Jaa

Verkon suojauksen avulla voit estää yhteydet haitallisiin tai epäilyttäviin sivustoihin

Koskee seuraavia:

Käyttöympäristöt

  • Windows
  • macOS
  • Linux

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy ilmaiseen kokeiluversioon.

Verkon suojauksen yleiskatsaus

Verkon suojaus auttaa suojaamaan laitteita estämällä yhteydet haitallisiin tai epäilyttäviin sivustoihin. Vaarallisia verkkotunnuksia ovat esimerkiksi verkkotunnukset, jotka isännöivät tietojenkalasteluhuijauksia, haitallisia latauksia, teknologiahuijauksia tai muuta haitallista sisältöä. Verkon suojaus laajentaa Microsoft Defender SmartScreenin laajuutta estääksesi kaiken lähtevän HTTP(S)-liikenteen, joka yrittää muodostaa yhteyden huonomaineisiin lähteisiin (toimialueen tai isäntänimen perusteella).

Verkon suojaus laajentaa verkon suojauksen käyttöjärjestelmätasolle ja on verkkosisällön suodatuksen (WCF) ydinosa. Se tarjoaa Microsoft Edgestä löytyneet verkkosuojaustoiminnot muihin tuettuihin selaimiin ja muihin kuinbrowser-sovelluksiin. Verkon suojaus tarjoaa myös päätepisteen tunnistukseen ja vastaukseen käytettyjen kompromissien (IOC) ilmaisimien näkyvyyden ja estämisen. Esimerkiksi verkon suojaus toimii mukautettujen ilmaisimien kanssa tiettyjen toimialueiden tai isäntänimien estämiseksi.

Katso tästä videosta, miten verkkosuojaus auttaa vähentämään laitteiden hyökkäyspintaa tietojenkalasteluhuijauksista, hyväksikäyttöistä ja muusta haitallisesta sisällöstä:

Verkon suojauksen kattavuus

Seuraavassa taulukossa on yhteenveto kattavuuden verkon suojausalueista.

Ominaisuus Microsoft Edge Muut kuin Microsoft-selaimet Nonbrowser-prosessit
(esimerkiksi PowerShell)
Web Threat Protection SmartScreen on otettava käyttöön Verkon suojauksen on oltava lohkotilassa Verkon suojauksen on oltava lohkotilassa
Mukautetut ilmaisimet SmartScreen on otettava käyttöön Verkon suojauksen on oltava lohkotilassa Verkon suojauksen on oltava lohkotilassa
Verkkosisällön suodatus SmartScreen on otettava käyttöön Verkon suojauksen on oltava lohkotilassa Ei tuettu

Voit varmistaa, että SmartScreen on käytössä Microsoft Edgessä, käyttämällä Edge-käytäntöä: SmartScreen käytössä.

Huomautus

Windowsissa verkon suojaus ei valvo Microsoft Edgeä. Muissa prosesseissa kuin Microsoft Edgessä ja Internet Explorerissa verkon suojausskenaariot hyödyntävät verkon suojausta tarkastuksissa ja täytäntöönpanossa. Macissa ja Linuxissa Microsoft Edge -selain integroi vain Web Threat Protectionin. Verkon suojaus on otettava käyttöön lohkotilassa mukautettujen ilmaisimien ja verkkosisällön suodattamisen tukemiseksi Edgessä ja muissa selaimissa.

