A hálózat védelme

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows
  • macOS
  • Linux

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráljon az ingyenes próbaverzióra.

A hálózatvédelem áttekintése

A hálózatvédelem segít megvédeni az eszközöket az internetes eseményektől. A hálózatvédelem támadásifelület-csökkentési képesség. Segít megakadályozni, hogy az alkalmazottak alkalmazásokon keresztül hozzáférjenek a veszélyes tartományokhoz. Azok a tartományok, amelyek adathalász csalásokat, biztonsági réseket és más kártékony tartalmakat üzemeltetnek az interneten, veszélyesnek minősülnek. A hálózatvédelem kibővíti a Microsoft Defender SmartScreen hatókörét, hogy letiltsa az összes kimenő HTTP-forgalmat, amely alacsony hírnevű forrásokhoz próbál csatlakozni (a tartomány vagy a gazdagépnév alapján).

A hálózatvédelem kiterjeszti a webes védelem védelmét az operációs rendszer szintjére, és a webes tartalomszűrés (WCF) alapvető összetevője. Ez biztosítja a Microsoft Edge-ben található webvédelmi funkciókat más támogatott böngészőknek és nem böngészős alkalmazásoknak. A hálózatvédelem a biztonsági rések (IOK) jelzéseinek láthatóságát és blokkolását is biztosítja a végpontészlelés és -válasz használatakor. A hálózatvédelem például az egyéni jelzőkkel működik, amelyekkel bizonyos tartományokat vagy gazdagépneveket blokkolhat.

Hálózatvédelem lefedettsége

Az alábbi táblázat összefoglalja a lefedettség hálózatvédelmi területeit.

Kiemelés Microsoft Edge Külső böngészők Nem böngészőbeli folyamatok
(például PowerShell)
Webes veszélyforrások elleni védelem A SmartScreen-t engedélyezni kell A hálózatvédelemnek blokkmódban kell lennie A hálózatvédelemnek blokkmódban kell lennie
Egyéni mutatók A SmartScreen-t engedélyezni kell A hálózatvédelemnek blokkmódban kell lennie A hálózatvédelemnek blokkmódban kell lennie
Webes tartalomszűrés A SmartScreen-t engedélyezni kell A hálózatvédelemnek blokkmódban kell lennie Nem támogatott

Megjegyzés:

Macen és Linuxon a hálózatvédelemnek blokk módban kell lennie ahhoz, hogy támogatást kapjon ezekhez a funkciókhoz az Edge-ben. Windows rendszeren a hálózatvédelem nem figyeli a Microsoft Edge-et. A Microsoft Edge és az Internet Explorer kivételével a webvédelmi forgatókönyvek a hálózatvédelmet használják a vizsgálathoz és a kényszerítéshez.

  • Az IP-cím mindhárom protokoll (TCP, HTTP és HTTPS (TLS) esetében támogatott.
  • Egyéni jelzőkben csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
  • A titkosított URL-címek (teljes elérési út) csak belső böngészőkben tilthatók le (Internet Explorer, Edge).
  • A titkosított URL-címek (csak FQDN) blokkolhatók külső böngészőkben (pl. az Internet Explorer, az Edge kivételével).
  • A titkosítatlan URL-címekre teljes URL-címblokkok alkalmazhatók.

A művelet végrehajtása és az URL-cím és az IP-cím blokkolása között akár 2 óra késés is lehet (általában kevesebb).

Ebből a videóból megtudhatja, hogyan csökkenti a hálózatvédelem az eszközök támadási felületét az adathalász csalások, biztonsági rések és egyéb rosszindulatú tartalmak ellen.

A hálózatvédelem követelményei

A hálózatvédelemhez Windows 10 vagy 11 -es (Pro vagy Enterprise), a Windows Server 1803-es vagy újabb verziója, a macOS 11-es vagy újabb verziója vagy a Defender által támogatott Linux-verziók, valamint Microsoft Defender víruskereső valós idejű védelme szükséges.

Windows verziója Microsoft Defender víruskereső
Windows 10 1709-es vagy újabb verzió, Windows 11, Windows Server 1803 vagy újabb Győződjön meg arról, hogy a Microsoft Defender víruskereső valós idejű védelme, a viselkedésfigyelés és a felhőben nyújtott védelem engedélyezve van (aktív)
R2 és Windows Server 2016 Windows Server 2012 az egyesített ügynökkel Platformfrissítés 4.18.2001.x.x vagy újabb verzió

Miért fontos a hálózatvédelem?

