Megosztás a következőn keresztül:

Hálózati védelem használata a rosszindulatú vagy gyanús webhelyekhez való csatlakozás megakadályozásához

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows
  • macOS
  • Linux

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráljon az ingyenes próbaverzióra.

A hálózatvédelem áttekintése

A hálózatvédelem segít megvédeni az eszközöket bizonyos internetes eseményektől azáltal, hogy megakadályozza a rosszindulatú vagy gyanús webhelyekhez való kapcsolódást. A hálózatvédelem egy támadásifelület-csökkentési képesség, amely megakadályozza, hogy a szervezet tagjai hozzáférjenek az alkalmazások által veszélyesnek ítélt tartományokhoz. Veszélyes tartományok például olyan tartományok, amelyek adathalász csalásokat, biztonsági réseket és más kártékony tartalmakat tárolnak az interneten. A hálózatvédelem kibővíti a Microsoft Defender SmartScreen hatókörét, hogy letiltsa az összes kimenő HTTP-forgalmat, amely alacsony hírnevű forrásokhoz próbál csatlakozni (a tartomány vagy a gazdagépnév alapján).

A hálózatvédelem kiterjeszti a webes védelem védelmét az operációs rendszer szintjére, és a webes tartalomszűrés (WCF) alapvető összetevője. Ez biztosítja a Microsoft Edge-ben található webvédelmi funkciókat más támogatott böngészőknek és nemrowser alkalmazásoknak. A hálózatvédelem a biztonsági rések (IOK) jelzéseinek láthatóságát és blokkolását is biztosítja a végpontészlelés és -válasz használatakor. A hálózatvédelem például az egyéni jelzőkkel működik, amelyekkel bizonyos tartományokat vagy gazdagépneveket blokkolhat.

Hálózatvédelem lefedettsége

Az alábbi táblázat összefoglalja a lefedettség hálózatvédelmi területeit.

Kiemelés Microsoft Edge Külső böngészők Nemrowser folyamatok
(például PowerShell)
Webes veszélyforrások elleni védelem A SmartScreen-t engedélyezni kell A hálózatvédelemnek blokkmódban kell lennie A hálózatvédelemnek blokkmódban kell lennie
Egyéni mutatók A SmartScreen-t engedélyezni kell A hálózatvédelemnek blokkmódban kell lennie A hálózatvédelemnek blokkmódban kell lennie
Webes tartalomszűrés A SmartScreen-t engedélyezni kell A hálózatvédelemnek blokkmódban kell lennie Nem támogatott

Megjegyzés:

Macen és Linuxon a hálózatvédelemnek blokk módban kell lennie ahhoz, hogy támogatást kapjon ezekhez a funkciókhoz az Edge-ben. Windows rendszeren a hálózatvédelem nem figyeli a Microsoft Edge-et. A Microsoft Edge és az Internet Explorer kivételével a webvédelmi forgatókönyvek a hálózatvédelmet használják a vizsgálathoz és a kényszerítéshez.

  • Az IP-cím mindhárom protokoll (TCP, HTTP és HTTPS (TLS) esetében támogatott.
  • Egyéni jelzőkben csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
  • A titkosított URL-címek (teljes elérési út) csak belső böngészőkben tilthatók le (Internet Explorer, Edge).
  • A titkosított URL-címek (csak FQDN) blokkolhatók külső böngészőkben (pl. az Internet Explorer, az Edge kivételével).
  • A titkosítatlan URL-címekre teljes URL-címblokkok alkalmazhatók.

A művelet végrehajtása és az URL-cím és az IP-cím blokkolása között akár 2 óra késés is lehet (általában kevesebb).

Ebből a videóból megtudhatja, hogyan csökkenti a hálózatvédelem az eszközök támadási felületét az adathalász csalások, biztonsági rések és egyéb rosszindulatú tartalmak ellen.

A hálózatvédelem követelményei

A hálózatvédelemhez az alábbi operációs rendszerek egyikét futtató eszközök szükségesek:

A hálózatvédelemhez Microsoft Defender víruskereső is szükséges, amelyen engedélyezve van a valós idejű védelem.

