שתף באמצעות

השתמש בהגנה על הרשת כדי לסייע במניעת חיבורים לאתרים זדוניים או חשודים

חל על:

פלטפורמות

  • Windows
  • macOS
  • לינוקס (Linux)

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

מבט כולל על הגנת רשת

הגנה על רשת עוזרת להגן על מכשירים על-ידי מניעת חיבורים לאתרים זדוניים או חשודים. דוגמאות לתחום מסוכן הן תחומים שמארחים הונאות דיוג, הורדות זדוניות, הונאות טכניות או תוכן זדוני אחר. הגנה על רשת מרחיבה את טווח Microsoft Defender SmartScreen כדי לחסום את כל תעבורת ה- HTTP(S) היוצאת שינסה להתחבר למקורות של מוניטין גרוע (בהתבסס על התחום או שם המחשב המארח).

הגנת רשת מררחבת את ההגנה על הגנה באינטרנט לרמת מערכת ההפעלה, והיא מהותית רכיב מרכזי לסינון תוכן אינטרנט (WCF). הוא מספק את פונקציונליות ההגנה באינטרנט שנמצאת ב- Microsoft Edge לדפדפנים נתמכים אחרים ולאפליקציות אחרות שאינן מבוססות-גבות. הגנה על הרשת גם מספקת ניראות וחסימה של מחווני סכנה (IOCs) בעת שימוש עם זיהוי נקודת קצה ותגובה. לדוגמה, הגנה על רשת פועלת עם המחוונים המותאמים אישית שלך כדי לחסום תחומים או שמות מארחים ספציפיים.

צפה בסרטון וידאו זה כדי ללמוד כיצד הגנה על הרשת מסייעת להפחית את משטח התקיפה של המכשירים שלך מפני הונאות דיוג, ניצול לרעה ותוכן זדוני אחר:

כיסוי הגנת רשת

הטבלה הבאה מסכמת את אזורי ההגנה על הרשת.

תכונה מייקרוסופט אדג' דפדפנים שאינם של Microsoft תהליכים שאינם קיימים ב-Browser
(לדוגמה, PowerShell)
הגנה מפני איומים באינטרנט SmartScreen חייב להיות זמין הגנת רשת חייבת להיות במצב חסימה הגנת רשת חייבת להיות במצב חסימה
מחוונים מותאמים אישית SmartScreen חייב להיות זמין הגנת רשת חייבת להיות במצב חסימה הגנת רשת חייבת להיות במצב חסימה
סינון תוכן אינטרנט SmartScreen חייב להיות זמין הגנת רשת חייבת להיות במצב חסימה לא נתמך

כדי לוודא ש- SmartScreen זמין עבור Microsoft Edge, השתמש במדיניות Edge: SmartScreen זמין.

הערה

ב- Windows, הגנת הרשת אינה מנטרת את Microsoft Edge. עבור תהליכים שאינם Microsoft Edge ו- Internet Explorer, תרחישי הגנה באינטרנט ממנפים את הגנת הרשת לבדיקה ולאכיפה. ב- Mac וב- Linux, דפדפן Microsoft Edge משלב את Web Threat Protection בלבד. יש להפוך את הגנת הרשת לזמינה במצב חסימה כדי לתמוך במחוונים מותאמים אישית ובמסנן תוכן אינטרנט ב- Edge ובדפדפנים אחרים.

בעיות ידועות & מגבלות

  • כתובות IP נתמכות עבור כל שלושת הפרוטוקולים (TCP, HTTP ו- HTTPS (TLS))
  • רק כתובות IP בודדות נתמכות (אין בלוקי CIDR או טווחי IP) מחוונים מותאמים אישית
  • ניתן לחסום כתובות URL של HTTP (כולל נתיב URL מלא) עבור כל דפדפן או תהליך
  • ניתן לחסום שמות תחומים (FQDN) מלאים של HTTPS בדפדפנים שאינם של Microsoft (ניתן לחסום מחוונים המצינים נתיב כתובת URL מלא רק ב- Microsoft Edge)
  • חסימת שמות FQDN בדפדפנים שאינם של Microsoft דורשת הפיכת QUIC ו- Encrypted Client Hello ללא זמינים בדפדפנים אלה
  • ניתן לחסום רק ב- Microsoft Edge את כתובות ה- FQDN שנטענו באמצעות התמזגות חיבור HTTP2
  • הגנת הרשת תחסום חיבורים בכל היציאות (לא רק 80 ו- 443).