Tunnetut ongelmat & rajoitukset

  • IP-osoitteita tuetaan kaikissa kolmessa protokollassa (TCP, HTTP ja HTTPS (TLS))
  • Vain yksittäisiä IP-osoitteita tuetaan (ei CIDR-lohkoja tai IP-alueita) mukautetuissa ilmaisimissa
  • HTTP-URL-osoitteet (mukaan lukien täydellinen URL-polku) voidaan estää mille tahansa selaimelle tai prosessille
  • HTTPS:n täydelliset toimialuenimet voidaan estää muissa kuin Microsoft-selaimissa (koko URL-polun määrittävät ilmaisimet voidaan estää vain Microsoft Edgessä)
  • FQDN:n estäminen muissa kuin Microsoft-selaimissa edellyttää, että QUIC ja Encrypted Client Hello poistetaan käytöstä kyseisissä selaimissa
  • HTTP2-yhteyden yhdistämisen kautta ladatut toimialuenimen (FQDN) yhteydet voidaan estää vain Microsoft Edgessä
  • Verkon suojaus estää yhteydet kaikissa porteilla (ei vain 80 ja 443).

Ilmaisimen/käytännön lisäämisen ja vastaavan URL-osoitteen/IP-osoitteen estojen välillä voi olla enintään kaksi tuntia viivettä.

Verkon suojausta koskevat vaatimukset

Verkon suojaus edellyttää laitteita, joissa on käytössä jokin seuraavista käyttöjärjestelmistä:

Verkon suojaus edellyttää myös Microsoft Defender virustentorjuntaohjelmaa, jossa reaaliaikainen suojaus on käytössä.

Windows-versio Microsoft Defenderin virustentorjunta
Windows 10 versio 1709 tai uudempi versio Windows 11 Windows Server 1803 tai uudempi versio Varmista, että Microsoft Defender virustentorjuntaohjelman reaaliaikainen suojaus, toiminnan valvonta ja pilvipalveluun toimitettu suojaus ovat käytössä (aktiivinen)
Windows Server 2012 R2 ja Windows Server 2016 käyttäen modernia yhdistettyä ratkaisua Käyttöympäristön päivitysversio 4.18.2001.x.x tai uudempi

Miksi verkon suojaus on tärkeää

Verkon suojaus on osa hyökkäyspinnan vähentämisratkaisuryhmää Microsoft Defender for Endpoint. Verkon suojauksen avulla verkkokerros voi estää yhteydet toimialueisiin ja IP-osoitteisiin. Oletusarvoisesti verkon suojaus suojaa tietokoneita tunnetuilta haitallisilta toimialueilta SmartScreen-syötteen avulla, joka estää haitalliset URL-osoitteet samalla tavalla kuin SmartScreen Microsoft Edge -selaimessa. Verkon suojaustoiminto voidaan laajentaa koskemaan seuraavaa:

  • Estä IP-osoitteet/URL-osoitteet omista uhkatiedoistasi (ilmaisimet)
  • Estä Microsoft Defender for Cloud Apps palveluita, joita ei tueta
  • Estä selaimen käyttö sivustoille luokan perusteella (verkkosisällön suodatus)

Vihje

Lisätietoja Windows Server, Linuxin, macOS:n ja MTD:n (Mobile Threat Defense) verkon suojauksesta on artikkelissa Uhkien ennakoiva etsintä kehittyneellä metsästyksellä.

Estä komento- ja hallintahyökkäykset

Komento- ja hallintapalvelimia (C2) käytetään lähettämään komentoja järjestelmiin, jotka haittaohjelma on aiemmin vaarantanut.

C2-palvelimien avulla voidaan käynnistää komentoja, jotka voivat:

  • Tietojen varastaminen
  • Vaarantuneiden tietokoneiden hallinta bottiverkossa
  • Häiritse laillisia sovelluksia
  • Haittaohjelmien, kuten kiristysohjelman, levittäminen

Defender for Endpointin verkon suojauskomponentti tunnistaa ja estää yhteydet C2-palvelimiin, joita käytetään ihmisen toimittamiin kiristyshaittaohjelmahyökkäyksiin, käyttämällä koneoppimisen ja älykkään kompromissi-indikaattorin (IoC) tunnistamista.