Windows verziója Microsoft Defender víruskereső
Windows 10 1709-es vagy újabb verzió, Windows 11, Windows Server 1803 vagy újabb Győződjön meg arról, hogy a Microsoft Defender víruskereső valós idejű védelme, a viselkedésfigyelés és a felhőben nyújtott védelem engedélyezve van (aktív)
R2 és Windows Server 2016 Windows Server 2012 az egyesített ügynökkel Platformfrissítés 4.18.2001.x.x vagy újabb verzió

Miért fontos a hálózatvédelem?

A hálózatvédelem a Végponthoz készült Microsoft Defender támadásifelület-csökkentési megoldáscsoportjának része. A hálózatvédelem lehetővé teszi, hogy a hálózati réteg blokkolja az URL-címeket és AZ IP-címeket. A hálózatvédelem bizonyos böngészők és standard hálózati kapcsolatok használatával megakadályozhatja az URL-címek elérését. Alapértelmezés szerint a hálózatvédelem védi a számítógépeket az ismert rosszindulatú URL-címektől a SmartScreen-hírcsatornával, amely a Microsoft Edge böngészőBen a SmartScreen-hez hasonló módon blokkolja a rosszindulatú URL-címeket. A hálózatvédelmi funkció a következőre terjeszthető ki:

A hálózatvédelem a Microsoft védelmi és reagálási verem kritikus része.

Tipp

A Windows Server, Linux, MacOS és Mobile Threat Defense (MTD) hálózati védelmével kapcsolatos részletekért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Parancs- és vezérlési támadások letiltása

A parancs- és vezérlési (C2) kiszolgálói számítógépeket rosszindulatú felhasználók arra használják, hogy parancsokat küldjenek a kártevők által korábban feltört rendszereknek. A C2-támadások általában elrejtőznek a felhőalapú szolgáltatásokban, például a fájlmegosztási és webmail-szolgáltatásokban, így a C2-kiszolgálók elkerülhetik az észlelést a tipikus forgalommal való összeolvadással.

A C2-kiszolgálók a következő parancsok indítására használhatók:

  • Adatok ellopás
  • Feltört számítógépek vezérlése egy robothálózatban
  • Jogszerű alkalmazások megzavarása
  • Kártevők, például zsarolóprogramok terjesztése

A Végponthoz készült Defender hálózatvédelmi összetevője azonosítja és blokkolja az ember által üzemeltetett zsarolóprogram-támadásokban használt C2-infrastruktúrákhoz való csatlakozást olyan technikákkal, mint a gépi tanulás és az intelligens biztonsági rések (IoC) azonosítása.

Hálózatvédelem: C2 észlelés és szervizelés

Kezdeti formájában a zsarolóprogram egy olyan kereskedelmi fenyegetés, amely előre be van programozva, és korlátozott, specifikus eredményekre összpontosít (például egy számítógép titkosítására). A zsarolóprogramok azonban kifinomult fenyegetéssé alakultak, amely emberközpontú, adaptív, és nagyobb léptékű és szélesebb körű eredményekre összpontosított, például egy teljes szervezet eszközeinek vagy adatainak tárolására váltságdíjért.

A parancs- és vezérlési kiszolgálók (C2) támogatása fontos része ennek a zsarolóprogram-fejlesztésnek, és ez teszi lehetővé, hogy ezek a támadások alkalmazkodjanak az általuk megcélzott környezethez. A parancs- és vezérlési infrastruktúrára mutató hivatkozás megszakadása leállítja a támadás következő szakaszára való előrehaladását. További információ a C2 észleléséről és szervizeléséről: Parancs- és vezérlési támadások észlelése és elhárítása a hálózati rétegben.

