שתף באמצעות

השתמש בהגנה על הרשת כדי לסייע במניעת חיבורים לאתרים זדוניים או חשודים

  • מאמר

חל על:

פלטפורמות

  • Windows
  • macOS
  • לינוקס (Linux)

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מבט כולל על הגנת רשת

הגנה על רשת עוזרת להגן על מכשירים מפני אירועים מסוימים המבוססים על האינטרנט על-ידי מניעת חיבורים לאתרים זדוניים או חשודים. הגנה על הרשת היא יכולת הפחתת פני שטח של התקפה, שמסייעת למנוע מאנשים בארגון שלך לגשת לתחום שנחשבים למסוכנים באמצעות אפליקציות. דוגמאות לתחום מסוכן הן תחומים שמארחים הונאות דיוג, ניצול לרעה ותוכן זדוני אחר באינטרנט. הגנה על רשת מרחיבה את טווח Microsoft Defender SmartScreen כדי לחסום את כל תעבורת ה- HTTP(S) היוצאת שינסה להתחבר למקורות עם מוניטין נמוך (בהתבסס על התחום או שם המחשב המארח).

הגנת רשת מררחבת את ההגנה על הגנה באינטרנט לרמת מערכת ההפעלה, והיא מהותית רכיב מרכזי לסינון תוכן אינטרנט (WCF). הוא מספק את פונקציונליות ההגנה באינטרנט שנמצאת ב- Microsoft Edge לדפדפנים נתמכים אחרים ולאפליקציות אחרות שאינן בדפדפן. הגנה על הרשת גם מספקת ניראות וחסימה של מחווני סכנה (IOCs) בעת שימוש עם זיהוי נקודת קצה ותגובה. לדוגמה, הגנה על רשת פועלת עם המחוונים המותאמים אישית שבהם באפשרותך להשתמש כדי לחסום תחומים ספציפיים או שמות מארחים ספציפיים.

כיסוי הגנת רשת

הטבלה הבאה מסכמת את אזורי ההגנה על הרשת.

תכונה מייקרוסופט אדג' דפדפנים שאינם של Microsoft תהליכים שאינם קיימים ב-Browser
(לדוגמה, PowerShell)
הגנה מפני איומים באינטרנט SmartScreen חייב להיות זמין הגנת רשת חייבת להיות במצב חסימה הגנת רשת חייבת להיות במצב חסימה
מחוונים מותאמים אישית SmartScreen חייב להיות זמין הגנת רשת חייבת להיות במצב חסימה הגנת רשת חייבת להיות במצב חסימה
סינון תוכן אינטרנט SmartScreen חייב להיות זמין הגנת רשת חייבת להיות במצב חסימה לא נתמך

הערה

ב- Mac וב- Linux, דרושה לך הגנת רשת במצב חסימה כדי לקבל תמיכה עבור תכונות אלה ב- Edge. ב- Windows, הגנת הרשת אינה מנטרת את Microsoft Edge. עבור תהליכים שאינם Microsoft Edge ו- Internet Explorer, תרחישי הגנה באינטרנט ממנפים את הגנת הרשת לבדיקה ולאכיפה.

  • IP נתמך עבור כל שלושת הפרוטוקולים (TCP, HTTP ו- HTTPS (TLS)).
  • רק כתובות IP בודדות נתמכות (אין בלוקי CIDR או טווחי IP) מחוונים מותאמים אישית.
  • ניתן לחסום כתובות URL מוצפנות (נתיב מלא) רק בדפדפנים של צד ראשון (Internet Explorer, Edge).
  • ניתן לחסום כתובות URL מוצפנות (FQDN בלבד) בדפדפנים של ספקים חיצוניים (כלומר, מלבד Internet Explorer, Edge).
  • ניתן להחיל בלוקי נתיב מלאים של כתובת URL עבור כתובות URL לא מוצפנות.

ייתכן שיידרשו עד שעתיים של השהיה (בדרך כלל פחות) בין הזמן שבו הפעולה תינקט, וכתובת ה- URL וה- IP נחסמות.

צפה בסרטון וידאו זה כדי ללמוד כיצד הגנה על הרשת מסייעת להפחית את פני השטח של התקיפה של המכשירים שלך מפני הונאות דיוג, ניצולים ותוכן זדוני אחר:

דרישות להגנה על רשת

הגנת רשת מחייבת שימוש במכשירים שבהם פועלת אחת ממערכות ההפעלה הבאות:

הגנת רשת דורשת גם Microsoft Defender אנטי-וירוס עם הגנה בזמן אמת מופעלת.