A hálózatvédelem a Végponthoz készült Microsoft Defender támadásifelület-csökkentési megoldáscsoportjának része. A hálózatvédelem lehetővé teszi, hogy a hálózati réteg blokkolja az URL-címeket és AZ IP-címeket. A hálózatvédelem bizonyos böngészők és standard hálózati kapcsolatok használatával megakadályozhatja az URL-címek elérését. Alapértelmezés szerint a hálózatvédelem védi a számítógépeket az ismert rosszindulatú URL-címektől a SmartScreen-hírcsatornával, amely a Microsoft Edge böngészőBen a SmartScreen-hez hasonló módon blokkolja a rosszindulatú URL-címeket. A hálózatvédelmi funkció a következőre terjeszthető ki:

A hálózatvédelem a Microsoft védelmi és reagálási verem kritikus része.

Tipp

A Windows Server, Linux, MacOS és Mobile Threat Defense (MTD) hálózati védelmével kapcsolatos részletekért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Parancs- és vezérlési támadások letiltása

A parancs- és vezérlési (C2) kiszolgálói számítógépeket rosszindulatú felhasználók arra használják, hogy parancsokat küldjenek a kártevők által korábban feltört rendszereknek. A C2-támadások általában elrejtőznek a felhőalapú szolgáltatásokban, például a fájlmegosztási és webmail-szolgáltatásokban, így a C2-kiszolgálók elkerülhetik az észlelést a tipikus forgalommal való összeolvadással.

A C2-kiszolgálók a következő parancsok indítására használhatók:

  • Adatok ellopás
  • Feltört számítógépek vezérlése egy robothálózatban
  • Jogszerű alkalmazások megzavarása
  • Kártevők, például zsarolóprogramok terjesztése

A Végponthoz készült Defender hálózatvédelmi összetevője azonosítja és blokkolja az ember által üzemeltetett zsarolóprogram-támadásokban használt C2-infrastruktúrákhoz való csatlakozást olyan technikákkal, mint a gépi tanulás és az intelligens biztonsági rések (IoC) azonosítása.

Hálózatvédelem: C2 észlelés és szervizelés

Kezdeti formájában a zsarolóprogram egy kereskedelmi fenyegetés, előre programozva és korlátozott, specifikus eredményekre összpontosítva (például egy számítógép titkosítása). A zsarolóprogramok azonban kifinomult fenyegetéssé alakultak, amely emberközpontú, adaptív, és nagyobb léptékű és szélesebb körű eredményekre összpontosított, például egy teljes szervezet eszközeinek vagy adatainak tárolására váltságdíjért.

A parancs- és vezérlési kiszolgálók (C2) támogatása kulcsfontosságú része ennek a zsarolóprogram-fejlesztésnek, és ez teszi lehetővé, hogy ezek a támadások alkalmazkodjanak az általuk megcélzott környezethez. A parancs- és vezérlési infrastruktúrára mutató hivatkozás megszakadása leállítja a támadás következő szakaszára való előrehaladását. További információ a C2 észleléséről és szervizeléséről: Parancs- és vezérlési támadások észlelése és elhárítása a hálózati rétegen.

Hálózatvédelem: Új bejelentési értesítések

Új leképezés Válaszkategória Források
Adathalászat Adathalászat Smartscreen
Rosszindulatú Rosszindulatú Smartscreen
parancs és vezérlés C2 Smartscreen
parancs és vezérlés COCO Smartscreen
Rosszindulatú Bizalmatlankodó Smartscreen
a rendszergazda által CustomBlockList
a rendszergazda által CustomPolicy

Megjegyzés:

A customAllowList nem hoz létre értesítéseket a végpontokon.

Új értesítések a hálózatvédelem meghatározásához

A hálózatvédelem új, nyilvánosan elérhető funkciója a SmartScreen funkcióit használja a rosszindulatú parancs- és vezérlőhelyek adathalászati tevékenységeinek letiltására.

