Delen via

Netwerkbeveiliging gebruiken om verbindingen met schadelijke of verdachte sites te voorkomen

Van toepassing op:

Platforms

  • Windows
  • macOS
  • Linux

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht van netwerkbeveiliging

Netwerkbeveiliging helpt apparaten te beveiligen door verbindingen met schadelijke of verdachte sites te voorkomen. Voorbeelden van gevaarlijke domeinen zijn domeinen die phishing-scams, schadelijke downloads, technische oplichting of andere schadelijke inhoud hosten. Netwerkbeveiliging breidt het bereik van Microsoft Defender SmartScreen uit om al het uitgaande HTTP(S)-verkeer te blokkeren dat verbinding probeert te maken met bronnen met een slechte reputatie (op basis van het domein of de hostnaam).

Netwerkbeveiliging breidt de beveiliging in webbeveiliging uit naar het niveau van het besturingssysteem en is een kernonderdeel voor Web Content Filtering (WCF). Het biedt de functionaliteit voor webbeveiliging in Microsoft Edge voor andere ondersteunde browsers en niet-browsertoepassingen. Netwerkbeveiliging biedt ook zichtbaarheid en blokkering van indicatoren van inbreuk (IOC's) bij gebruik met eindpuntdetectie en -respons. Netwerkbeveiliging werkt bijvoorbeeld met uw aangepaste indicatoren om specifieke domeinen of hostnamen te blokkeren.

Bekijk deze video om te leren hoe netwerkbeveiliging helpt de kwetsbaarheid voor aanvallen van uw apparaten te verminderen door phishing, aanvallen en andere schadelijke inhoud:

Netwerkbeveiligingsdekking

In de volgende tabel ziet u een overzicht van de dekkingsgebieden voor netwerkbeveiliging.

Functie Microsoft Edge Niet-Microsoft-browsers Niet-browserprocessen
(bijvoorbeeld PowerShell)
Web Threat Protection SmartScreen moet zijn ingeschakeld Netwerkbeveiliging moet in de blokmodus staan Netwerkbeveiliging moet in de blokmodus staan
Aangepaste indicatoren SmartScreen moet zijn ingeschakeld Netwerkbeveiliging moet in de blokmodus staan Netwerkbeveiliging moet in de blokmodus staan
Webinhoud filteren SmartScreen moet zijn ingeschakeld Netwerkbeveiliging moet in de blokmodus staan Niet ondersteund

Gebruik Edge-beleid: SmartScreen ingeschakeld om ervoor te zorgen dat SmartScreen is ingeschakeld voor Microsoft Edge.

Opmerking

In Windows controleert netwerkbeveiliging Microsoft Edge niet. Voor andere processen dan Microsoft Edge en Internet Explorer maken webbeveiligingsscenario's gebruik van netwerkbeveiliging voor inspectie en afdwinging. Op Mac en Linux integreert de Microsoft Edge-browser alleen Web Threat Protection. Netwerkbeveiliging moet zijn ingeschakeld in de blokmodus om aangepaste indicatoren en filteren van webinhoud in Edge en andere browsers te ondersteunen.

Bekende problemen & beperkingen

  • IP-adressen worden ondersteund voor alle drie de protocollen (TCP, HTTP en HTTPS (TLS))
  • Alleen individuele IP-adressen worden ondersteund (geen CIDR-blokken of IP-bereiken) in aangepaste indicatoren
  • HTTP-URL's (inclusief een volledig URL-pad) kunnen worden geblokkeerd voor elke browser of elk proces
  • Volledig gekwalificeerde HTTPS-domeinnamen (FQDN) kunnen worden geblokkeerd in niet-Microsoft-browsers (indicatoren die een volledig URL-pad opgeven, kunnen alleen worden geblokkeerd in Microsoft Edge)
  • Voor het blokkeren van FQDN's in niet-Microsoft-browsers is vereist dat QUIC en Encrypted Client Hello zijn uitgeschakeld in deze browsers
  • FQDN's die zijn geladen via het samenvoegen van HTTP2-verbindingen, kunnen alleen worden geblokkeerd in Microsoft Edge
  • Netwerkbeveiliging blokkeert verbindingen op alle poorten (niet alleen 80 en 443).

Er kan maximaal twee uur latentie (meestal minder) zijn tussen het moment waarop een indicator/beleid wordt toegevoegd en een overeenkomende URL/IP wordt geblokkeerd.

Vereisten voor netwerkbeveiliging

Voor netwerkbeveiliging zijn apparaten met een van de volgende besturingssystemen vereist:

Netwerkbeveiliging vereist ook Microsoft Defender Antivirus waarvoor realtime-beveiliging is ingeschakeld.

