שתף באמצעות


צור מחוונים עבור כתובות IP וכתובות URL/תחומים

חל על:

סקירה כללית

על-ידי יצירת מחוונים עבור כתובות IP וכתובות URL או תחומים, באפשרותך כעת לאפשר או לחסום כתובות IP, כתובות URL או תחומים בהתבסס על בינת האיומים שלך. באפשרותך גם להזהיר משתמשים אם הם פותחים יישום מסוכן. הבקשה לא תימנע מהם להשתמש באפליקציה; המשתמשים יכולים לעקוף את האזהרה ולהמשיך להשתמש ביישום במידת הצורך.

כדי לחסום כתובות IP/כתובות URL זדוניות, Defender for Endpoint יכול להשתמש ב:

  • Windows Defender SmartScreen עבור דפדפני Microsoft
  • הגנת רשת עבור דפדפנים שאינם של Microsoft ותהליכים שאינם של דפדפן

ערכת נתוני בינת האיומים המהווה ברירת מחדל לחסימת כתובות IP/כתובות URL זדוניות מנוהלת על-ידי Microsoft.

באפשרותך לחסום כתובות IP/כתובות URL זדוניות נוספות על-ידי קביעת התצורה של 'מחווני רשת מותאמים אישית'.

מערכות הפעלה נתמכות

לפני שתתחיל

חשוב להבין את הדרישות המוקדמות הבאות לפני יצירת מחוונים עבור כתובות IP, כתובות URL או תחומים.

Microsoft Defender של גירסת אנטי-וירוס

השילוב עם דפדפני Microsoft נשלט על-ידי הגדרת SmartScreen של הדפדפן. עבור דפדפנים ויישומים אחרים, הארגון שלך חייב לכלול:

דרישות הגנת רשת

הרשאה וחסימה של כתובת URL/IP Microsoft Defender עבור נקודת קצה שהרכיב 'הגנת רשת' מופעל במצב חסימה. לקבלת מידע נוסף על הוראות ההגנה על הרשת והתצורה, ראה הפיכת הגנת רשת לזמינה.

דרישות מותאמות אישית של מחווני רשת

כדי להתחיל לחסום כתובות IP ו/או כתובות URL, הפעל את התכונה 'מחווני רשת מותאמים אישית' Microsoft Defender הפורטל. התכונה נמצאת ב'הגדרות נקודות>קצה' תכונות>מתקדמות>כלליות. לקבלת מידע נוסף, ראה תכונות מתקדמות.

לקבלת תמיכה של מחוונים ב- iOS, ראה Microsoft Defender עבור נקודת קצה ב- iOS.

לקבלת תמיכה של מחוונים ב- Android, ראה Microsoft Defender עבור נקודת קצה ב- Android.

מגבלות של רשימת מחוונים

ניתן להוסיף כתובות IP חיצוניות בלבד לרשימת המחוונים; אין אפשרות ליצור מחוונים עבור כתובות IP פנימיות.

תהליכים שאינם של Microsoft Edge ו- Internet Explorer

עבור תהליכים שאינם Microsoft Edge ו- Internet Explorer, תרחישי הגנה באינטרנט משתמשים בהגנה על הרשת לבדיקה ולאכיפה:

  • כתובות IP נתמכות עבור כל שלושת הפרוטוקולים (TCP, HTTP ו- HTTPS (TLS))
  • רק כתובות IP בודדות נתמכות (אין בלוקי CIDR או טווחי IP) מחוונים מותאמים אישית
  • ניתן לחסום כתובות URL של HTTP (כולל נתיב URL מלא) עבור כל דפדפן או תהליך
  • ניתן לחסום שמות תחומים (FQDN) מלאים של HTTPS בדפדפנים שאינם של Microsoft (ניתן לחסום מחוונים המצינים נתיב כתובת URL מלא רק ב- Microsoft Edge)
  • חסימת שמות FQDN בדפדפנים שאינם של Microsoft דורשת הפיכת QUIC ו- Encrypted Client Hello ללא זמינים בדפדפנים אלה
  • ניתן לחסום רק ב- Microsoft Edge את כתובות ה- FQDN שנטענו באמצעות התמזגות חיבור HTTP2
  • אם קיימות מדיניות מחוון כתובת URL מתנגשת, הנתיב יתווחל. לדוגמה, מדיניות מחוון כתובת ה- https://support.microsoft.com/office URL מקבלת קדימות על-פני מדיניות מחוון כתובת ה- URL https://support.microsoft.com.

יישום הגנת רשת

בתהליכים שאינם של Microsoft Edge, 'הגנת רשת' קובעת את שם התחום המלא עבור כל חיבור HTTPS על-ידי בחינת התוכן של לחיצת היד של TLS המתרחשת לאחר לחיצת יד של TCP/IP. פעולה זו מחייבת שחיבור HTTPS ישתמש ב- TCP/IP (לא ב- UDP/QUIC) ושההודעה ClientHello אינה מוצפנת. כדי להפוך את QUIC ו- Encrypted Client Hello ללא זמינים ב- Google Chrome, ראה QuicAllowedו- EncryptedClientHelloEnabled. עבור Mozilla Firefox, ראה Disable EncryptedClientHello ו - network.http.http3.enable.

קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP וכל לחיצת יד של TLS. לכן, כאשר אתר חסום על-ידי הגנה על רשת, ConnectionSuccessNetworkConnectionEvents ייתכן שתראה סוג פעולה של תחת פורטל Microsoft Defender, למרות שהאתר נחסם. NetworkConnectionEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד השלושה כיוונית, הגישה לאתר מותרת או חסומה על-ידי הגנת רשת.