Amikor egy végfelhasználó olyan környezetben próbál meg felkeresni egy webhelyet, amelyben engedélyezve van a hálózatvédelem, három forgatókönyv lehetséges:

  • Az URL-cím jó hírnevével rendelkezik – Ebben az esetben a felhasználó akadály nélkül férhet hozzá, és nem jelenik meg bejelentési értesítés a végponton. A tartomány vagy az URL-cím gyakorlatilag Engedélyezett értékre van állítva.
  • Az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik – A felhasználó hozzáférése le van tiltva, de képes megkerülni (feloldani) a blokkot. A tartomány vagy az URL-cím valójában Naplózás értékre van állítva.
  • Az URL-cím ismert rossz (rosszindulatú) hírnévvel rendelkezik – A felhasználó nem férhet hozzá. A tartomány vagy az URL-cím valójában Blokkolás értékre van állítva.

Figyelmeztetési felület

Egy felhasználó felkeres egy webhelyet:

  • Ha az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik, bejelentési értesítés jelenik meg a felhasználónak a következő lehetőségekkel:

    • Ok – A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.

    • Tiltás feloldása – A felhasználó 24 órán keresztül hozzáférhet a webhelyhez; ekkor a blokk újra engedélyezve lesz. A felhasználó továbbra is használhatja a Tiltás feloldása funkciót a webhely eléréséhez, amíg a rendszergazda nem tiltja (letiltja) a webhelyet, így eltávolítja a tiltás feloldásának lehetőségét.

    • Visszajelzés – A bejelentési értesítés egy hivatkozást jelenít meg a felhasználónak egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.

      Hálózatvédelemmel kapcsolatos adathalász tartalmak figyelmeztetési értesítését jeleníti meg.

    Megjegyzés:

    Az itt látható képek a figyelmeztetési élmény és a blokkolási élmény érdekében (alább) a "letiltott URL-címet" jelenítik meg példahelyőrző szövegként; működő környezetben a tényleges URL-cím vagy tartomány szerepel a listán.

Felhasználói élmény letiltása

Egy felhasználó felkeres egy webhelyet:

  • Ha az URL-cím rossz hírnevű, bejelentési értesítés jelenik meg a felhasználónak a következő lehetőségekkel:

    • Oké A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.

    • Visszajelzés A bejelentési értesítés egy hivatkozást jelenít meg a felhasználó számára egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.

      Hálózati védelemmel kapcsolatos ismert adathalász tartalmak letiltott értesítését jeleníti meg.

SmartScreen – Tiltás feloldása

A Végponthoz készült Defender mutatóival a rendszergazdák engedélyezhetik a végfelhasználók számára, hogy megkerüljék az egyes URL-címekhez és IP-címekhez létrehozott figyelmeztetéseket. Az URL-cím letiltásának okától függően a SmartScreen-blokk észlelésekor akár 24 óráig is feloldhatja a webhely blokkolását. Ilyen esetekben megjelenik egy Windows biztonság bejelentési értesítés, amely lehetővé teszi, hogy a végfelhasználó feloldja az URL-cím vagy IP-cím blokkolását a megadott időtartamra.

Windows biztonság hálózati védelemmel kapcsolatos értesítés.

Végponthoz készült Microsoft Defender rendszergazdák az IP-címekre, URL-címekre és tartományokra vonatkozó "engedélyezés" jelzővel konfigurálhatják a SmartScreen Blokkolás feloldása funkciót a Microsoft Defender portálon.

Hálózatvédelem SmartScreen blokkkonfiguráció ULR és IP-űrlap.

Lásd Létrehozás IP-címekre és URL-címekre/tartományokra vonatkozó mutatókat.

Hálózatvédelem használata

A hálózatvédelem eszközönként engedélyezve van, ami általában a felügyeleti infrastruktúrával történik. A támogatott módszerekről a Hálózatvédelem bekapcsolása című témakörben olvashat.

Megjegyzés:

Microsoft Defender víruskeresőnek aktívnak kell lennie a hálózatvédelem engedélyezéséhez.