Verkon suojaus: C2-tunnistaminen ja korjaaminen

Kiristyshaittaohjelmat ovat kehittyneet kehittyneeksi uhaksi, joka on ihmisvetoinen, mukautuva ja keskittyy suuriin tuloksiin, kuten koko organisaation omaisuuden tai tietojen hallussapitoon lunnaita varten.

Komento- ja hallintapalvelimien tuki (C2) on tärkeä osa tätä kiristyshaittaohjelmakehitystä, ja sen avulla nämä hyökkäykset voivat sopeutua niiden kohteena olevaan ympäristöön. Linkin katkaiseminen komento- ja hallintainfrastruktuuriin pysäyttää hyökkäyksen etenemisen seuraavaan vaiheeseen. Lisätietoja C2-tunnistamisesta ja korjaamisesta on Tech Community -blogissa: Komento- ja hallintahyökkäysten havaitseminen ja korjaaminen verkkokerroksessa.

Verkon suojaus: uudet ilmoitusruutuilmoitukset

Uusi yhdistämismääritys Vastausluokka Lähteistä
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

Huomautus

customAllowList ei luo päätepisteisiin ilmoituksia.

Uusia ilmoituksia verkon suojauksen määrittämiseksi

Kun loppukäyttäjä yrittää käydä verkkosivustossa ympäristössä, jossa verkon suojaus on käytössä, on mahdollista käyttää kolmea skenaariota seuraavassa taulukossa esitetyllä tavalla:

Skenaario Mitä tapahtuu
URL-osoitteella on tunnettu hyvä maine Käyttäjälle sallitaan käyttöoikeus ilman estämistä, eikä päätepisteessä esitetä ilmoitusruutua. Itse asiassa toimialueen tai URL-osoitteen arvoksi on määritetty Sallittu.
URL-osoitteen maine on tuntematon tai epävarma Käyttäjän käyttö on estetty, mutta voit kiertää (poistaa eston) lohkon. Itse asiassa toimialueen tai URL-osoitteen arvoksi on määritetty Valvonta.
URL-osoitteella on tunnettu huono (haitallinen) maine Käyttäjää ei voi käyttää. Itse asiassa toimialue tai URL-osoite on Block.

Varoita käyttökokemuksesta

Käyttäjä käy sivustossa. Jos URL-osoitteen maine on tuntematon tai epävarma, ilmoitusruutu esittää käyttäjälle seuraavat vaihtoehdot:

  • Ok: Ilmoitusruutu julkaistaan (poistetaan), ja yritys käyttää sivustoa lopetetaan.
  • Poista esto: Käyttäjällä on sivuston käyttöoikeus 24 tunnin ajan. jonka jälkeen lohko voidaan palauttaa. Käyttäjä voi käyttää Poista esto -toimintoa sivuston käyttämiseen, kunnes järjestelmänvalvoja estää (estää) sivuston käyttämisen, mikä poistaa eston poistamisasetuksen.
  • Palaute: Ilmoitusruutu esittää käyttäjälle linkin palvelupyynnön lähettämiseen. Käyttäjä voi lähettää palautetta järjestelmänvalvojalle perustellakseen sivuston käyttöoikeuksia.

Näyttää verkkosuojauksen tietojenkalastelusisällön varoitusilmoituksen.

Huomautus

Tässä artikkelissa näytetyt kuvat käyttökokemuksen ja block käyttökokemuksen warn osalta käyttävät esimerkkinä paikkamerkkitekstinä estettyä URL-osoitetta. Toimivassa ympäristössä luetteloidaan todellinen URL-osoite tai toimialue.

Ota käyttöön CSP:n avulla Convert warn verdict to block

Oletusarvoisesti SmartScreen-tuomiot haitallisille sivustoille johtavat varoitukseen, jonka käyttäjä voi ohittaa. Käytäntö voidaan määrittää muuntamaan varoitus lohkoiksi, mikä estää tällaiset ohitukset.