ייתכן שיידרשו עד שעתיים של השהיה (בדרך כלל פחות) בין הוספת מחוון/מדיניות לבין כתובת URL/IP תואמים נחסמים.

דרישות להגנה על רשת

הגנת רשת מחייבת שימוש במכשירים שבהם פועלת אחת ממערכות ההפעלה הבאות:

הגנת רשת דורשת גם Microsoft Defender אנטי-וירוס עם הגנה בזמן אמת מופעלת.

גירסאת Windows האנטי-וירוס של Microsoft Defender
Windows 10 גירסה 1709 ואילך, Windows 11, Windows Server 1803 ואילך ודא שההגנה Microsoft Defender אנטי-וירוסבזמן אמת, ניטור אופן פעולה והגנה מבוססת ענן זמינים (פעיל)
Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני גירסת עדכון פלטפורמה 4.18.2001.x.x או גירסה חדשה יותר

מדוע הגנה על הרשת חשובה

הגנת רשת היא חלק מקבוצת הפתרונות להקטנת משטח התקיפה Microsoft Defender עבור נקודת קצה. הגנה על רשת מאפשרת לשכבת הרשת לחסום חיבורים לתחום ולכתובות IP. כברירת מחדל, הגנה על הרשת מהגנה על המחשבים שלך מפני תחומים זדוניים ידועים באמצעות הזנת SmartScreen, החוסמת כתובות URL זדוניות באופן דומה ל- SmartScreen בדפדפן Microsoft Edge. ניתן להרחיב את הפונקציונליות של הגנת הרשת ל:

עצה

לקבלת פרטים על הגנת רשת עבור Windows Server, Linux, macOS ו- Mobile Threat Defense (MTD), ראה חיפוש איומים באופן יזום באמצעות ציד מתקדם.

חסום תקיפות של פקודות ובקרה

שרתי פקודות ובקרה (C2) משמשים לשליחת פקודות למערכות שנחשף בעבר לסכנה על-ידי תוכנות זדוניות.

ניתן להשתמש בשרתי C2 ליזום פקודות ה יכולות:

  • גנוב נתונים
  • שליטה במחשבים שנחשף לסכנה ב- Botnet
  • הפרעה לאפליקציות לגיטימיות
  • הפצת תוכנות זדוניות, כגון תוכנת כופר

רכיב הגנת הרשת של Defender for Endpoint מזהה וחוסם חיבורים לשרתי C2 המשמשים בתקיפות תוכנות כופר המופעלות על-ידי בני אדם, באמצעות טכניקות כגון למידת מכונה וזיהוי חכם של מחוון של סכנה (IoC).

הגנת רשת: זיהוי ותיקון C2

תוכנת כופר התפתחה לאיום מתוחכם שהוא מונחה על-ידי בני אדם, מסתגל ומתמקד בתוצאות בקנה מידה גדול, כגון החזקת נכסים או נתונים של ארגון שלם עבור כופר.

התמיכה בשרתי פקודות ובקרה (C2) היא חלק חשוב מהתפתחות תוכנת הכופר, והיא מה שמאפשרת להתקפות אלה להתאים את עצמן לסביבה שהם היעד שלה. שבירת הקישור לתשתית הפקודות והבקרה מפסיקה את התקדמות ההתקפה לשלב הבא שלה. לקבלת מידע נוסף אודות זיהוי ותיקון C2, ראה בלוג Tech Community: זיהוי ותיקון של תקיפות פקודות ושליטה בשכבת הרשת.

הגנה על הרשת: הודעות מוקפצות חדשות

מיפוי חדש קטגוריית תגובה מקורות
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

הערה

customAllowList אינו יוצר הודעות ב נקודות קצה.

הודעות חדשות עבור קביעת הגנת רשת

כאשר משתמש קצה מנסה לבקר באתר אינטרנט בסביבה שבה הגנת רשת זמינה, ניתן לבצע שלושה תרחישים, כמתואר בטבלה הבאה:

תרחיש מה קורה
כתובת ה- URL כוללת מוניטין טוב ידוע המשתמש מורשה לגשת ללא מכשול, ולא מוצגת הודעה מורמת ב נקודת הקצה. לתוקף, התחום או כתובת ה- URL מוגדרים ל'מותר'.
כתובת ה- URL כוללת מוניטין לא ידוע או לא בטוח הגישה של המשתמש חסומה, אך היכולת לעקוף (לבטל את החסימה) של הבלוק נחסמה. לתוקף, התחום או כתובת ה- URL מוגדרים כביקורת.
כתובת ה- URL כוללת מוניטין רע (זדוני) ידוע הגישה למשתמש נמנעת. לתוקף, התחום או כתובת ה- URL מוגדרים לחסימה.