Hálózatvédelem: Új bejelentési értesítések

Új leképezés Válaszkategória Források
adathalászat Adathalászat SmartScreen
rosszindulatú Rosszindulatú SmartScreen
parancs és vezérlés C2 SmartScreen
parancs és vezérlés COCO SmartScreen
rosszindulatú Bizalmatlankodó SmartScreen
a rendszergazda által CustomBlockList
a rendszergazda által CustomPolicy

Megjegyzés:

A customAllowList nem hoz létre értesítéseket a végpontokon.

Új értesítések a hálózatvédelem meghatározásához

A hálózatvédelem új, nyilvánosan elérhető funkciója a SmartScreen funkcióit használja a rosszindulatú parancs- és vezérlőhelyek adathalászati tevékenységeinek letiltására. Amikor egy végfelhasználó olyan környezetben próbál meg felkeresni egy webhelyet, amelyben engedélyezve van a hálózatvédelem, három forgatókönyv lehetséges:

  • Az URL-cím jó hírnevével rendelkezik – Ebben az esetben a felhasználó akadály nélkül férhet hozzá, és nem jelenik meg bejelentési értesítés a végponton. A tartomány vagy az URL-cím gyakorlatilag Engedélyezett értékre van állítva.
  • Az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik – A felhasználó hozzáférése le van tiltva, de képes megkerülni (feloldani) a blokkot. A tartomány vagy az URL-cím valójában Naplózás értékre van állítva.
  • Az URL-cím ismert rossz (rosszindulatú) hírnévvel rendelkezik – A felhasználó nem férhet hozzá. A tartomány vagy az URL-cím valójában Blokkolás értékre van állítva.

Figyelmeztetési felület

Egy felhasználó felkeres egy webhelyet:

  • Ha az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik, bejelentési értesítés jelenik meg a felhasználó számára a következő lehetőségekkel:

    • Ok – A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.

    • Tiltás feloldása – A felhasználó 24 órán át rendelkezik hozzáféréssel a webhelyhez; ekkor a blokk újra engedélyezve lesz. A felhasználó továbbra is használhatja a Tiltás feloldása funkciót a webhely eléréséhez, amíg a rendszergazda nem tiltja (letiltja) a webhelyet, így eltávolítja a tiltás feloldásának lehetőségét.

    • Visszajelzés – A bejelentési értesítés egy hivatkozást jelenít meg a felhasználónak egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.

      Hálózatvédelemmel kapcsolatos adathalász tartalmak figyelmeztetési értesítését jeleníti meg.

    Megjegyzés:

    A cikkben bemutatott képek a felhasználói élmény és block a warn felhasználói élmény szempontjából is a "letiltott URL-címet" használják példahelyőrző szövegként. Működő környezetben a tényleges URL-cím vagy tartomány szerepel a listában.

Felhasználói élmény letiltása

Egy felhasználó felkeres egy webhelyet:

  • Ha az URL-cím rossz hírnevű, bejelentési értesítés jelenik meg a felhasználónak a következő lehetőségekkel:

    • Oké A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.

    • Visszacsatolás A bejelentési értesítés egy hivatkozást jelenít meg a felhasználó számára egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.

      Hálózati védelemmel kapcsolatos ismert adathalász tartalmak letiltott értesítését jeleníti meg.

SmartScreen – Tiltás feloldása

A Végponthoz készült Defender mutatóival a rendszergazdák engedélyezhetik a végfelhasználók számára, hogy megkerüljék az egyes URL-címekhez és IP-címekhez létrehozott figyelmeztetéseket. Attól függően, hogy az URL-cím miért van letiltva, SmartScreen-blokk esetén akár 24 óráig is lehetővé teheti a felhasználó számára a webhely letiltásának feloldását. Ilyen esetekben megjelenik egy Windows biztonság bejelentési értesítés, amely lehetővé teszi a felhasználó számára a Tiltás feloldása lehetőséget. Ilyen esetekben az URL-cím vagy az IP-cím feloldva van a megadott ideig.

Windows biztonság hálózati védelemmel kapcsolatos értesítés.