Muita kuin Edge-selaimia on kohdassa Defender CSP: Configuration/EnableConvertWarnToBlock. Edge-selaimet ovat kohdassa Edgen käytäntö: Estä SmartScreen-kehotteen ohitus.

Ryhmäkäytäntö avulla voit estää Muunna varoitus -tuomion

Kun tämä asetus on käytössä, verkkosuojaus estää verkkoliikenteen varoituksen näyttämisen sijaan.

  1. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli.

  2. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö objektia, jonka haluat määrittää, ja valitse sitten Muokkaa.

  3. Valitse ryhmäkäytäntö -hallinta-KirjoitusavustajaTietokoneasetukset ja valitse sitten Hallintamallit.

  4. Laajenna puu kohtaan Windowsin osat>Microsoft Defender virustentorjuntaVerkon>tarkastusjärjestelmä.

  5. Kaksoisnapsauta Muunna varoitus -päätöstä estääksesi ja määritä asetukseksi Käytössä.

  6. Valitse OK.

Estä käyttökokemus

Kun käyttäjä käy sivustossa, jonka URL-osoitteen maine on huono, ilmoitusruutu esittää käyttäjälle seuraavat vaihtoehdot:

  • Ok: Ilmoitusruutu julkaistaan (poistetaan), ja yritys käyttää sivustoa lopetetaan.
  • Palaute: Ilmoitusruutu esittää käyttäjälle linkin palvelupyynnön lähettämiseen. Käyttäjä voi lähettää palautetta järjestelmänvalvojalle perustellakseen sivuston käyttöoikeuksia.

Näyttää verkon suojauksen tunnetun tietojenkalastelusisällön estetyt ilmoitukset.

SmartScreen poista esto

Defender for Endpointin ilmaisimien avulla järjestelmänvalvojat voivat antaa käyttäjien ohittaa joillekin URL-osoitteille ja URL-osoitteille luodut varoitukset. Sen mukaan, miksi URL-osoite on estetty, SmartScreen-lohkon kohdatessa se voi tarjota käyttäjälle mahdollisuuden poistaa sivuston esto jopa 24 tunnin ajan. Tällaisissa tapauksissa näyttöön tulee Windowsin suojaus ilmoitusruutu, jonka avulla käyttäjä voi valita Poista esto. Tällaisissa tapauksissa URL-osoitetta tai IP-osoitetta ei ole estetty määritetyn ajanjakson ajan.

Windowsin suojaus ilmoitus verkon suojauksesta.

Microsoft Defender for Endpoint järjestelmänvalvojat voivat määrittää SmartScreenin estotoiminnon Microsoft Defender portaalissa käyttämällä IPS-, URL- ja toimialueilmaisinta.

Verkon suojaus SmartScreen estää määrityksen URL-osoitteen ja IP-lomakkeen.

Katso Url-osoitteiden ja URL-osoitteiden/toimialueiden ilmaisimien luominen.

Verkon suojauksen käyttäminen

Verkon suojaus on käytössä laitetta kohden, mikä tehdään yleensä hallintainfrastruktuurin avulla. Tuetut menetelmät ovat kohdassa Verkon suojauksen ottaminen käyttöön.

Huomautus

Microsoft Defender virustentorjuntaohjelman on oltava aktiivisessa tilassa, jotta verkkosuojaus voidaan ottaa käyttöön.

Voit ottaa verkon suojauksen audit käyttöön tilassa tai block tilassa. Jos haluat arvioida verkon suojauksen käyttöönoton vaikutusta ennen IP-osoitteiden tai URL-osoitteiden estämistä, voit ottaa verkon suojauksen käyttöön valvontatilassa. Valvontatila kirjaa aina, kun loppukäyttäjät muodostavat yhteyden osoitteeseen tai sivustoon, jonka verkkosuojaus muuten estäisi. Jotta mukautettujen ilmaisimien tai verkkosisällön suodatusluokkien estäminen voidaan pakottaa käyttöön, verkon suojauksen on oltava tilassa block .