הזהר את החוויה

משתמש מבקר באתר אינטרנט. אם כתובת ה- URL כוללת מוניטין לא ידוע או לא בטוח, הודעה מורמת מציגה למשתמש את האפשרויות הבאות:

  • אישור: ההודעה המופצת תופץ (תוסר) והניסיון לגשת לאתר הסתיים.
  • ביטול חסימה: למשתמש יש גישה לאתר למשך 24 שעות; בשלב זה ניתן יהיה ליצור מחדש את הבלוק. המשתמש יכול להמשיך להשתמש ב'בטל חסימה' כדי לגשת לאתר עד שפעולה זו תמנע ממנהל המערכת (חוסם) את האתר, ובכך להסיר את האפשרות לבטל את החסימה.
  • משוב: ההודעה המורמת מציגה למשתמש קישור לשליחת כרטיס, שבו המשתמש יכול להשתמש כדי לשלוח משוב למנהל המערכת בניסיון ליישר לשני הצדדים את הגישה לאתר.

הצגת הודעה על אזהרה לגבי תוכן דיוג של הגנת רשת.

הערה

התמונות המוצגות במאמר זה עבור החוויה והחוויה משתמשות ב warn " block כתובת URL חסומה" כטקסט מציין מיקום לדוגמה. בסביבה פועלת, כתובת ה- URL או התחום בפועל מפורטים.

השתמש ב- CSP כדי להפוך לזמין Convert warn verdict to block

כברירת מחדל, גזרי דין של SmartScreen עבור אתרים זדוניים מובילים לאזהרה שהמשתמש יכול לעקוף אותה. ניתן להגדיר מדיניות להמרת האזהרה לבלוקים, ומונעת עקיפות מסוג זה.

עבור דפדפנים שאינם של Edge, ראה Defender CSP: Configuration/EnableConvertWarnToBlock. עבור דפדפני Edge, ראה מדיניות Edge: מניעת עקיפת בקשה של SmartScreen.

השתמש מדיניות קבוצתית כדי לאפשר ל'המר אזהרה' לחסום

על-ידי הפיכת הגדרה זו לזמינה, הגנת הרשת חוסמת תעבורת רשת במקום להציג אזהרה.

  1. במחשב הניהול מדיניות קבוצתית שלך, פתח את מדיניות קבוצתית הניהול.

  2. לחץ באמצעות לחצן העכבר מדיניות קבוצתית על האובייקט שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

  3. בתיבת הדו מדיניות קבוצתית ניהול עורךאל תצורת מחשב ולאחר מכן בחר תבניות ניהול.

  4. הרחב את העץ לרכיבי Windows Microsoft Defender>מערכת הבדיקה>של רשת האנטי-וירוס.

  5. לחץ פעמיים על המר אזהרה כדי לחסום ולהגדיר את האפשרות כזמין.

  6. בחר אישור.

חוויית חסימה

כאשר משתמש מבקר באתר אינטרנט שכתובת ה- URL שלו מוניטין רע, הודעה מורמת מציגה למשתמש את האפשרויות הבאות:

  • אישור: ההודעה המופצת תופץ (תוסר) והניסיון לגשת לאתר הסתיים.
  • משוב: ההודעה המורמת מציגה למשתמש קישור לשליחת כרטיס, שבו המשתמש יכול להשתמש כדי לשלוח משוב למנהל המערכת בניסיון ליישר לשני הצדדים את הגישה לאתר.

מציג הודעה מוכרת על תוכן דיוג חסום של הגנת רשת.

ביטול חסימה של SmartScreen

באמצעות מחוונים ב- Defender for Endpoint, מנהלי מערכת יכולים לאפשר למשתמשי קצה לעקוף אזהרות שנוצרו עבור כתובות URL וכתובות IP מסוימות. בהתאם להסיבות לחסימה של כתובת ה- URL, כאשר תיתקל בבלוק SmartScreen, הוא עשוי להציע למשתמש את היכולת לבטל את חסימת האתר למשך עד 24 שעות. במקרים כאלה, מופיעה אבטחת Windows מוצמדת, דבר המ מאפשר למשתמש לבחור באפשרות בטל חסימה. במקרים כאלה, החסימה של כתובת ה- URL או ה- IP תשמש לפרק הזמן שצוין.