גירסאת Windows האנטי-וירוס של Microsoft Defender
Windows 10 גירסה 1709 ואילך, Windows 11, Windows Server 1803 ואילך ודא שההגנה Microsoft Defender אנטי-וירוס בזמן אמת, ניטור אופן פעולה והגנה מבוססת ענן זמינים (פעילים)
Windows Server 2012 R2 ו- Windows Server 2016 עם הסוכן המאוחד Platform Update גירסה 4.18.2001.x.x ואילך

מדוע הגנה על הרשת חשובה

הגנת רשת היא חלק מקבוצת הפתרונות להקטנת משטח התקיפה Microsoft Defender עבור נקודת קצה. הגנה על רשת מאפשרת לשכבת הרשת לחסום כתובות URL וכתובות IP. הגנה על רשת יכולה לחסום גישה לכתובות URL באמצעות דפדפנים מסוימים וחיבורי רשת רגילים. כברירת מחדל, הגנת רשת מגנת על המחשבים שלך מפני כתובות URL זדוניות ידועות באמצעות הזנת SmartScreen, החוסמת כתובות URL זדוניות באופן דומה ל- SmartScreen בדפדפן Microsoft Edge. ניתן להרחיב את הפונקציונליות של הגנת הרשת ל:

הגנה על הרשת היא חלק קריטי ממחסנית ההגנה והתגובה של Microsoft.

עצה

לקבלת פרטים על הגנת רשת עבור Windows Server, Linux, MacOS ו- Mobile Threat Defense (MTD), ראה חיפוש איומים באופן יזום באמצעות ציד מתקדם.

חסום תקיפות של פקודות ובקרה

מחשבי השרת Command and Control (C2) משמשים משתמשים זדוניים לשליחת פקודות למערכות שנחשף בעבר לסכנה על-ידי תוכנות זדוניות. תקיפות C2 מסתתרות בדרך כלל בשירותים מבוססי ענן כגון שיתוף קבצים ושירותי דואר אינטרנט, ומאפשרות לשרתי C2 להימנע מזיהוי על-ידי שילוב עם תעבורה אופיינית.

ניתן להשתמש בשרתי C2 ליזום פקודות ה יכולות:

  • גנוב נתונים
  • שליטה במחשבים שנחשף לסכנה ב- Botnet
  • הפרעה לאפליקציות לגיטימיות
  • הפצת תוכנות זדוניות, כגון תוכנת כופר

רכיב הגנת הרשת של Defender for Endpoint מזהה וחוסם חיבורים לתשתיות C2 המשמשות בתקיפות תוכנות כופר המופעלות על-ידי בני אדם, תוך שימוש בטכניקות כגון למידת מכונה וזיהוי חכם של מחוון של סכנה (IoC).

הגנת רשת: זיהוי ותיקון C2

בתבנית הראשונית שלה, תוכנת כופר היא איום סחורות מתוכנת מראש ומתמקד בתוצאות מוגבלות וספציפית (כגון הצפנת מחשב). עם זאת, תוכנת כופר התפתחה לאיום מתוחכם שהוא מונחה על-ידי בני אדם, מסתגל ומתמקד בקנה מידה גדול יותר ותוצאות נרחבות יותר, כגון החזקת נכסים או נתונים של ארגון שלם עבור כופר.

התמיכה בשרתי פקודות ובקרה (C2) היא חלק חשוב מהתפתחות תוכנת הכופר, והיא מה שמאפשרת להתקפות אלה להתאים את עצמן לסביבה שהם היעד שלה. שבירת הקישור לתשתית הפקודות והבקרה מפסיקה את התקדמות ההתקפה לשלב הבא שלה. לקבלת מידע נוסף אודות זיהוי ותיקון C2, ראה זיהוי ותיקון של תקיפות פקודה ושליטה בשכבת הרשת.