A hálózatvédelmet naplózási vagy blokkolási módban engedélyezheti. Ha az IP-címek vagy URL-címek tényleges blokkolása előtt szeretné kiértékelni a hálózati védelem engedélyezésének hatását, a hálózatvédelmet naplózási módban időzítheti arra, hogy adatokat gyűjtsön arról, hogy mi lenne blokkolva. Naplózza a naplózási módot, ha a végfelhasználók olyan címhez vagy webhelyhez csatlakoztak, amelyet egyébként blokkolt volna a hálózatvédelem. Vegye figyelembe, hogy ahhoz, hogy a biztonsági rések (IoC) vagy a webes tartalomszűrés (WCF) működjenek, a hálózatvédelemnek "Letiltott" módban kell lennie

További információ a Linux és a macOS hálózati védelméről: Hálózati védelem Linuxhoz és Hálózati védelem macOS-hez.

Speciális veszélyforrás-keresés

Ha speciális veszélyforrás-kereséssel azonosítja a naplózási eseményeket, legfeljebb 30 nap előzményei lesznek elérhetők a konzolról. Lásd: Speciális veszélyforrás-keresés.

A naplózási eseményeket a Speciális veszélyforrás-keresés a Végponthoz készült Defender portálon (https://security.microsoft.com) találja.

A naplózási események a DeviceEvents eseményeiben találhatók, amelynek ActionType értéke ExploitGuardNetworkProtectionAudited. A blokkok az ActionType tulajdonságával ExploitGuardNetworkProtectionBlockedjelennek meg.

Íme egy példa lekérdezés a hálózatvédelmi események külső böngészőkhöz való megtekintéséhez:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Speciális veszélyforrás-keresés az események naplózásához és azonosításához.

Tipp

Ezek a bejegyzések adatokat tartalmaznak az AdditionalFields oszlopban, amely nagyszerű információt nyújt a műveletről. Ha kibontja az AdditionalFields elemet, a következő mezőket is lekérheti: IsAudit, ResponseCategory és DisplayName.

Íme egy másik példa:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

A Válasz kategória jelzi, hogy mi okozta az eseményt, például:

ResponseCategory Az eseményért felelős funkció
CustomPolicy WCF
CustomBlockList Egyéni mutatók
CasbPolicy Defender for Cloud Apps
Rosszindulatú Webes fenyegetések
Adathalászat Webes fenyegetések

További információ: Végpontblokkok hibaelhárítása.

Vegye figyelembe, hogy Microsoft Defender Microsoft Edge böngésző SmartScreen-eseményeihez más lekérdezésre van szükség:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Az eredményként kapott URL-címek és IP-címek listájával megállapíthatja, hogy mi lett volna blokkolva, ha az eszköz letiltott módban lett volna, és melyik funkció tiltotta le őket. Tekintse át a lista egyes elemeit, és azonosítsa az URL-címeket vagy IP-címeket, hogy szükségesek-e a környezetéhez. Ha olyan naplózott bejegyzéseket talál, amelyek kritikus fontosságúak a környezetben, hozzon létre egy mutatót, amely engedélyezi azokat a hálózatban. Az URL-/IP-jelzők engedélyezése minden blokknál elsőbbséget élvez.

Miután létrehozott egy mutatót, áttekintheti a mögöttes probléma megoldását:

  • SmartScreen – kérelem áttekintése
  • Mutató – meglévő mutató módosítása
  • MCA – nem engedélyezett alkalmazás áttekintése
  • WCF – kérések újraaktiválása

Ezen adatok felhasználásával megalapozott döntést hozhat a hálózatvédelem letiltott módban történő engedélyezéséről. Lásd: A hálózatvédelmi blokkok elsőbbségi sorrendje.

Megjegyzés:

Mivel ez egy eszközönkénti beállítás, ha vannak olyan eszközök, amelyek nem tudnak blokk módba lépni, egyszerűen hagyja őket naplózásban, amíg ki nem tudja javítani a kihívást, és továbbra is megkapja a naplózási eseményeket.

A téves pozitívok jelentéséről további információt a Téves pozitív jelentések című témakörben talál.

A saját Power BI-jelentések létrehozásával kapcsolatos részletekért lásd: egyéni jelentések Létrehozás a Power BI használatával.

A hálózatvédelem konfigurálása

A hálózatvédelem engedélyezésével kapcsolatos további információkért lásd: Hálózatvédelem engedélyezése. A hálózat védelmének engedélyezéséhez és kezeléséhez Csoportházirend, PowerShell- vagy MDM-CSP-ket használhat.