להלן דוגמה לאופן הפעולה:

  1. נניח שמשתמש מנסה לגשת לאתר אינטרנט במכשיר שלו. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.

  2. לחיצת היד של TCP/IP פקודה. לפני השלמתה, NetworkConnectionEvents תירשם פעולה והיא ActionType תופיע כ- ConnectionSuccess. עם זאת, לאחר השלמת תהליך לחיצת היד של TCP/IP, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות. תהליך דומה מתרחש עם Microsoft Defender SmartScreen; לאחר של לחיצת היד מתבצעת קביעה, והגישה לאתר נחסמת או מותרת.

  3. בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן NetworkConnectionEventsAlertEventsאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריט NetworkConnectionEvents עם ה- ActionType של ConnectionSuccess.

הצג אזהרה על פקדי מצב

בעת שימוש במצב אזהרה, באפשרותך לקבוע את תצורת הפקדים הבאים:

  • עקוף יכולת

    • לחצן 'אפשר' ב- Microsoft Edge
    • לחצן 'אפשר' בהודעות מוקפצות (דפדפנים שאינם של Microsoft)
    • עקיפת פרמטר משך של מחוון
    • עקיפת אכיפה בדפדפנים של Microsoft ודפדפנים שאינם של Microsoft
  • כתובת URL של ניתוב מחדש

    • פרמטר כתובת URL של ניתוב מחדש של המחוון
    • כתובת URL של ניתוב מחדש ב- Microsoft Edge
    • ניתוב מחדש של כתובת URL בעת הודעות מוקפצות (דפדפנים שאינם של Microsoft)

לקבלת מידע נוסף, ראה פיקוח על אפליקציות שהתגלו על-ידי Microsoft Defender עבור נקודת קצה.

כתובת URL של מחוון IP והזמנות טיפול בהתנגשויות של מדיניות תחום

טיפול בהתנגשות מדיניות עבור תחומים/כתובות URL/כתובות IP שונה מטיפול בהתנגשויות מדיניות עבור אישורים.

במקרה שבו מוגדרים סוגי פעולות שונים מרובים על אותו מחוון (לדוגמה, שלושה מחוונים עבור Microsoft.com עם סוגי הפעולה חוסמים, מזהירים ומאפשרים), הסדר שבו סוגי פעולות אלה להיכנס לתוקף הוא:

  1. אפשר

  2. להזהיר

  3. חסום

"Allow" עוקף את "warn", אשר עוקף את "block", באופן הבא: AllowBlock>Warn>. לכן, בדוגמה הקודמת, Microsoft.com הוא מותר.

יישומי ענן של Defender מחוונים

אם הארגון שלך הפך שילוב לזמין בין Defender for Endpoint ל- יישומי ענן של Defender, מחווני בלוק נוצרים ב- Defender for Endpoint עבור כל יישומי הענן ללא פשרות. אם יישום נמצא במצב צג, מחווני אזהרה (בלוק הניתן לעקיפה) נוצרים עבור כתובות ה- URL המשויכות ליישום. מחווני 'אפשר' אינם נוצרים באופן אוטומטי עבור יישומים זמינים. מחוונים שנוצרו יישומי ענן של Defender פועלים בהתאם לאותה טיפול בהתנגשויות מדיניות המתואר בסעיף הקודם.

קדימות מדיניות

Microsoft Defender עבור נקודת קצה מדיניות זו כוללת קדימות על-פני Microsoft Defender אנטי-וירוס. במצבים שבהם Defender for Endpoint מוגדר כ- Allow, אך Microsoft Defender האנטי-וירוס מוגדר Blockל- , התוצאה היא Allow.

קדימות עבור פריטי מדיניות פעילים מרובים

החלת פריטי מדיניות שונים מרובים של סינון תוכן אינטרנט על אותו מכשיר התוצאה היא החלה מגבילה יותר של המדיניות על כל קטגוריה. שקול את התרחיש הבא:

  • מדיניות 1 חוסמת קטגוריות 1 ו- 2 וביקורת של כל השאר
  • מדיניות 2 חוסמת קטגוריות 3 ו- 4 וביקורת של כל השאר

התוצאה היא שכל הקטגוריות 1-4 חסומות. תרחיש זה מוצג בתמונה הבאה.

דיאגרמה המציגה את הקדימות של מצב חסימת מדיניות של סינון תוכן אינטרנט במצב ביקורת.

יצירת מחוון עבור כתובות IP, כתובות URL או תחומים בדף ההגדרות

  1. בחלונית הניווט, בחר הגדרות מחווני>נקודות קצה> (תחת כללים).

  2. בחר את הכרטיסיה כתובות IP או כתובות URL/תחומים .

  3. בחר הוסף פריט.

  4. ציין את הפרטים הבאים:

    • מחוון: ציין את פרטי הישות והגדיר את תפוגת המחוון.
    • פעולה: ציין את הפעולה שיש לבצע וספק תיאור.
    • טווח: ציין את קבוצות המחשב שאמורות לאכוף את המחוון.
  5. סקור את הפרטים בכרטיסיה סיכום ולאחר מכן בחר שמור.

חשוב

ייתכן שידרשו עד 48 שעות לאחר יצירת מדיניות כדי לחסום כתובת URL או כתובת IP במכשיר. ברוב המקרים, בלוקים ייכללו בתוקף בתוך תחת שעתיים.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.