הגנה על הרשת: הודעות מוקפצות חדשות

מיפוי חדש קטגוריית תגובה מקורות
דיוג דיוג מסנן SmartScreen
זדוני זדוני מסנן SmartScreen
פקודה ופקד C2 (C2) מסנן SmartScreen
פקודה ופקד קוקו מסנן SmartScreen
זדוני לא מהימן מסנן SmartScreen
על-ידי מנהל ה- IT שלך CustomBlockList
על-ידי מנהל ה- IT שלך מדיניות מותאמת אישית

הערה

customAllowList אינו יוצר הודעות ב נקודות קצה.

הודעות חדשות עבור קביעת הגנת רשת

יכולת חדשה הזמינה לציבור בהגנת רשת משתמשת בפונקציות ב- SmartScreen כדי לחסום פעילויות דיוג מתוך אתרי פקודה ושליטה זדוניים. כאשר משתמש קצה מנסה לבקר באתר אינטרנט בסביבה שבה הגנת רשת מופעלת, שלושה תרחישים אפשריים:

  • כתובת ה- URL כוללת מוניטין טוב מוכר - במקרה זה המשתמש מורשה לגשת ללא מכשול, ולא מוצגת הודעה מורמת ב נקודת הקצה. לתוקף, התחום או כתובת ה- URL מוגדרים ל'מותר'.
  • כתובת ה- URL כוללת מוניטין לא ידוע או לא בטוח - הגישה של המשתמש חסומה, אך היכולת לעקוף (לבטל את החסימה) של הבלוק. לתוקף, התחום או כתובת ה- URL מוגדרים כביקורת.
  • כתובת ה- URL כוללת מוניטין רע (זדוני) ידוע - נמנעת מהמשתמש גישה. לתוקף, התחום או כתובת ה- URL מוגדרים לחסימה.

הזהר את החוויה

משתמש מבקר באתר אינטרנט. אם כתובת ה- URL כוללת מוניטין לא ידוע או לא בטוח, הודעה מורמת מציגה למשתמש את האפשרויות הבאות:

  • אישור: ההודעה המופצת תופץ (תוסר) והניסיון לגשת לאתר הסתיים.
  • ביטול חסימה: למשתמש יש גישה לאתר למשך 24 שעות; בשלב זה ניתן יהיה ליצור מחדש את הבלוק. המשתמש יכול להמשיך להשתמש ב'בטל חסימה' כדי לגשת לאתר עד שפעולה זו תמנע ממנהל המערכת (חוסם) את האתר, ובכך להסיר את האפשרות לבטל את החסימה.
  • משוב: ההודעה המורמת מציגה למשתמש קישור לשליחת כרטיס, שבו המשתמש יכול להשתמש כדי לשלוח משוב למנהל המערכת בניסיון ליישר לשני הצדדים את הגישה לאתר.

הצגת הודעה על אזהרה לגבי תוכן דיוג של הגנת רשת.

הערה

התמונות המוצגות במאמר זה עבור החוויה והחוויה משתמשות ב warn " block כתובת URL חסומה" כטקסט מציין מיקום לדוגמה. בסביבה פועלת, כתובת ה- URL או התחום בפועל מפורטים.

חוויית חסימה

משתמש מבקר באתר אינטרנט. אם מוניטין של כתובת ה- URL שגוי, מוצגות למשתמש הודעות מוקפצות עם האפשרויות הבאות:

  • אישור: ההודעה המופצת תופץ (תוסר) והניסיון לגשת לאתר הסתיים.
  • משוב: ההודעה המורמת מציגה למשתמש קישור לשליחת כרטיס, שבו המשתמש יכול להשתמש כדי לשלוח משוב למנהל המערכת בניסיון ליישר לשני הצדדים את הגישה לאתר.

מציג הודעה מוכרת על תוכן דיוג חסום של הגנת רשת.

ביטול חסימה של SmartScreen

באמצעות מחוונים ב- Defender for Endpoint, מנהלי מערכת יכולים לאפשר למשתמשי קצה לעקוף אזהרות שנוצרו עבור כתובות URL וכתובות IP מסוימות. בהתאם להסיבות לחסימה של כתובת ה- URL, כאשר תיתקל בבלוק SmartScreen, הוא עשוי להציע למשתמש את היכולת לבטל את חסימת האתר למשך עד 24 שעות. במקרים כאלה, מופיעה אבטחת Windows מוצמדת, דבר המ מאפשר למשתמש לבחור באפשרות בטל חסימה. במקרים כאלה, החסימה של כתובת ה- URL או ה- IP תשמש לפרק הזמן שצוין.

