Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Overzicht
Door indicatoren te maken voor IP's en URL's of domeinen, kunt u ip-adressen, URL's of domeinen nu toestaan of blokkeren op basis van uw eigen bedreigingsinformatie. U kunt gebruikers ook waarschuwen als ze een riskante app openen. De prompt weerhoudt hen niet van het gebruik van de app; gebruikers kunnen de waarschuwing omzeilen en de app zo nodig blijven gebruiken.
Defender voor Eindpunt kan het volgende gebruiken om schadelijke IP-adressen/URL's te blokkeren:
- Windows Defender SmartScreen voor Microsoft-browsers
- Netwerkbeveiliging voor niet-Microsoft-browsers en niet-browserprocessen
De standaard bedreigingsinformatiegegevensset voor het blokkeren van schadelijke IP-adressen/URL's wordt beheerd door Microsoft.
U kunt aanvullende schadelijke IP-adressen/URL's blokkeren door 'Aangepaste netwerkindicatoren' te configureren.
Ondersteunde besturingssystemen
- Windows 11
- Windows 10 versie 1709 of hoger
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 met een moderne geïntegreerde oplossing voor Defender voor Eindpunt (installatie via MSI vereist)
- Windows Server 2012 R2 met een moderne geïntegreerde oplossing voor Defender voor Eindpunt (installatie via MSI vereist)
- macOS
- Linux
- iOS
- Android
Voordat u begint
Het is belangrijk om de volgende vereisten te begrijpen voordat u indicatoren voor IP-adressen, URL's of domeinen maakt.
versievereisten voor Microsoft Defender Antivirus
De integratie in Microsoft-browsers wordt beheerd door de SmartScreen-instelling van de browser. Voor andere browsers en toepassingen moet uw organisatie het volgende hebben:
Microsoft Defender Antivirus geconfigureerd in de actieve modus.
Gedragscontrole ingeschakeld.
Cloudbeveiliging is ingeschakeld.
De versie van de antimalwareclient moet of hoger zijn
4.18.1906.x
. Zie Maandelijkse platform- en engineversies.
Vereisten voor netwerkbeveiliging
Url/IP toestaan en blokkeren vereist dat het Microsoft Defender voor Eindpunt-onderdeel Netwerkbeveiliging is ingeschakeld in de blokmodus. Zie Netwerkbeveiliging inschakelen voor meer informatie over netwerkbeveiliging en configuratie-instructies.
Vereisten voor aangepaste netwerkindicatoren
Als u IP-adressen en/of URL's wilt blokkeren, schakelt u de functie Aangepaste netwerkindicatoren in de Microsoft Defender-portal in. De functie vindt u in Instellingen>Eindpunten>Algemeen>Geavanceerde functies. Zie Geavanceerde functies voor meer informatie.
Zie Microsoft Defender voor Eindpunt op iOS voor ondersteuning van indicatoren op iOS.
Zie Microsoft Defender voor Eindpunt op Android voor ondersteuning van indicatoren op Android.
Beperkingen van de indicatorlijst
Alleen externe IP-adressen kunnen worden toegevoegd aan de indicatorlijst; indicatoren kunnen niet worden gemaakt voor interne IP-adressen.
Niet-Microsoft Edge- en Internet Explorer-processen
Voor andere processen dan Microsoft Edge en Internet Explorer gebruiken webbeveiligingsscenario's netwerkbeveiliging voor inspectie en afdwinging:
- IP-adressen worden ondersteund voor alle drie de protocollen (TCP, HTTP en HTTPS (TLS))
- Alleen individuele IP-adressen worden ondersteund (geen CIDR-blokken of IP-bereiken) in aangepaste indicatoren
- HTTP-URL's (inclusief een volledig URL-pad) kunnen worden geblokkeerd voor elke browser of elk proces
- Volledig gekwalificeerde HTTPS-domeinnamen (FQDN) kunnen worden geblokkeerd in niet-Microsoft-browsers (indicatoren die een volledig URL-pad opgeven, kunnen alleen worden geblokkeerd in Microsoft Edge)
- Voor het blokkeren van FQDN's in niet-Microsoft-browsers is vereist dat QUIC en Encrypted Client Hello zijn uitgeschakeld in deze browsers
- FQDN's die zijn geladen via het samenvoegen van HTTP2-verbindingen, kunnen alleen worden geblokkeerd in Microsoft Edge
- Als er conflicterende URL-indicatorbeleidsregels zijn, wordt het langere pad toegepast. Het URL-indicatorbeleid
https://support.microsoft.com/office
heeft bijvoorbeeld voorrang op het URL-indicatorbeleidhttps://support.microsoft.com
.
Implementatie van netwerkbeveiliging
In niet-Microsoft Edge-processen bepaalt Netwerkbeveiliging de volledig gekwalificeerde domeinnaam voor elke HTTPS-verbinding door de inhoud te onderzoeken van de TLS-handshake die optreedt na een TCP/IP-handshake. Dit vereist dat de HTTPS-verbinding GEBRUIKMAAKT van TCP/IP (niet UDP/QUIC) en dat het ClientHello-bericht niet wordt versleuteld. Zie QuicAllowed en EncryptedClientHelloEnabled om QUIC en Encrypted Client Hello uit te schakelen in Google Chrome. Zie EncryptedClientHello en network.http.http.http3.enable voor Mozilla Firefox uitschakelen.
De bepaling of de toegang tot een site moet worden toegestaan of geblokkeerd, wordt gemaakt na het voltooien van de handshake in drie richtingen via TCP/IP en eventuele TLS-handshake. Wanneer een site wordt geblokkeerd door netwerkbeveiliging, ziet u mogelijk een actietype van ConnectionSuccess
onder NetworkConnectionEvents
in de Microsoft Defender portal, ook al is de site geblokkeerd.