אבטחת Windows הודעה להגנה על הרשת.

Microsoft Defender עבור נקודת קצה יכולים לקבוע את התצורה של פונקציונליות ביטול חסימה של SmartScreen בפורטל Microsoft Defender באמצעות מחוון התרה עבור כתובות IP, כתובות URL ותחום.

הגנה על רשת SmartScreen חוסם את כתובת ה- URL של התצורה ואת טופס ה- IP.

ראה יצירת מחוונים עבור כתובות IP וכתובות URL/תחומים.

שימוש בהגנה על הרשת

הגנת רשת מופעלת לכל מכשיר, בדרך כלל מתבצעת באמצעות תשתית הניהול שלך. לקבלת שיטות נתמכות, ראה הפעלת הגנת רשת.

הערה

Microsoft Defender האנטי-וירוס חייב להיות במצב פעיל כדי לאפשר הגנה על הרשת.

באפשרותך להפוך את הגנת הרשת לזמינה audit במצב או block במצב. אם ברצונך להעריך את ההשפעה של הפיכת הגנת רשת לזמינה לפני חסימת כתובות IP או כתובות URL בפועל, באפשרותך להפוך את הגנת הרשת לזמינה במצב ביקורת. מצב ביקורת מבצע רישום בכל פעם שמשתמשי קצה מתחברים אל כתובת או אתר שהגנה על הרשת חסמה בדרך אחרת. כדי לאכוף חסימה של מחוונים מותאמים אישית או קטגוריות של סינון תוכן אינטרנט, הגנת הרשת חייבת להיות block במצב.

לקבלת מידע אודות הגנת רשת עבור Linux ו- macOS, עיין במאמרים הבאים:

ציד מתקדם

אם אתה משתמש בחיפוש מתקדם כדי לזהות אירועי ביקורת, יש לך היסטוריה של עד 30 יום הזמינה בקונסולה. ראה ציד מתקדם.

באפשרותך למצוא את אירועי הביקורת ב'ציד מתקדם' בפורטל Defender for Endpoint (https://security.microsoft.com).

אירועי ביקורת נמצאים ב- DeviceEvents עם ActionType של ExploitGuardNetworkProtectionAudited. בלוקים מוצגים עם ActionType של ExploitGuardNetworkProtectionBlocked.

להלן שאילתה לדוגמה להצגת אירועי הגנת רשת עבור דפדפנים שאינם של Microsoft:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

ציד מתקדם לצורך ביקורת וזיהוי אירועים.

עצה

ערכים אלה כוללים נתונים בעמודה AdditionalFields , שמספקת מידע נוסף לגבי הפעולה, כולל השדות: IsAudit, ResponseCategory ו- DisplayName.

הנה דוגמה נוספת:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

קטגוריית התגובה מציינת מה גרם לאירוע, כמו בדוגמה זו:

קטגוריית תגובה תכונה האחראית לאירוע
CustomPolicy WCF (WCF)
CustomBlockList מחוונים מותאמים אישית
CasbPolicy Defender עבור יישומי ענן
Malicious איומי אינטרנט
Phishing איומי אינטרנט

לקבלת מידע נוסף, ראה פתרון בעיות בלוקים של נקודות קצה.

אם אתה משתמש בדפדפן Microsoft Edge, השתמש בשאילתה זו עבור אירועי Microsoft Defender SmartScreen:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

באפשרותך להשתמש ברשימת כתובות ה- URL וכתובות ה- IP המתוצאת כדי לקבוע מה ייחסם אם הגנת הרשת מוגדרת למצב חסימה במכשיר. תוכל גם לראות אילו תכונות תחסום כתובות URL וכתובות IP. סקור את הרשימה כדי לזהות כתובות URL או כתובות URL הנחוצות עבור הסביבה שלך. לאחר מכן תוכל ליצור מחוון היתר עבור כתובות URL או כתובות IP אלה. אפשר מחוונים לקבל קדימות על-פני בלוקים. ראה סדר קדימות עבור בלוקים של הגנת רשת.