אבטחת Windows הודעה להגנה על הרשת.

Microsoft Defender עבור נקודת קצה יכולים לקבוע את התצורה של פונקציונליות ביטול חסימה של SmartScreen בפורטל Microsoft Defender באמצעות מחוון התרה עבור כתובות IP, כתובות URL ותחום.

הגנה על רשת SmartScreen חוסם את כתובת ה- URL של התצורה ואת טופס ה- IP.

ראה יצירת מחוונים עבור כתובות IP וכתובות URL/תחומים.

שימוש בהגנה על הרשת

הגנת רשת מופעלת לכל מכשיר, בדרך כלל מתבצעת באמצעות תשתית הניהול שלך. לקבלת שיטות נתמכות, ראה הפעלת הגנת רשת.

הערה

Microsoft Defender האנטי-וירוס חייב להיות במצב פעיל כדי לאפשר הגנה על הרשת.

באפשרותך להפוך את הגנת הרשת לזמינה audit במצב או block במצב. אם ברצונך להעריך את ההשפעה של הפיכת הגנת רשת לזמינה לפני חסימת כתובות IP או כתובות URL בפועל, באפשרותך להפוך את הגנת הרשת לזמינה במצב ביקורת ולאסוף נתונים לגבי מה שיחסום. מצב ביקורת מבצע רישום בכל פעם שמשתמשי קצה מתחברים אל כתובת או אתר שהגנה על הרשת חסמה בדרך אחרת. כדי מחווני סכנה (IoC) או סינון תוכן אינטרנט (WCF) יפעלו, הגנת הרשת חייבת להיות block במצב.

לקבלת מידע אודות הגנת רשת עבור Linux ו- macOS, עיין במאמרים הבאים:

ציד מתקדם

אם אתה משתמש בחיפוש מתקדם כדי לזהות אירועי ביקורת, יש לך היסטוריה של עד 30 יום הזמינה בקונסולה. ראה ציד מתקדם.

באפשרותך למצוא את אירועי הביקורת ב'ציד מתקדם' בפורטל Defender for Endpoint (https://security.microsoft.com).

אירועי ביקורת נמצאים ב- DeviceEvents עם ActionType של ExploitGuardNetworkProtectionAudited. בלוקים מוצגים עם ActionType של ExploitGuardNetworkProtectionBlocked.

להלן שאילתה לדוגמה להצגת אירועי הגנת רשת עבור דפדפנים שאינם של Microsoft:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

ציד מתקדם לצורך ביקורת וזיהוי אירועים.

עצה

ערכים אלה כוללים נתונים בעמודה AdditionalFields , המספקת לך מידע מצוין לגבי הפעולה, אם תרחיב את AdditionalFields , תוכל גם לקבל את השדות: IsAudit, ResponseCategory ו- DisplayName.

הנה דוגמה נוספת:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

קטגוריית התגובה מציינת מה גרם לאירוע, כמו בדוגמה זו:

קטגוריית תגובה תכונה האחראית לאירוע
מדיניות מותאמת אישית WCF (WCF)
CustomBlockList מחוונים מותאמים אישית
קספרפולי Defender עבור יישומי ענן
זדוני איומי אינטרנט
דיוג איומי אינטרנט

לקבלת מידע נוסף, ראה פתרון בעיות בלוקים של נקודות קצה.

אם אתה משתמש בדפדפן Microsoft Edge, השתמש בשאילתה זו עבור אירועי Microsoft Defender SmartScreen:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

באפשרותך להשתמש ברשימת כתובות ה- URL וכתובות ה- IP המתוצאת כדי לקבוע מה ייחסם אם הגנת הרשת מוגדרת למצב חסימה במכשיר. תוכל גם לראות אילו תכונות תחסום כתובות URL וכתובות IP. סקור את הרשימה כדי לזהות כתובות URL או כתובות URL הנחוצות עבור הסביבה שלך. לאחר מכן תוכל ליצור מחוון היתר עבור כתובות URL או כתובות IP אלה. אפשר מחוונים לקבל קדימות על-פני בלוקים.