Lisätietoja Linuxin ja macOS:n verkkosuojauksesta on seuraavissa artikkeleissa:

Tarkennettu etsintä

Jos käytät kehittynyttä metsästystä valvontatapahtumien tunnistamiseen, konsolista on saatavilla enintään 30 päivän historia. Katso Kehittynyt metsästys.

Voit etsiä valvontatapahtumat kehittyneestä metsästyksestä Defender for Endpoint -portaalista (https://security.microsoft.com).

Valvontatapahtumat ovat DeviceEvents-toiminnoissa, joiden ActionType-arvo ExploitGuardNetworkProtectionAuditedon . Lohkot näytetään, ja ActionType-arvo ExploitGuardNetworkProtectionBlockedon .

Tässä on esimerkkikysely muiden kuin Microsoft-selainten verkon suojaustapahtumien tarkastelemiseen:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Kehittynyt metsästys tapahtumien seurantaa ja tunnistamista varten.

Vihje

Nämä merkinnät sisältävät Tietoja AdditionalFields-sarakkeessa , joka antaa lisätietoja toiminnosta, mukaan lukien kentät : IsAudit, ResponseCategory ja DisplayName.

Tässä on toinen esimerkki:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Vastaus-luokka kertoo, mikä aiheutti tapahtuman, kuten tässä esimerkissä:

Vastauksen luokka Tapahtumasta vastaava ominaisuus
CustomPolicy WCF
CustomBlockList Mukautetut ilmaisimet
CasbPolicy Defender for Cloud Apps
Malicious WWW-uhat
Phishing WWW-uhat

Lisätietoja on kohdassa Päätepistelohkojen vianmääritys.

Jos käytät Microsoft Edge -selainta, käytä tätä kyselyä SmartScreen-tapahtumien Microsoft Defender:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Voit käyttää tulokseksi saatavaa URL-osoitteiden ja URL-osoitteiden luetteloa määrittämään, mikä estetään, jos verkon suojaus on määritetty estämään tila laitteessa. Näet myös, mitkä ominaisuudet estävät URL-osoitteet ja URL-osoitteet. Tarkista luettelo, jos haluat tunnistaa ympäristösi edellyttämät URL-osoitteet tai URL-osoitteet. Voit sitten luoda sallittujen osoitteiden ilmaisimen näille URL-osoitteille tai IP-osoitteille. Salli ilmaisimien olla etusijalla kaikkiin lohkoihin nähden. Katso Verkon suojauslohkojen käsittelyjärjestys.

Kun olet luonut ilmaisimen sivuston eston luomiseksi, voit yrittää ratkaista alkuperäisen lohkon seuraavasti:

  • SmartScreen: raportoi false-positiivisesta, jos se on tarkoituksenmukaista
  • Ilmaisin: muokkaa olemassa olevaa ilmaisinta
  • MCA: tarkista sovellus, jota ei tueta
  • WCF: uudelleenluokittimen pyytäminen

Huomautus

Koska tämä on laitekohtainen asetus, jos on laitteita, jotka eivät voi siirtyä Esto-tilaan, voit jättää ne valvontatilaan, jotta ne saavat valvontatapahtumat.

Lisätietoja epätosi-positiivisten tietojen ilmoittamisesta SmartScreen-tiedoissa on kohdassa Raportin epätosi-positiiviset tiedot.

Lisätietoja omien Power BI -raporttien luomisesta on artikkelissa Mukautettujen raporttien luominen Power BI:n avulla.

Määritetään verkon suojausta

Lisätietoja verkon suojauksen käyttöönotosta on kohdassa Verkon suojauksen ottaminen käyttöön. Ota verkon suojaus käyttöön ja hallitse sitä verkossa ryhmäkäytäntö, PowerShellin tai MDM:n CSP:iden avulla.