לאחר יצירת מחוון כדי לבטל את החסימה של אתר, באפשרותך לנסות לפתור את הבלוק המקורי באופן הבא:

  • SmartScreen: דווח על תוצאות חיוביות מוטעות, בהתאם לצורך
  • מחוון: שנה מחוון קיים
  • MCA: סקירת אפליקציה לא חוקית
  • WCF: בקשה לסווג מחדש

הערה

מאחר זוהי הגדרה לכל מכשיר, אם יש מכשירים שלא יכולים לעבור למצב חסימה, תוכל פשוט להשאיר אותם לביקורת כדי לקבל את אירועי הביקורת.

לקבלת מידע אודות אופן הדיווח על תוצאות חיוביות מוטעות נתונים של SmartScreen, ראה דיווח על תוצאות חיוביות מוטעות.

לקבלת פרטים אודות אופן היצירה של דוחות Power BI משלך, ראה יצירת דוחות מותאמים אישית באמצעות Power BI.

קביעת תצורה של הגנת רשת

לקבלת מידע נוסף אודות הפיכת הגנת רשת לזמינה, ראה הפיכת הגנת רשת לזמינה. השתמש מדיניות קבוצתית, PowerShell או MDM CSP כדי להפעיל ולנהל הגנת רשת ברשת שלך.

לאחר הפעלת ההגנה על הרשת, ייתכן שיהיה עליך לקבוע את תצורת הרשת או חומת האש שלך כדי לאפשר את החיבורים בין התקני נקודת הקצה שלך לבין שירותי האינטרנט:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

תצורת דפדפן נדרשת

בתהליכים שאינם של Microsoft Edge, 'הגנת רשת' קובעת את שם התחום המלא עבור כל חיבור HTTPS על-ידי בחינת התוכן של לחיצת היד של TLS המתרחשת לאחר לחיצת יד של TCP/IP. פעולה זו מחייבת שחיבור HTTPS ישתמש ב- TCP/IP (לא ב- UDP/QUIC) ושההודעה ClientHello אינה מוצפנת. כדי להפוך את QUIC ו- Encrypted Client Hello ללא זמינים ב- Google Chrome, ראה QuicAllowedו- EncryptedClientHelloEnabled. עבור Mozilla Firefox, ראה Disable EncryptedClientHello ו - network.http.http3.enable.

הצגת אירועי הגנה ברשת

הגנה על רשת פועלת בצורה הטובה Microsoft Defender עבור נקודת קצה, מה שמספק לך דיווח מפורט על אירועי הגנה מפני ניצול לרעה ובלוקים כחלק מתרחישי חקירת התראה.

כאשר הגנת רשת חוסמת חיבור, מוצגת הודעה בלקוח. צוות פעולות האבטחה שלך יכול להתאים אישית את ההודעה עם פרטי הארגון ופרטי הקשר שלו.

סקירת אירועי הגנת רשת בפורטל Microsoft Defender שלך

Defender for Endpoint מספק דיווח מפורט לאירועים ובלוקים כחלק מתרחישי חקירת ההתראה שלה. באפשרותך להציג פרטים אלה בפורטל Microsoft Defender (https://security.microsoft.com) בתור ההתראות או באמצעות ציד מתקדם. אם אתה משתמש במצב ביקורת, באפשרותך להשתמש לציד מתקדם כדי לראות כיצד הגדרות הגנת הרשת ישפיעו על הסביבה שלך אם הן יהיו זמינות.

סקירת אירועי הגנה ברשת ב- Windows מציג האירועים

באפשרותך לסקור את יומן האירועים של Windows כדי לראות אירועים הנוצרים כאשר הגנת רשת חוסמת (או ביקורות) גישה לכתובת IP או לתחום זדוניים:

  1. יצירת שאילתת XML.

  2. בחר אישור.

הליך זה יוצר תצוגה מותאמת אישית שמסנן כדי להציג רק את האירועים הבאים הקשורים להגנה על הרשת:

מזהה אירוע תיאור
5007 אירוע בעת שינוי ההגדרות
1125 אירוע שבו הגנה על הרשת מופעלת במצב ביקורת
1126 אירוע שבו הגנה על הרשת מופעלת במצב חסימה

הגנת רשת ול לחיצת יד תלת-כיוונית של TCP

עם הגנת רשת, קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP. לכן, כאשר הגנת רשת חוסמת אתר, ConnectionSuccessDeviceNetworkEvents ייתכן שתראה סוג פעולה של מתחת לפורטל Microsoft Defender, למרות שהאתר נחסם. DeviceNetworkEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד של TCP/IP ושל לחיצת יד של TLS, הגישה לאתר מותרת או חסומה על-ידי הגנה על הרשת.