לאחר שיצרת מחוון, תוכל לעיין בפתרון הבעיה המשמשת כדלקמן:

  • SmartScreen – בקש סקירה
  • מחוון – שינוי מחוון קיים
  • MCA – סקירה של אפליקציה לא רשום
  • WCF – סיווג בקשה מחדש

באמצעות נתונים אלה תוכל לקבל החלטה מושכלת לגבי הפעלת הגנת רשת במצב חסימה. ראה סדר קדימות עבור בלוקים של הגנת רשת.

הערה

מאחר זוהי הגדרה לכל מכשיר, אם יש מכשירים שאינם יכולים לעבור למצב חסימה, תוכל פשוט להשאיר אותם במצב ביקורת עד שתוכל ליישר את האתגר ועדיין תקבל את אירועי הביקורת.

לקבלת מידע אודות אופן הדיווח על תוצאות חיוביות מוטעות, ראה דיווח על תוצאות חיוביות מוטעות.

לקבלת פרטים אודות אופן היצירה של דוחות Power BI משלך, ראה יצירת דוחות מותאמים אישית באמצעות Power BI.

קביעת תצורה של הגנת רשת

לקבלת מידע נוסף אודות הפיכת הגנת רשת לזמינה, ראה הפיכת הגנת רשת לזמינה. השתמש מדיניות קבוצתית, PowerShell או MDM CSP כדי להפעיל ולנהל הגנת רשת ברשת שלך.

לאחר הפעלת ההגנה על הרשת, ייתכן שיהיה עליך לקבוע את תצורת הרשת או חומת האש שלך כדי לאפשר את החיבורים בין התקני נקודת הקצה שלך לבין שירותי האינטרנט:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

הצגת אירועי הגנה ברשת

הגנה על רשת פועלת בצורה הטובה Microsoft Defender עבור נקודת קצה, מה שמספק לך דיווח מפורט על אירועי הגנה מפני ניצול לרעה ובלוקים כחלק מתרחישי חקירת התראה.

כאשר הגנת רשת חוסמת חיבור, מוצגת הודעה ממרכז הפעולות. צוות פעולות האבטחה שלך יכול להתאים אישית את ההודעה עם פרטי הארגון ופרטי הקשר שלו. בנוסף, ניתן להפעיל ולבצע התאמה אישית של כללים ספציפיים להפחתת פני השטח של ההתקפה כך שיתאימו לטכניקות מסוימות לניטור.

באפשרותך גם להשתמש במצב ביקורת כדי להעריך כיצד הגנת רשת תשפיע על הארגון שלך אם היא תהיה זמינה.

סקירת אירועי הגנת רשת בפורטל Microsoft Defender שלך

Defender for Endpoint מספק דיווח מפורט לאירועים ובלוקים כחלק מתרחישי חקירת ההתראה שלה. באפשרותך להציג פרטים אלה בפורטל Microsoft Defender (https://security.microsoft.com) בתור ההתראות או באמצעות ציד מתקדם. אם אתה משתמש במצב ביקורת, באפשרותך להשתמש לציד מתקדם כדי לראות כיצד הגדרות הגנת הרשת ישפיעו על הסביבה שלך אם הן יהיו זמינות.

סקירת אירועי הגנה ברשת ב- Windows מציג האירועים

באפשרותך לסקור את יומן האירועים של Windows כדי לראות אירועים הנוצרים כאשר הגנת רשת חוסמת (או ביקורות) גישה לכתובת IP או לתחום זדוניים:

  1. העתק את ה- XML ישירות.

  2. בחר אישור.

הליך זה יוצר תצוגה מותאמת אישית שמסנן כדי להציג רק את האירועים הבאים הקשורים להגנה על הרשת:

מזהה אירוע תיאור
5007 אירוע בעת שינוי ההגדרות
1125 אירוע שבו הגנה על הרשת מופעלת במצב ביקורת
1126 אירוע שבו הגנה על הרשת מופעלת במצב חסימה

הגנת רשת ול לחיצת יד תלת-כיוונית של TCP

עם הגנת רשת, קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP. לכן, כאשר הגנת רשת חוסמת אתר, ConnectionSuccessDeviceNetworkEvents ייתכן שתראה סוג פעולה של מתחת לפורטל Microsoft Defender, למרות שהאתר נחסם. DeviceNetworkEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד השלושה כיוונית, הגישה לאתר מותרת או חסומה על-ידי הגנת רשת.

להלן דוגמה לאופן הפעולה:

  1. נניח שמשתמש מנסה לגשת לאתר אינטרנט במכשיר שלו. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.