Végponthoz készült Microsoft Defender rendszergazdák az IP-címek, URL-címek és tartományok engedélyezési jelzésével konfigurálhatják a SmartScreen blokkolásának feloldására szolgáló funkciót a Microsoft Defender portálon.

Hálózatvédelem SmartScreen blokkkonfigurációs URL-cím és IP-űrlap.

Lásd: Jelzők létrehozása IP-címekhez és URL-címekhez/tartományokhoz.

Hálózatvédelem használata

A hálózatvédelem eszközönként engedélyezve van, ami általában a felügyeleti infrastruktúrával történik. A támogatott módszerekről a Hálózatvédelem bekapcsolása című témakörben olvashat.

Megjegyzés:

Microsoft Defender víruskeresőnek aktív módban kell lennie a hálózatvédelem engedélyezéséhez.

A hálózatvédelmet audit módban vagy block módban is engedélyezheti. Ha az IP-címek vagy URL-címek tényleges letiltása előtt szeretné kiértékelni a hálózati védelem engedélyezésének hatását, engedélyezheti a hálózatvédelmet naplózási módban, és adatokat gyűjthet arról, hogy mi lenne blokkolva. A naplózási mód minden olyan alkalommal naplóz, amikor a végfelhasználó olyan címhez vagy webhelyhez csatlakozik, amelyet egyébként blokkolna a hálózatvédelem. Ahhoz, hogy működjenek a biztonsági rések (IoC) vagy a webes tartalomszűrés (WCF) jelzései, a hálózatvédelemnek módban kell lennie block .

A Linux és a macOS hálózati védelmével kapcsolatos információkért tekintse meg a következő cikkeket:

Speciális veszélyforrás-keresés

Ha speciális veszélyforrás-kereséssel azonosítja a naplózási eseményeket, legfeljebb 30 nap előzményei érhetők el a konzolról. Lásd: Speciális veszélyforrás-keresés.

A naplózási eseményeket a Speciális veszélyforrás-keresés a Végponthoz készült Defender portálon (https://security.microsoft.com) találja.

A naplózási események a DeviceEvents eseményeiben találhatók, amelynek ActionType értéke ExploitGuardNetworkProtectionAudited. A blokkok az ActionType tulajdonságával ExploitGuardNetworkProtectionBlockedjelennek meg.

Íme egy példa lekérdezés a nem Microsoft-böngészők hálózati védelmi eseményeinek megtekintésére:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Speciális veszélyforrás-keresés az események naplózásához és azonosításához.

Tipp

Ezek a bejegyzések adatokat tartalmaznak az AdditionalFields oszlopban, amely nagyszerű információt nyújt a műveletről. Ha kibontja az AdditionalFields elemet, a következő mezőket is lekérheti: IsAudit, ResponseCategory és DisplayName.

Íme egy másik példa:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

A Válasz kategóriában látható, hogy mi okozta az eseményt, ahogy az alábbi példában is látható:

ResponseCategory Az eseményért felelős funkció
CustomPolicy WCF
CustomBlockList Egyéni mutatók
CasbPolicy Defender for Cloud Apps
Rosszindulatú Webes fenyegetések
Adathalászat Webes fenyegetések

További információ: Végpontblokkok hibaelhárítása.

Ha a Microsoft Edge böngészőt használja, használja ezt a lekérdezést Microsoft Defender SmartScreen-eseményekhez:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Az URL-címek és IP-címek eredményének listájával megállapíthatja, hogy mi lenne blokkolva, ha a hálózatvédelem letiltási módra van állítva az eszközön. Azt is láthatja, hogy mely funkciók blokkolnák az URL-címeket és IP-címeket. Tekintse át a listát a környezetéhez szükséges URL-címek vagy IP-címek azonosításához. Ezután létrehozhat egy engedélyezési jelzőt ezekhez az URL-címekhez vagy IP-címekhez. A jelzők elsőbbséget élveznek a blokkokkal szemben.