להלן דוגמה לאופן הפעולה:

  1. נניח שמשתמש מנסה לגשת לאתר אינטרנט. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.

  2. לחיצת היד השלושה כיוונית באמצעות TCP/IP מצוינת. לפני השלמתה, DeviceNetworkEvents תירשם פעולה והיא ActionType תופיע כ- ConnectionSuccess. עם זאת, ברגע שתהליך לחיצת היד השלושה כיוונית מסתיים, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות.

  3. בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן DeviceNetworkEventsAlertEvidenceאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריט DeviceNetworkEvents עם ה- ActionType של ConnectionSuccess.

שיקולים לגבי שולחן העבודה הווירטואלי של Windows Windows 10 Enterprise מרובה הפעלות

בשל אופי המשתמשים המנוהל של Windows 10 Enterprise, זכור את הנקודות הבאות:

  • הגנה על הרשת היא תכונה ברחבי המכשיר ולא ניתן לייעד אותה להפעלות ספציפיות של משתמשים.
  • אם עליך להבחין בין קבוצות משתמשים, שקול ליצור קבוצות אירוח נפרדות של שולחן עבודה וירטואלי של Windows ומטלות.
  • בדוק את הגנת הרשת במצב ביקורת כדי להעריך את אופן הפעולה שלה לפני ההפצה.
  • שקול לשנות את גודל הפריסה אם יש לך מספר רב של משתמשים או מספר גדול של הפעלות מרובות משתמשים.

אפשרות חלופית להגנה על רשת

עבור Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, Windows Server גירסה 1803 ואילך, ו- Windows 10 Enterprise Multi-Session 1909 ואילך, בשימוש בשולחן העבודה הווירטואלי של Windows ב- Azure, ניתן להפעיל את הגנת הרשת עבור Microsoft Edge באמצעות השיטה הבאה:

  1. השתמש בהפעלת הגנת רשת ובצע את ההוראות כדי להחיל את המדיניות שלך.

  2. הפעל את הפקודות הבאות של PowerShell:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    הערה

    במקרים מסוימים, בהתאם לתשתית, לנפח התעבורה ולתנאים אחרים, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 יכולה להיות השפעה על ביצועי הרשת.

הגנת רשת עבור שרתי Windows

המידע הבא ספציפי לשרתי Windows.

ודא שהגנת רשת זמינה

בדוק אם הגנת רשת מופעלת במכשיר מקומי באמצעות הגדרות עורך.

  1. בחר בלחצן התחל בשורת המשימות והקלד כדי לפתוח regedit את תיבת הדו-עורך.

  2. בחר HKEY_LOCAL_MACHINE מהתפריט הצידי.

  3. נווט בין התפריטים המקוננים אל מדיניות>התוכנה>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (אם המפתח אינו קיים, נווט אל SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>הגנת רשת)

  4. בחר EnableNetworkProtection כדי לראות את המצב הנוכחי של הגנת רשת במכשיר:

    • 0 = כבוי
    • 1 = מופעל (זמין)
    • 2 = מצב ביקורת

לקבלת מידע נוסף, ראה הפעלת הגנת רשת.

מפתחות רישום מוצעים להגנה על הרשת

עבור Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, Windows Server גירסה 1803 ואילך ו- Windows 10 Enterprise Multi-Session 1909 ואילך (בשימוש בשולחן העבודה הווירטואלי של Windows ב- Azure), הפוך מפתחות רישום אחרים לזמינים באופן הבא:

  1. עבור אל תוכנת HKEY_LOCAL_MACHINE>Microsoft>>Windows Defender>Windows Defender Exploit Guard Network>Protection.

  2. קבע את תצורת המפתחות הבאים:

    • AllowNetworkProtectionOnWinServer (DWORD) מוגדר כ- 1 (hex)
    • EnableNetworkProtection (DWORD) מוגדר כ- 1 (hex)
    • (ב- Windows Server 2012 R2 וב- Windows Server 2016 בלבד) (DWORD) AllowNetworkProtectionDownLevel מוגדר 1 לערך (hex)

הערה

בהתאם לתשתית, לנפח התנועה ולתנאים אחרים, למדיניות התוכנה של HKEY_LOCAL_MACHINE>>>> MicrosoftWindows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) יכולה להיות השפעה על ביצועי הרשת.