A hálózatvédelem engedélyezése után előfordulhat, hogy úgy kell konfigurálnia a hálózatot vagy a tűzfalat, hogy engedélyezze a végponteszközök és a webszolgáltatások közötti kapcsolatokat:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Hálózatvédelmi események megtekintése

A hálózatvédelem Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a biztonsági rés kiaknázása elleni védelmi eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként.

Ha a hálózatvédelem blokkolja a kapcsolatot, a műveletközpontban értesítés jelenik meg. A biztonsági üzemeltetési csapat testre szabhatja az értesítést a szervezet adataival és kapcsolattartási adataival. Emellett az egyes támadásifelület-csökkentési szabályok engedélyezhetők és testre szabhatók, hogy megfeleljenek bizonyos figyelési technikáknak.

A naplózási móddal azt is kiértékelheti, hogy a hálózatvédelem milyen hatással lenne a szervezetre, ha engedélyezve lenne.

Hálózatvédelmi események áttekintése a Microsoft Defender portálon

A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztási vizsgálati forgatókönyvek részeként. Ezeket az adatokat a riasztások várólistáján található Microsoft Defender portálon (https://security.microsoft.com) vagy speciális veszélyforrás-kereséssel tekintheti meg. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a hálózatvédelmi beállítások milyen hatással lennének a környezetre, ha engedélyezve lennének.

Hálózatvédelmi események áttekintése a Windows eseménymegtekintő-ben

A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a hálózatvédelem blokkolja (vagy naplózza) a rosszindulatú IP-címhez vagy tartományhoz való hozzáférést:

  1. Másolja ki az XML-fájlt közvetlenül.

  2. Kattintson az OK gombra.

Ez az eljárás létrehoz egy egyéni nézetet, amely a hálózatvédelemmel kapcsolatos alábbi események megjelenítésére szűr:

Eseményazonosító Leírás
5007 A beállítások módosításának eseménye
1125 Esemény, amikor a hálózatvédelem naplózási módban aktiválódik
1126 Esemény, amikor a hálózatvédelem blokk módban aktiválódik

Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha egy hely hálózati védelemmel van letiltva, a Microsoft Defender portálon egy művelettípus ConnectionSuccessDeviceNetworkEvents jelenhet meg, annak ellenére, hogy a hely le lett tiltva. DeviceNetworkEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

  1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

  2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása DeviceNetworkEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

  3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEvidencea isDeviceNetworkEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a DeviceNetworkEvents ActionType ConnectionSuccesselemével is.

Megfontolandó szempontok Windows 10 Enterprise több munkamenetet futtató Windows rendszerű virtuális asztalhoz

A Windows 10 Enterprise többfelhasználós jellege miatt tartsa szem előtt a következő szempontokat:

  1. A hálózatvédelem egy eszközszintű szolgáltatás, amely nem célozható meg adott felhasználói munkamenetekre.

  2. A webes tartalomszűrési szabályzatok szintén eszközszintűek.

  3. Ha meg kell különböztetnie a felhasználói csoportokat, fontolja meg külön Windows Virtual Desktop-gazdagépkészletek és -hozzárendelések létrehozását.

  4. Tesztelje a hálózatvédelmet naplózási módban, hogy felmérje annak viselkedését a bevezetés előtt.

  5. Fontolja meg az üzemelő példány átméretezését, ha nagy számú felhasználóval vagy nagy számú többfelhasználós munkamenetekkel rendelkezik.

A hálózatvédelem alternatív lehetősége

A Windows Server 2012R2/2016 egyesített MDE-ügyfél, a Windows Server 1803-at vagy újabb verzióját, a Windows Server 2019-es vagy újabb verzióját, valamint az Azure-beli Windows Virtual Desktopban használt Windows 10 Enterprise Több munkamenetes 1909-es vagy újabb verzióját, a Microsoft Edge hálózati védelme az alábbi módszerrel engedélyezhető:

  1. Használja a Hálózatvédelem bekapcsolása lehetőséget, és kövesse az utasításokat a szabályzat alkalmazásához.

  2. Hajtsa végre a következő PowerShell-parancsokat:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Megjegyzés:

Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől Set-MpPreference -AllowDatagramProcessingOnWinServer 1 függően hatással lehet a hálózati teljesítményre.

Hálózatvédelem Windows-kiszolgálókhoz

Az alábbiakban a Windows-kiszolgálókra vonatkozó információk találhatók.