Miután létrehozott egy mutatót, az alábbi módon tekintheti meg a mögöttes probléma megoldását:

  • SmartScreen – kérelem áttekintése
  • Mutató – meglévő mutató módosítása
  • MCA – nem engedélyezett alkalmazás áttekintése
  • WCF – kérések újraaktiválása

Ezen adatok felhasználásával megalapozott döntést hozhat a hálózatvédelem letiltott módban történő engedélyezéséről. Lásd: A hálózatvédelmi blokkok elsőbbségi sorrendje.

Megjegyzés:

Mivel ez egy eszközönkénti beállítás, ha vannak olyan eszközök, amelyek nem tudnak blokk módba lépni, egyszerűen hagyja őket naplózásban, amíg ki nem tudja javítani a kihívást, és továbbra is megkapja a naplózási eseményeket.

A téves pozitívok jelentéséről további információt a Téves pozitív jelentések című témakörben talál.

A saját Power BI-jelentések létrehozásával kapcsolatos részletekért lásd: Egyéni jelentések létrehozása a Power BI használatával.

A hálózatvédelem konfigurálása

A hálózatvédelem engedélyezésével kapcsolatos további információkért lásd: Hálózatvédelem engedélyezése. A hálózat védelmének engedélyezéséhez és kezeléséhez Csoportházirend, PowerShell- vagy MDM-CSP-ket használhat.

A hálózatvédelem engedélyezése után előfordulhat, hogy úgy kell konfigurálnia a hálózatot vagy a tűzfalat, hogy engedélyezze a végponteszközök és a webszolgáltatások közötti kapcsolatokat:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Hálózatvédelmi események megtekintése

A hálózatvédelem Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a biztonsági rés kiaknázása elleni védelmi eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként.

Ha a hálózatvédelem blokkolja a kapcsolatot, a műveletközpontban értesítés jelenik meg. A biztonsági üzemeltetési csapat testre szabhatja az értesítést a szervezet adataival és kapcsolattartási adataival. Emellett az egyes támadásifelület-csökkentési szabályok engedélyezhetők és testre szabhatók, hogy megfeleljenek bizonyos figyelési technikáknak.

A naplózási móddal azt is kiértékelheti, hogy a hálózatvédelem milyen hatással lenne a szervezetre, ha engedélyezve lenne.

Hálózatvédelmi események áttekintése a Microsoft Defender portálon

A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztási vizsgálati forgatókönyvek részeként. Ezeket az adatokat a riasztások várólistáján található Microsoft Defender portálon (https://security.microsoft.com) vagy speciális veszélyforrás-kereséssel tekintheti meg. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a hálózatvédelmi beállítások milyen hatással lennének a környezetre, ha engedélyezve lennének.

Hálózatvédelmi események áttekintése a Windows eseménymegtekintő-ben

A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a hálózatvédelem blokkolja (vagy naplózza) a rosszindulatú IP-címhez vagy tartományhoz való hozzáférést:

  1. Másolja ki az XML-fájlt közvetlenül.

  2. Kattintson az OK gombra.

Ez az eljárás létrehoz egy egyéni nézetet, amely a hálózatvédelemmel kapcsolatos alábbi események megjelenítésére szűr:

Eseményazonosító Leírás
5007 A beállítások módosításának eseménye
1125 Esemény, amikor a hálózatvédelem naplózási módban aktiválódik
1126 Esemény, amikor a hálózatvédelem blokk módban aktiválódik

Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha a hálózatvédelem blokkol egy helyet, előfordulhat, hogy a Microsoft Defender portálon egy művelettípus ConnectionSuccessDeviceNetworkEvents jelenik meg, annak ellenére, hogy a hely le lett tiltva. DeviceNetworkEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

  1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

  2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása DeviceNetworkEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

  3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEvidencea isDeviceNetworkEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a DeviceNetworkEvents ActionType ConnectionSuccesselemével is.