  2. לחיצת היד השלושה כיוונית באמצעות TCP/IP מצוינת. לפני השלמתה, DeviceNetworkEvents תירשם פעולה והיא ActionType תופיע כ- ConnectionSuccess. עם זאת, ברגע שתהליך לחיצת היד השלושה כיוונית מסתיים, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות. תהליך דומה מתרחש באמצעות Microsoft Defender SmartScreen; כאשר לחיצת היד השלושה-כיוונית מסתיימת, מתבצעת קביעה, והגישה לאתר חסומה או מותרת.

  3. בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן DeviceNetworkEventsAlertEvidenceאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריט DeviceNetworkEvents עם ה- ActionType של ConnectionSuccess.

שיקולים לגבי שולחן העבודה הווירטואלי של Windows Windows 10 Enterprise מרובה הפעלות

בשל אופי המשתמשים המנוהל של Windows 10 Enterprise, זכור את הנקודות הבאות:

  1. הגנה על הרשת היא תכונה ברחבי המכשיר ולא ניתן לייעד אותה להפעלות ספציפיות של משתמשים.

  2. מדיניות סינון תוכן אינטרנט ניתנת גם היא לכל המכשירים.

  3. אם עליך להבחין בין קבוצות משתמשים, שקול ליצור קבוצות אירוח נפרדות של שולחן עבודה וירטואלי של Windows ומטלות.

  4. בדוק את הגנת הרשת במצב ביקורת כדי להעריך את אופן הפעולה שלה לפני ההפצה.

  5. שקול לשנות את גודל הפריסה אם יש לך מספר רב של משתמשים או מספר גדול של הפעלות מרובות משתמשים.

אפשרות חלופית להגנה על רשת

עבור Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, גרסה 1803 ואילך של Windows Server ו- Windows 10 Enterprise Multi-Session 1909 ואילך, בשימוש בשולחן העבודה הווירטואלי של Windows ב- Azure, ניתן להפעיל את הגנת הרשת עבור Microsoft Edge באמצעות השיטה הבאה:

  1. השתמש בהפעלת הגנת רשת ובצע את ההוראות כדי להחיל את המדיניות שלך.

  2. בצע את הפקודות הבאות של PowerShell:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      הערה

      במקרים מסוימים, בהתאם לתשתית, לנפח התעבורה ולתנאים אחרים, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 יכולה להיות השפעה על ביצועי הרשת.

הגנת רשת עבור שרתי Windows

להלן מידע ספציפי לשרתי Windows.

ודא שהגנת רשת זמינה

בדוק אם הגנת רשת מופעלת במכשיר מקומי באמצעות הגדרות עורך.

  1. בחר בלחצן התחל בשורת המשימות והקלד regedit כדי לפתוח את תיבת הדו-עורך.

  2. בחר HKEY_LOCAL_MACHINE מהתפריט הצידי.

  3. נווט בין התפריטים המקוננים אל מדיניות>התוכנה>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (אם המפתח אינו קיים, נווט אל SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>הגנת רשת)

  4. בחר EnableNetworkProtection כדי לראות את המצב הנוכחי של הגנת רשת במכשיר:

    • 0 = כבוי
    • 1 = מופעל (זמין)
    • 2 = מצב ביקורת

לקבלת מידע נוסף, ראה הפעלת הגנת רשת.

מפתחות רישום מוצעים להגנה על הרשת

עבור Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, גרסה 1803 ואילך של Windows Server ו- Windows 10 Enterprise Multi-Session 1909 ואילך (בשימוש בשולחן העבודה הווירטואלי של Windows ב- Azure), הפוך מפתחות רישום אחרים לזמינים באופן הבא:

  1. עבור אל תוכנת HKEY_LOCAL_MACHINE>Microsoft>>Windows Defender>Windows Defender Exploit Guard Network>Protection.

  2. קבע את תצורת המפתחות הבאים:

    • AllowNetworkProtectionOnWinServer (DWORD) מוגדר כ- 1 (hex)
    • EnableNetworkProtection (DWORD) מוגדר כ- 1 (hex)
    • (ב- Windows Server 2012 R2 וב- Windows Server 2016 בלבד) AllowNetworkProtectionDownLevel (DWORD) מוגדר כ- 1 (hex)

הערה

בהתאם לתשתית, לנפח התנועה ולתנאים אחרים, למדיניות התוכנה של HKEY_LOCAL_MACHINE>>>> MicrosoftWindows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) יכולה להיות השפעה על ביצועי הרשת.