Ellenőrizze, hogy a hálózatvédelem engedélyezve van-e

Ellenőrizze, hogy engedélyezve van-e a hálózatvédelem egy helyi eszközön a Beállításjegyzék Szerkesztő használatával.

  1. Kattintson a Start gombra a tálcán, és írja be a regedit parancsot a Beállításjegyzék Szerkesztő megnyitásához.

  2. Válassza HKEY_LOCAL_MACHINE lehetőséget az oldalsó menüből.

  3. A beágyazott menükben navigáljon aMicrosoft>Windows Defender>szoftveres>házirendjeihez>Windows Defender a Exploit Guard>Network Protectionhöz.

    (Ha a kulcs nincs jelen, lépjen a SZOFTVER>Microsoft>> Windows Defender Windows Defender Exploit Guard>Network Protection)

  4. Válassza az EnableNetworkProtection lehetőséget az eszköz hálózati védelmének aktuális állapotának megtekintéséhez:

    • 0 = Kikapcsolva
    • 1 = Bekapcsolva (engedélyezve)
    • 2 = Naplózási mód

További információ: A hálózatvédelem bekapcsolása

Hálózatvédelmi javaslat

A Windows Server 2012R2/2016 egyesített MDE-ügyfél, a Windows Server 1803-at vagy újabb verzióját, a Windows Server 2019-es vagy újabb verzióját, valamint a több munkamenetes 1909-es és újabb Windows 10 Enterprise (az Azure-beli Windows Virtual Desktopban használatos) további beállításkulcsokat kell engedélyezni:

HKEY_LOCAL_MACHINE\SZOFTVER\Microsoft\\ Windows Defender Windows Defender Exploit Guard\hálózatvédelem

  • AllowNetworkProtectionOnWinServer (dword) 1 (hexadecimális)
  • EnableNetworkProtection (dword) 1 (hexadecimális)
  • AllowNetworkProtectionDownLevel (dword) 1 (hexadecimális) – Csak Windows Server 2012R2 és Windows Server 2016

Megjegyzés:

Az infrastruktúrától, a forgalom mennyiségétől és egyéb feltételektől függően HKEY_LOCAL_MACHINE a Microsoft\\Windows Defender \NIS-fogyasztók\\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hexadecimális)szoftverházirendjei\\ hatással lehetnek a hálózati teljesítményre.

További információ: A hálózatvédelem bekapcsolása

A Windows-kiszolgálók és a Windows több munkamenetes konfigurációja a PowerShellt igényli

Windows-kiszolgálók és Több munkamenetes Windows esetén további elemeket kell engedélyeznie a PowerShell-parancsmagok használatával. A Windows Server 2012R2/2016 egyesített MDE-ügyfél, a Windows Server 1803-at vagy újabb verzióját, a Windows Server 2019-es vagy újabb verzióját, valamint Windows 10 Enterprise Multi-Session 1909-es és újabb verzióit, amelyeket az Azure-beli Windows Virtual Desktopban használnak.

  1. Set-MpPreference -EnableNetworkProtection engedélyezve
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Megjegyzés:

Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől függően a Set-MpPreference -AllowDatagramProcessingOnWinServer 1 hatással lehet a hálózati teljesítményre.

Hálózatvédelem hibaelhárítása

A hálózatvédelmet futtató környezet miatt előfordulhat, hogy a szolgáltatás nem tudja észlelni az operációsrendszer-proxy beállításait. Bizonyos esetekben a hálózatvédelmi ügyfelek nem tudják elérni a felhőszolgáltatást. A csatlakozási probléma megoldásához konfiguráljon statikus proxyt Microsoft Defender víruskeresőhöz.

A hálózatvédelmi teljesítmény optimalizálása

A hálózatvédelem most már rendelkezik egy teljesítményoptimalizálással, amely lehetővé teszi, hogy a letiltási mód aszinkron módon vizsgálja meg a hosszú élettartamú kapcsolatokat, ami javíthat a teljesítményen, és segíthet az alkalmazáskompatibilitási problémák megoldásában is. Ez az optimalizálási képesség alapértelmezés szerint be van kapcsolva. Ezt a képességet a következő PowerShell-parancsmaggal kapcsolhatja ki:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.