Megfontolandó szempontok Windows 10 Enterprise több munkamenetet futtató Windows rendszerű virtuális asztalhoz

A Windows 10 Enterprise többfelhasználós jellege miatt tartsa szem előtt a következő szempontokat:

  1. A hálózatvédelem egy eszközszintű szolgáltatás, amely nem célozható meg adott felhasználói munkamenetekre.

  2. A webes tartalomszűrési szabályzatok szintén eszközszintűek.

  3. Ha meg kell különböztetnie a felhasználói csoportokat, fontolja meg külön Windows Virtual Desktop-gazdagépkészletek és -hozzárendelések létrehozását.

  4. Tesztelje a hálózatvédelmet naplózási módban, hogy felmérje annak viselkedését a bevezetés előtt.

  5. Fontolja meg az üzemelő példány átméretezését, ha nagy számú felhasználóval vagy nagy számú többfelhasználós munkamenetekkel rendelkezik.

A hálózatvédelem alternatív lehetősége

A modern egységesített megoldást használó Windows Server 2012 R2 és Windows Server 2016 esetén a Windows Server 1803-es vagy újabb verziója, valamint az Azure-beli Windows Virtual Desktopban használt Windows 10 Enterprise Multi-Session 1909 és újabb verziók esetében a Microsoft Edge hálózati védelme a következő módszerrel engedélyezhető:

  1. Használja a Hálózatvédelem bekapcsolása lehetőséget, és kövesse az utasításokat a szabályzat alkalmazásához.

  2. Hajtsa végre a következő PowerShell-parancsokat:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      Megjegyzés:

      Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől Set-MpPreference -AllowDatagramProcessingOnWinServer 1 függően hatással lehet a hálózati teljesítményre.

Hálózatvédelem Windows-kiszolgálókhoz

Az alábbiakban a Windows-kiszolgálókra vonatkozó információk találhatók.

Ellenőrizze, hogy a hálózatvédelem engedélyezve van-e

Ellenőrizze, hogy engedélyezve van-e a hálózatvédelem egy helyi eszközön a Beállításjegyzék Szerkesztő használatával.

  1. Kattintson a Start gombra a tálcán, és írja be a regedit parancsot a Beállításjegyzék Szerkesztő megnyitásához.

  2. Válassza HKEY_LOCAL_MACHINE lehetőséget az oldalsó menüből.

  3. Navigáljon a beágyazott menük között aMICROSOFT>Windows DefenderWindows Defender> Biztonsági rés kiaknázása ellenivédelmi> hálózatvédelem szoftveres>házirendjeihez>.

    (Ha a kulcs nincs jelen, lépjen a SZOFTVER>Microsoft>Windows Defender>Windows Defender biztonsági rés kiaknázása elleni védelem>Hálózatvédelem)

  4. Válassza az EnableNetworkProtection lehetőséget az eszköz hálózati védelmének aktuális állapotának megtekintéséhez:

    • 0 = Kikapcsolva
    • 1 = Bekapcsolva (engedélyezve)
    • 2 = Naplózási mód

További információ: A hálózatvédelem bekapcsolása.

Hálózatvédelem javasolt beállításkulcsai

Ha Windows Server 2012 R2-t és Windows Server 2016 a modern egységes megoldást, a Windows Server 1803-as vagy újabb verzióját, valamint a Windows 10 Enterprise Multi-Session 1909-es vagy újabb verzióját (az Azure-beli Windows Virtual Desktopban használják), engedélyezzen más beállításkulcsokat az alábbiak szerint:

  1. Lépjen HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender Windows Defender>Biztonsági rés kiaknázása elleni védelem>hálózatvédelem elemhez.

  2. Konfigurálja a következő kulcsokat:

    • AllowNetworkProtectionOnWinServer (DWORD) értéke 1 (hexadecimális)
    • EnableNetworkProtection (DWORD) értéke 1 (hexadecimális)
    • (Csak Windows Server 2012 R2 és Windows Server 2016 esetén) AllowNetworkProtectionDownLevel (DWORD) (hexadecimális) értékre 1 állítva

Megjegyzés:

Az infrastruktúrától, a forgalom mennyiségétől és egyéb feltételektől függően HKEY_LOCAL_MACHINE a>Microsoft>Windows Defender>NIS-fogyasztók>IPS - >AllowDatagramProcessingOnWinServer (dword) 1 (hexadecimális)szoftverházirendjei>> hatással lehetnek a hálózati teljesítményre.