לקבלת מידע נוסף, ראה: הפעלת הגנת רשת

תצורת Windows Servers ו- Windows Multi-session מחייבת שימוש ב- PowerShell

עבור שרתי Windows וריבוי הפעלות של Windows, ישנם פריטים אחרים שברצונך להפוך לזמינים באמצעות רכיבי cmdlet של PowerShell. עבור Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, גרסה 1803 ואילך של Windows Server ו- Windows 10 Enterprise Multi-Session 1909 ואילך, המשמש בשולחן העבודה הווירטואלי של Windows ב- Azure, הפעל את הפקודות הבאות של PowerShell:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

הערה

במקרים מסוימים, בהתאם לתשתית, לנפח התעבורה ולתנאים אחרים, הדבר Set-MpPreference -AllowDatagramProcessingOnWinServer 1 יכול להשפיע על ביצועי הרשת.

פתרון בעיות של הגנת רשת

עקב הסביבה שבה פועלת הגנת רשת, ייתכן שהתכונה לא תוכל לזהות הגדרות Proxy של מערכת ההפעלה. במקרים מסוימים, לקוחות הגנת הרשת אינם יכולים להגיע לשירות הענן. כדי לפתור את בעיית הקישוריות, קבע תצורה של Proxy סטטי עבור Microsoft Defender אנטי-וירוס.

הערה

לפני שתתחיל בפתרון בעיות, הקפד להגדיר את פרוטוקול QUIC ל disabled - בדפדפנים הנמצאים בשימוש. פרוטוקול QUIC אינו נתמך עם פונקציונליות הגנת רשת.

מאחר ש- Global Secure Access אינו תומך כעת בת תעבורת UDP, לא ניתן ליצור מנהרה של תעבורת UDP 443 ליציאה. באפשרותך להפוך את פרוטוקול QUIC ללא זמין כך שלקחות גישה מאובטחת כללית יחזור להשתמש ב- HTTPS (תעבורת TCP ביציאה 443). עליך לבצע שינוי זה אם השרתים שאתה מנסה לגשת אליהם תומכים ב- QUIC (לדוגמה, דרך Microsoft Exchange Online). כדי להפוך את QUIC ללא זמין, באפשרותך לבצע אחת מהפעולות הבאות:

הפוך את QUIC ללא זמין בחומת האש של Windows

השיטה הכללית ביותר להפוך את QUIC ללא זמין היא להפוך תכונה זו ללא זמינה בחומת האש של Windows. שיטה זו משפיעה על כל היישומים, כולל דפדפנים ואפליקציות לקוח (כגון Microsoft Office). ב- PowerShell, הפעל את New-NetFirewallRule ה- cmdlet כדי להוסיף כלל חומת אש חדש שמבטל את QUIC עבור כל התעבורה היוצאת מהמכשיר:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

הפיכת QUIC ללא זמין בדפדפן אינטרנט

באפשרותך להפוך את QUIC ללא זמין ברמת דפדפן האינטרנט. עם זאת, שיטה זו של השבתת QUIC פירושה ש- QUIC ממשיכה לפעול באפליקציות שאינן מתאימות. כדי להפוך את QUIC ללא זמין ב- Microsoft Edge או ב- Google Chrome, פתח את הדפדפן, אתר את הגדרת פרוטוקול QUIC ניסיוני (#enable-quic דגל) ולאחר מכן שנה את ההגדרה ל- Disabled. הטבלה הבאה מציגה את ה- URI שיש להזין בשורת הכתובת של הדפדפן כדי שתוכל לגשת להגדרה זו.

דפדפן URI של URI
מייקרוסופט אדג' edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

מיטוב ביצועי הגנת הרשת

הגנה על הרשת כוללת מיטוב block ביצועים המאפשר למצב לבדוק באופן אסינכרוני חיבורים ארוכים, שעשויים לספק שיפור ביצועים. מיטוב זה יכול גם לעזור בבעיות תאימות של אפליקציות. יכולת זו מופעלת כברירת מחדל. באפשרותך לבטל יכולת זו באמצעות ה- cmdlet הבא של PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $false

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.