Kun olet ottanut verkon suojauksen käyttöön, sinun on ehkä määritettävä verkkosi tai palomuurisi sallimaan yhteydet päätepistelaitteiden ja verkkopalveluiden välillä:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Vaadittu selaimen määritys

Muissa kuin Microsoft Edge -prosesseissa verkkosuojaus määrittää kunkin HTTPS-yhteyden tarkan toimialuenimen tarkastelemalla TLS-kättelyn sisältöä, joka tapahtuu TCP/IP-kättelyn jälkeen. Tämä edellyttää, että HTTPS-yhteys käyttää TCP/IP:tä (ei UDP/QUIC) ja että ClientHello-viestiä ei salata. Jos haluat poistaa QUIC: n ja salatun asiakkaan hei käytöstä Google Chromessa, katso QuicAllowed ja EncryptedClientHelloEnabled. Mozilla Firefox on kohdassa Disable EncryptedClientHello and network.http.http3.enable.

Verkon suojaustapahtumien tarkasteleminen

Verkon suojaus toimii parhaiten Microsoft Defender for Endpoint kanssa, jolloin saat yksityiskohtaisen raportoinnin hyödyntämissuojaustapahtumista ja -lohkoista osana hälytysten tutkintaskenaarioita.

Kun verkon suojaus estää yhteyden, asiakkaassa näytetään ilmoitus. Suojaustoimintatiimisi voi mukauttaa ilmoitusta organisaatiosi tiedoilla ja yhteystietoilla.

Verkon suojaustapahtumien tarkistaminen Microsoft Defender portaalissa

Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan. Voit tarkastella näitä tietoja Microsoft Defender portaalissa (https://security.microsoft.com) ilmoitusjonossa tai käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten verkon suojausasetukset vaikuttaisivat ympäristöösi, jos ne otetaan käyttöön.

Verkonsuojaustapahtumien tarkistaminen Windows Tapahtumienvalvonta

Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun verkon suojaus estää (tai auditoi) haitallisen IP-osoitteen tai toimialueen käytön:

  1. Luo XML-kysely.

  2. Valitse OK.

Tämä toimintosarja luo mukautetun näkymän, joka suodattaa näyttämään vain seuraavat verkon suojaukseen liittyvät tapahtumat:

Tapahtuman tunnus Kuvaus
5007 Tapahtuma, kun asetuksia muutetaan
1125 Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa
1126 Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa

Verkon suojaus ja TCP:n kolmisuuntainen kättely

Verkon suojauksen avulla määritetään, sallitaanko sivustolle pääsy vai estetäänkö se sen jälkeen, kun kolmitiekäsittely on suoritettu TCP/IP:n kautta. Näin ollen kun verkon suojaus estää sivuston, saatat nähdä toimintotyypin ConnectionSuccess alle DeviceNetworkEvents Microsoft Defender portaalissa, vaikka sivusto on estetty. DeviceNetworkEvents ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. TCP/IP-kättelyn ja TLS-kättelyn päättymisen jälkeen verkkosuojaus sallii tai estää sivuston käytön.

Tässä on esimerkki siitä, miten tämä toimii:

  1. Oletetaan, että käyttäjä yrittää käyttää sivustoa. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.

  2. Kolmisuuntainen kättely TCP/IP:n kautta alkaa. Ennen kuin se on valmis, DeviceNetworkEvents toiminto kirjataan lokiin, ja sen ActionType luettelona ConnectionSuccesson . Kuitenkin heti, kun kaksisuuntainen kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti.

  3. Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että DeviceNetworkEventsAlertEvidence. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonka DeviceNetworkEvents ActionType on ConnectionSuccess.