NetworkConnectionEvents
worden gerapporteerd vanuit de TCP-laag en niet vanuit netwerkbeveiliging. Nadat de handshake in drie richtingen is voltooid, wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.
Hier volgt een voorbeeld van hoe dat werkt:
Stel dat een gebruiker probeert toegang te krijgen tot een website op het apparaat. De site wordt gehost in een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.
De TCP/IP-handshake begint. Voordat deze is voltooid, wordt een
NetworkConnectionEvents
actie geregistreerd enActionType
wordt deze weergegeven alsConnectionSuccess
. Zodra het TCP/IP-handshakeproces is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel. Een soortgelijk proces vindt plaats met Microsoft Defender SmartScreen. Nadat de handshake is voltooid, wordt een bepaling uitgevoerd en wordt de toegang tot een site geblokkeerd of toegestaan.In de Microsoft Defender-portal wordt een waarschuwing weergegeven in de waarschuwingswachtrij. Details van die waarschuwing zijn zowel als
NetworkConnectionEvents
AlertEvents
. U kunt zien dat de site is geblokkeerd, ook al hebt u ook eenNetworkConnectionEvents
item met het ActionType vanConnectionSuccess
.
Besturingselementen voor waarschuwingsmodus
Wanneer u de waarschuwingsmodus gebruikt, kunt u de volgende besturingselementen configureren:
Omzeilingsmogelijkheid
- Knop Toestaan in Microsoft Edge
- Knop Toestaan op pop-up (niet-Microsoft-browsers)
- Parameter Duur overslaan op de indicator
- Afdwinging overslaan in microsoft- en niet-Microsoft-browsers
Omleidings-URL
- Omleidings-URL-parameter op de indicator
- Omleidings-URL in Microsoft Edge
- Url omleiden op pop-up (niet-Microsoft-browsers)
Zie Apps beheren die zijn gedetecteerd door Microsoft Defender voor Eindpunt voor meer informatie.
Conflictafhandelingsvolgorde voor IP-URL en domeinbeleid
De afhandeling van beleidsconflicten voor domeinen/URL's/IP-adressen verschilt van de afhandeling van beleidsconflicten voor certificaten.
In het geval dat meerdere verschillende actietypen zijn ingesteld op dezelfde indicator (bijvoorbeeld drie indicatoren voor Microsoft.com met de actietypen blokkeren, waarschuwen en toestaan), is de volgorde waarin deze actietypen van kracht worden:
Toestaan
Waarschuwen
Blokkeren
'Toestaan' overschrijft 'waarschuwen', waarmee 'blokkeren' als volgt wordt overschreven: Allow
Block
>Warn
>. Daarom zou in het vorige voorbeeld Microsoft.com
zijn toegestaan.
Defender for Cloud Apps indicatoren
Als uw organisatie integratie tussen Defender voor Eindpunt en Defender for Cloud Apps heeft ingeschakeld, worden er in Defender voor Eindpunt blokindicatoren gemaakt voor alle niet-sanctioned cloudtoepassingen. Als een toepassing in de bewakingsmodus wordt geplaatst, worden waarschuwingsindicatoren (overslaand blok) gemaakt voor de URL's die zijn gekoppeld aan de toepassing. Toegestane indicatoren worden niet automatisch gemaakt voor goedgekeurde toepassingen. Indicatoren die door Defender for Cloud Apps zijn gemaakt, volgen dezelfde conflictafhandeling die in de vorige sectie is beschreven.
Beleidsprioriteit
Microsoft Defender voor Eindpunt-beleid heeft voorrang op Microsoft Defender Antivirusbeleid. In situaties waarin Defender voor Eindpunt is ingesteld op Allow
, maar Microsoft Defender Antivirus is ingesteld op Block
, is Allow
het resultaat .
Prioriteit voor meerdere actieve beleidsregels
Het toepassen van meerdere verschillende beleidsregels voor het filteren van webinhoud op hetzelfde apparaat resulteert in het meer beperkende beleid dat van toepassing is op elke categorie. Neem het volgende scenario:
- Beleid 1 blokkeert categorieën 1 en 2 en controleert de rest
- Beleid 2 blokkeert categorieën 3 en 4 en controleert de rest
Het resultaat is dat de categorieën 1-4 allemaal zijn geblokkeerd. Dit scenario wordt geïllustreerd in de volgende afbeelding.
Een indicator maken voor IP-adressen, URL's of domeinen op de instellingenpagina
Selecteer in het navigatiedeelvenster Instellingen>Eindpuntindicatoren>(onderRegels).
Selecteer het tabblad IP-adressen of URL's/domeinen .
Selecteer Item toevoegen.
Geef de volgende details op:
- Indicator: geef de entiteitsdetails op en definieer de vervaldatum van de indicator.
- Actie: geef de actie op die moet worden uitgevoerd en geef een beschrijving op.
- Bereik: geef de computergroep(en) op die de indicator moeten afdwingen.
Controleer de details op het tabblad Samenvatting en selecteer vervolgens Opslaan.
Belangrijk
Het kan tot 48 uur duren nadat een beleid is gemaakt voordat een URL of IP-adres is geblokkeerd op een apparaat. In de meeste gevallen worden blokken binnen twee uur van kracht.
Verwante artikelen
- Indicatoren maken
- Indicatoren voor bestanden maken
- Indicatoren maken op basis van certificaten
- Indicatoren beheren
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.