PowerShellin
Windows-palvelimien ja Windowsin moniistuntojen tapauksessa on myös muita kohteita, jotka sinun on otettava käyttöön PowerShellin cmdlet-komentojen avulla. Windows Server 2012 R2:ssa ja Windows Server 2016:ssa, jossa käytetään modernia yhdistettyä ratkaisua, Windows Serverin versio 1803 tai uudempi sekä Windows 10 Enterprise Multi-Session 1909 ja uudemmat versiot, joita käytetään Windows Virtual Desktopissa Azuressa, suorita seuraavat PowerShell-komennot:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Huomautus
Joissakin tapauksissa infrastruktuurista, liikenteen määrästä ja muista olosuhteista Set-MpPreference -AllowDatagramProcessingOnWinServer 1
riippuen se voi vaikuttaa verkon suorituskykyyn.
Verkon suojauksen vianmääritys
Verkon suojauksen suorittamisympäristön vuoksi toiminto ei ehkä tunnista käyttöjärjestelmän välityspalvelimen asetuksia. Joissakin tapauksissa verkkosuojausasiakkaat eivät pääse pilvipalveluun. Voit ratkaista yhteysongelman määrittämällä staattisen välityspalvelimen Microsoft Defender virustentorjuntaa varten.
Huomautus
Varmista ennen vianmäärityksen aloittamista, että quic-protokollan arvoksi disabled
määritetään käytetyissä selaimissa. QUIC-protokollaa ei tueta verkon suojaustoiminnoissa.
Koska yleinen suojattu käyttö ei tällä hetkellä tue UDP-liikennettä, UDP-liikennettä porttiin 443
ei voi tunneloida. Voit poistaa QUIC-protokollan käytöstä niin, että Global Secure Access -asiakkaat voivat palata käyttämään HTTPS:tä (portin 443 TCP-liikenne). Sinun on tehtävä tämä muutos, jos käytettävät palvelimet tukevat QUIC:tä (esimerkiksi Microsoft Exchange Online kautta). Voit poistaa QUIC:n käytöstä jollakin seuraavista toiminnoista:
Quic-toiminnon poistaminen käytöstä Windowsin palomuurissa
Yleisin tapa poistaa QUIC käytöstä on poistaa kyseinen ominaisuus käytöstä Windowsin palomuurissa. Tämä menetelmä vaikuttaa kaikkiin sovelluksiin, kuten selaimiin ja asiakassovelluksiin (kuten Microsoft Officeen). Suorita PowerShellissä cmdlet-komento, jos haluat lisätä uuden palomuurisäännön, New-NetFirewallRule
joka poistaa QUIC:n käytöstä kaikesta laitteen lähtevästä liikenteestä:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
QUIC-toiminnon poistaminen käytöstä verkkoselaimessa
Voit poistaa QUIC:n käytöstä selaimen tasolla. Tämä tapa poistaa QUIC käytöstä tarkoittaa kuitenkin sitä, että QUIC jatkaa työskentelyä muiden kuinbrowser-sovellusten parissa. Jos haluat poistaa QUIC:n käytöstä Microsoft Edgessä tai Google Chromessa, avaa selain, etsi Kokeellinen QUIC-protokolla -asetus (#enable-quic
merkintä) ja muuta sitten asetukseksi Disabled
. Seuraavassa taulukossa on esitetty selaimen osoiteriville kirjoitettava URI-tunnus, jotta voit käyttää kyseistä asetusta.
Selain | URI |
---|---|
Microsoft Edge | edge://flags/#enable-quic |
Google Chrome | chrome://flags/#enable-quic |
Verkon suojauksen suorituskyvyn optimointi
Verkon suojaus sisältää suorituskyvyn optimoinnin, jonka avulla tila voi block
asynkronisesti tarkastaa pitkäaikaiset yhteydet, mikä voi parantaa suorituskykyä. Tämä optimointi voi myös auttaa sovellusten yhteensopivuusongelmien kanssa. Tämä ominaisuus on oletusarvoisesti käytössä. Voit poistaa tämän ominaisuuden käytöstä käyttämällä seuraavaa PowerShellin cmdlet-komentoa:
Set-MpPreference -AllowSwitchToAsyncInspection $false
Tutustu myös seuraaviin ohjeartikkeleihin:
- Verkon suojauksen arviointi | Ryhdy nopeaan skenaarioon, joka esittelee, miten ominaisuus toimii ja mitä tapahtumia yleensä luodaan.
- Ota verkon suojaus käyttöön | Ota verkon suojaus käyttöön ja hallitse sitä verkossa ryhmäkäytäntö, PowerShellin tai MDM:n CSP:iden avulla.
- Hyökkäysalueen vähentämisominaisuuksien määrittäminen Microsoft Intune
- Linux-verkkosuojaus | Lisätietoja Microsoft Network Protectionin käytöstä Linux-laitteissa.
- MacOS:n verkkosuojaus | Lisätietoja Microsoftin macOS-verkkosuojauksesta
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.