Huomioon otettavia seikkoja Windowsin näennäistyöpöydällä, joka on käynnissä Windows 10 Enterprise usean istunnon ajan

Pidä mielessä seuraavat asiat, koska Windows 10 Enterprise on useita käyttäjää:

  • Verkon suojaus on koko laitteen laajuinen ominaisuus, eikä sitä voida kohdistaa tiettyihin käyttäjäistuntoihin.
  • Jos haluat erottaa käyttäjäryhmät toisistaan, harkitse erillisten Windowsin virtuaalityöpöydän isäntävarantojen ja määritysten luomista.
  • Testaa verkon suojaus valvontatilassa sen toiminnan arvioimiseksi ennen käyttöönottoa.
  • Harkitse käyttöönoton koon muuttamista, jos käyttäjiä on paljon tai istuntoja on paljon.

Vaihtoehtoinen vaihtoehto verkon suojaamiseen

Windows Server 2012 R2 ja Windows Server 2016 käyttäen modernia yhdistettyä ratkaisua, Windows Server versiota 1803 tai uudempaa ja Windows 10 Enterprise Moniistunto 1909 ja sitä uudemmat versiot, joita käytetään Windowsin virtuaalityöpöydällä Azuressa, Microsoft Edgen verkonsuojaus voidaan ottaa käyttöön seuraavalla tavalla:

  1. Ota verkkosuojaus käyttöön ja ota käytäntösi käyttöön noudattamalla ohjeita.

  2. Suorita seuraavat PowerShell-komennot:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    Huomautus

    Joissakin tapauksissa infrastruktuurista, liikenteen määrästä ja muista ehdoista Set-MpPreference -AllowDatagramProcessingOnWinServer 1 riippuen tämä voi vaikuttaa verkon suorituskykyyn.

Windows Server -palvelimien verkkosuojaus

Seuraavat tiedot koskevat Windows Server -palvelimia.

Varmista, että verkkosuojaus on käytössä

Tarkista Rekisteri-Kirjoitusavustaja avulla, onko verkkosuojaus käytössä paikallisessa laitteessa.

  1. Avaa Rekisteri-Kirjoitusavustaja valitsemalla tehtäväpalkista Käynnistä-painike ja kirjoittamalla.regedit

  2. Valitse HKEY_LOCAL_MACHINE sivuvalikosta.

  3. Siirry sisäkkäiset valikot kohtaanOHJELMISTOKÄYTÄNNÖT>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Jos avainta ei ole, siirry KOHTAAN SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Verkon suojaus)

  4. Valitse EnableNetworkProtection , niin näet laitteen verkon suojauksen nykyisen tilan:

    • 0 = ei käytössä
    • 1 = käytössä (käytössä)
    • 2 = valvontatila

Lisätietoja on artikkelissa Verkon suojauksen ottaminen käyttöön.

Ehdotetut verkon suojausrekisteriavaimet

Ota käyttöön muita rekisteriavaimia Windows Server 2012 R2:ssa ja Windows Server 2016:ssa käyttäen modernia yhdistettyä ratkaisua, Windows Server versiota 1803 tai uudempaa versiota sekä Windows 10 Enterprise Multi-Session 1909:ää ja uudempia versioita (käytetään Azuren Windowsin virtuaalityöpöydällä) seuraavasti:

  1. Siirry kohtaan HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

  2. Määritä seuraavat avaimet:

    • AllowNetworkProtectionOnWinServer (DWORD) asetus: 1 (heksa)
    • EnableNetworkProtection (DWORD) asetus: 1 (heksa)
    • (Vain Windows Server 2012 R2 ja Windows Server 2016) (DWORD) AllowNetworkProtectionDownLevel asetus 1 : (heksa)

Huomautus

Infrastruktuuristasi, liikenteen määrästä ja muista ehdoista riippuen HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) voi vaikuttaa verkon suorituskykyyn.

Lisätietoja on kohdassa : Verkon suojauksen ottaminen käyttöön.