לקבלת מידע נוסף, ראה: הפעלת הגנת רשת.

תצורת Windows Servers ו- Windows Multi-session מחייבת שימוש ב- PowerShell

עבור שרתי Windows וריבוי הפעלות של Windows, ישנם פריטים אחרים שברצונך להפוך לזמינים באמצעות רכיבי cmdlet של PowerShell. עבור Windows Server 2012 R2 ו- Windows Server 2016 באמצעות הפתרון המאוחד המודרני, Windows Server גירסה 1803 ואילך ו- Windows 10 Enterprise Multi-Session 1909 ואילך, המשמש בשולחן העבודה הווירטואלי של Windows ב- Azure, הפעל את הפקודות הבאות של PowerShell:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

הערה

במקרים מסוימים, בהתאם לתשתית, לנפח התעבורה ולתנאים אחרים, הדבר Set-MpPreference -AllowDatagramProcessingOnWinServer 1 יכול להשפיע על ביצועי הרשת.

פתרון בעיות של הגנת רשת

עקב הסביבה שבה פועלת הגנת רשת, ייתכן שהתכונה לא תוכל לזהות הגדרות Proxy של מערכת ההפעלה. במקרים מסוימים, לקוחות הגנת הרשת אינם יכולים להגיע לשירות הענן. כדי לפתור את בעיית הקישוריות, קבע תצורה של Proxy סטטי עבור Microsoft Defender אנטי-וירוס.

הערה

Encrypted Client Hello ופרוטוקול QUIC אינם נתמכים עם פונקציונליות הגנת רשת. ודא שפרוטוקולים אלה אינם זמינים בדפדפנים כמתואר ב'תצורת דפדפן נדרשת' לעיל.

כדי להפוך את QUIC ללא זמין בכל הלקוחות, באפשרותך לחסום תעבורת QUIC דרך חומת האש של Windows.

הפוך את QUIC ללא זמין בחומת האש של Windows

שיטה זו משפיעה על כל היישומים, כולל דפדפנים ואפליקציות לקוח (כגון Microsoft Office). ב- PowerShell, הפעל New-NetFirewallRule את ה- cmdlet כדי להוסיף כלל חומת אש חדש שמבטל את QUIC על-ידי חסימת כל תעבורת ה- UDP של התעבורה היוצאת ליציאה 443:


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

מיטוב ביצועי הגנת הרשת

הגנה על הרשת כוללת מיטוב block ביצועים המאפשר למצב לבדוק באופן אסינכרוני חיבורים ארוכים, שעשויים לספק שיפור ביצועים. מיטוב זה יכול גם לעזור בבעיות תאימות של אפליקציות. יכולת זו מופעלת כברירת מחדל.

שימוש ב- CSP כדי להפוך את AllowSwitchToAsyncInspection לזמין

CSP של Defender: תצורה/AllowSwitchToAsyncInspection

השתמש מדיניות קבוצתית כדי להפעיל בדיקה אסינכרונית

הליך זה מאפשר הגנה על הרשת לשפר את הביצועים על-ידי מעבר מבדיקה בזמן אמת לבדיקה אסינכרונית.

  1. במחשב הניהול מדיניות קבוצתית שלך, פתח את מדיניות קבוצתית הניהול.

  2. לחץ באמצעות לחצן העכבר מדיניות קבוצתית על האובייקט שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

  3. בתיבת הדו מדיניות קבוצתית ניהול עורך, עבור אל תצורת מחשב ולאחר מכן בחר תבניות ניהול.

  4. הרחב את העץ לרכיבי Windows Microsoft Defender>מערכת הבדיקה>של רשת האנטי-וירוס.

  5. לחץ פעמיים על הפעל בדיקה אסינכרונית ולאחר מכן הגדר את האפשרות כזמינה.

  6. בחר אישור.

השתמש Microsoft Defender Cmdlet של Powershell של אנטי-וירוס כדי להפעיל בדיקה אסינכרונית לזמינה

באפשרותך להפעיל יכולת זו באמצעות ה- cmdlet הבא של PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $true

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.