További információ: A hálózatvédelem bekapcsolása

A Windows-kiszolgálók és a Windows több munkamenetes konfigurációja a PowerShellt igényli

Windows-kiszolgálók és Több munkamenetes Windows esetén más elemeket is engedélyeznie kell a PowerShell-parancsmagok használatával. A modern egységesített megoldást használó Windows Server 2012 R2 és Windows Server 2016 esetén a Windows Server 1803-as vagy újabb verziója, valamint az Azure-beli Windows Virtual Desktopban használt Windows 10 Enterprise Multi-Session 1909 és újabb verziók esetében futtassa a következő PowerShell-parancsokat:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Megjegyzés:

Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől Set-MpPreference -AllowDatagramProcessingOnWinServer 1 függően hatással lehet a hálózati teljesítményre.

Hálózatvédelem hibaelhárítása

A hálózatvédelmet futtató környezet miatt előfordulhat, hogy a szolgáltatás nem tudja észlelni az operációsrendszer-proxy beállításait. Bizonyos esetekben a hálózatvédelmi ügyfelek nem tudják elérni a felhőszolgáltatást. A csatlakozási probléma megoldásához konfiguráljon statikus proxyt Microsoft Defender víruskeresőhöz.

Megjegyzés:

A hibaelhárítás megkezdése előtt állítsa be a QUIC protokollt disabled a használt böngészőkben. A QUIC protokoll hálózati védelmi funkciókkal nem támogatott.

Mivel a globális biztonságos hozzáférés jelenleg nem támogatja az UDP-forgalmat, a portra 443 történő UDP-forgalom nem bújtatható. Letilthatja a QUIC protokollt, hogy a globális biztonságos elérésű ügyfelek visszaálljanak a HTTPS használatára (TCP-forgalom a 443-es porton). Ezt a módosítást akkor kell végrehajtania, ha az elérni kívánt kiszolgálók támogatják a QUIC-t (például Microsoft Exchange Online). A QUIC letiltásához hajtsa végre az alábbi műveletek egyikét:

QUIC letiltása a Windows tűzfalon

A QUIC letiltásának leggyakoribb módja a funkció letiltása a Windows tűzfalon. Ez a módszer minden alkalmazást érint, beleértve a böngészőket és az ügyfélalkalmazásokat (például a Microsoft Office-t). A PowerShellben futtassa a New-NetFirewallRule parancsmagot egy új tűzfalszabály hozzáadásához, amely letiltja a QUIC-t az eszközről érkező összes kimenő forgalom esetében:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

QUIC letiltása webböngészőben

A QUIC a webböngésző szintjén tiltható le. A QUIC letiltásának ez a módszere azonban azt jelenti, hogy a QUIC továbbra is működik a nemrowser alkalmazásokon. Ha le szeretné tiltani a QUIC-t a Microsoft Edge-ben vagy a Google Chrome-ban, nyissa meg a böngészőt, keresse meg a Kísérleti QUIC protokollbeállítást (#enable-quic jelzőt), majd módosítsa a beállítást értékre Disabled. Az alábbi táblázat azt mutatja be, hogy melyik URI-t kell beírni a böngésző címsorába, hogy hozzáférhessen a beállításhoz.

Böngésző URI
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

A hálózatvédelmi teljesítmény optimalizálása

A hálózatvédelem olyan teljesítményoptimalizálást tartalmaz, amely lehetővé teszi block a mód számára a hosszú élettartamú kapcsolatok aszinkron vizsgálatát, ami teljesítménybeli javulást eredményezhet. Ez az optimalizálás az alkalmazáskompatibilitási problémák megoldásában is segíthet. Ez a képesség alapértelmezés szerint be van kapcsolva. Ezt a képességet a következő PowerShell-parancsmaggal kapcsolhatja ki:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.