Windows Serversin ja Windowsin usean istunnon kokoonpano edellyttää PowerShellin

Windows-palvelimien ja Windowsin moniistuntojen tapauksessa on myös muita kohteita, jotka sinun on otettava käyttöön PowerShellin cmdlet-komentojen avulla. Suorita seuraavat PowerShell-komennot Windows Server 2012 R2:ssa ja Windows Server 2016:ssa käyttämällä modernia yhdistettyä ratkaisua, Windows Server versiossa 1803 tai uudemmassa sekä Windows 10 Enterprise Multi-Session 1909:ssä ja sitä uudemmissa versioissa Windows Virtual Desktopissa:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Huomautus

Joissakin tapauksissa infrastruktuurista, liikenteen määrästä ja muista olosuhteista Set-MpPreference -AllowDatagramProcessingOnWinServer 1 riippuen se voi vaikuttaa verkon suorituskykyyn.

Verkon suojauksen vianmääritys

Verkon suojauksen suorittamisympäristön vuoksi toiminto ei ehkä tunnista käyttöjärjestelmän välityspalvelimen asetuksia. Joissakin tapauksissa verkkosuojausasiakkaat eivät pääse pilvipalveluun. Voit ratkaista yhteysongelman määrittämällä staattisen välityspalvelimen Microsoft Defender virustentorjuntaa varten.

Huomautus

Salattua asiakasta Helloa ja QUIC-protokollaa ei tueta verkon suojaustoiminnoissa. Varmista, että nämä protokollat on poistettu käytöstä selaimissa kohdassa Vaadittu selaimen määritys yllä kuvatulla tavalla.

Jos haluat poistaa QUIC:n käytöstä kaikissa asiakasohjelmissa, voit estää QUIC-liikenteen Windowsin palomuurin kautta.

Quic-toiminnon poistaminen käytöstä Windowsin palomuurissa

Tämä menetelmä vaikuttaa kaikkiin sovelluksiin, kuten selaimiin ja asiakassovelluksiin (kuten Microsoft Officeen). Lisää cmdlet-komento PowerShellissä ja lisää uusi palomuurisääntö, New-NetFirewallRule joka poistaa QUIC:n käytöstä estämällä kaiken lähtevän liikenteen UDP-liikenteen porttiin 443:


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Verkon suojauksen suorituskyvyn optimointi

Verkon suojaus sisältää suorituskyvyn optimoinnin, jonka avulla tila voi block asynkronisesti tarkastaa pitkäaikaiset yhteydet, mikä voi parantaa suorituskykyä. Tämä optimointi voi myös auttaa sovellusten yhteensopivuusongelmien kanssa. Tämä ominaisuus on oletusarvoisesti käytössä.

Ota AllowSwitchToAsyncInspection käyttöön CSP:n avulla

Defender CSP: Configuration/AllowSwitchToAsyncInspection

Ota asynkroninen tarkastus käyttöön ryhmäkäytäntö avulla

Tämän menettelyn avulla verkon suojaus parantaa suorituskykyä vaihtamalla reaaliaikaisesta tarkastuksesta asynkroniseen tarkastukseen.

  1. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli.

  2. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö objektia, jonka haluat määrittää, ja valitse sitten Muokkaa.

  3. Valitse ryhmäkäytäntö-hallinta-Kirjoitusavustaja Tietokoneasetukset ja valitse sitten Hallintamallit.

  4. Laajenna puu kohtaan Windowsin osat>Microsoft Defender virustentorjuntaVerkon>tarkastusjärjestelmä.

  5. Kaksoisnapsauta Ota käyttöön asynkroninen tarkastus ja määritä sitten asetukseksi Käytössä.

  6. Valitse OK.

Ota asynkroninen tarkastus käyttöön Microsoft Defender virustentorjunnan Powershellin cmdlet-komennon avulla

Voit ottaa tämän ominaisuuden käyttöön käyttämällä seuraavaa PowerShellin cmdlet-komentoa:

Set-MpPreference -AllowSwitchToAsyncInspection $true

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.