Windows-versie Microsoft Defender Antivirus
Windows 10 versie 1709 of hoger, Windows 11, Windows Server 1803 of hoger Zorg ervoor dat Microsoft Defender Antivirus realtime-beveiliging, gedragscontrole en cloudbeveiliging zijn ingeschakeld (actief)
Windows Server 2012 R2 en Windows Server 2016 met behulp van de moderne geïntegreerde oplossing Versie van platformupdate 4.18.2001.x.x of nieuwer

Waarom netwerkbeveiliging belangrijk is

Netwerkbeveiliging maakt deel uit van de groep oplossingen voor het verminderen van kwetsbaarheid voor aanvallen in Microsoft Defender voor Eindpunt. Met netwerkbeveiliging kan de netwerklaag verbindingen met domeinen en IP-adressen blokkeren. Netwerkbeveiliging beschermt uw computers standaard tegen bekende schadelijke domeinen met behulp van de SmartScreen-feed, die schadelijke URL's blokkeert op een manier die vergelijkbaar is met SmartScreen in de browser Microsoft Edge. De functionaliteit voor netwerkbeveiliging kan worden uitgebreid naar:

Tip

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing voor meer informatie over netwerkbeveiliging voor Windows Server, Linux, macOS en Mobile Threat Defense (MTD).

Opdrachten- en beheeraanvallen blokkeren

C2-servers (Command and Control) worden gebruikt om opdrachten te verzenden naar systemen die eerder zijn aangetast door malware.

C2-servers kunnen worden gebruikt om opdrachten te initiëren die:

  • Gegevens stelen
  • Gecompromitteerde computers in een botnet beheren
  • Legitieme toepassingen verstoren
  • Malware verspreiden, zoals ransomware

Het netwerkbeveiligingsonderdeel van Defender voor Eindpunt identificeert en blokkeert verbindingen met C2-servers die worden gebruikt bij door mensen beheerde ransomware-aanvallen, met behulp van technieken zoals machine learning en identificatie van intelligente indicator-of-compromise (IoC).

Netwerkbeveiliging: C2-detectie en herstel

Ransomware is uitgegroeid tot een geavanceerde bedreiging die door mensen wordt gestuurd, adaptief en gericht op grootschalige resultaten, zoals het vasthouden van de activa van een hele organisatie of gegevens voor losgeld.

Ondersteuning voor Command and Control-servers (C2) is een belangrijk onderdeel van deze ransomware-evolutie en het is wat deze aanvallen in staat stelt zich aan te passen aan de omgeving waarop ze zijn gericht. Door de koppeling met de infrastructuur voor opdracht en controle te verbreken, wordt de voortgang van een aanval naar de volgende fase gestopt. Zie tech community-blog: Detectie en herstel van opdrachten en controleaanvallen op de netwerklaag voor meer informatie over C2-detectie en -herstel.

Netwerkbeveiliging: nieuwe pop-upmeldingen

Nieuwe toewijzing Antwoordcategorie Bronnen
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

Opmerking

customAllowList genereert geen meldingen op eindpunten.

Nieuwe meldingen voor netwerkbeveiligingsbepaling

Wanneer een eindgebruiker een website probeert te bezoeken in een omgeving waarin netwerkbeveiliging is ingeschakeld, zijn er drie scenario's mogelijk, zoals beschreven in de volgende tabel:

Scenario Wat gebeurt er
De URL heeft een bekende goede reputatie De gebruiker heeft toegang zonder obstakels en er wordt geen pop-upmelding weergegeven op het eindpunt. In feite is het domein of de URL ingesteld op Toegestaan.
De URL heeft een onbekende of onzekere reputatie De toegang van de gebruiker wordt geblokkeerd, maar met de mogelijkheid om het blok te omzeilen (deblokkeren). In feite is het domein of de URL ingesteld op Audit.
De URL heeft een bekende slechte (schadelijke) reputatie De gebruiker heeft geen toegang. In feite is het domein of de URL ingesteld op Blokkeren.

Waarschuwingservaring

Een gebruiker bezoekt een website. Als de URL een onbekende of onzekere reputatie heeft, geeft een pop-upmelding de gebruiker de volgende opties:

  • Ok: De pop-upmelding wordt vrijgegeven (verwijderd) en de poging om toegang te krijgen tot de site is beëindigd.
  • Deblokkeren: de gebruiker heeft 24 uur lang toegang tot de site; op welk punt het blok opnieuw wordt ingeschakeld. De gebruiker kan Deblokkeren blijven gebruiken om toegang te krijgen tot de site totdat de beheerder de site verbiedt (blokkeert), waardoor de optie voor Deblokkeren wordt verwijderd.
  • Feedback: De pop-upmelding geeft de gebruiker een koppeling om een ticket in te dienen. Deze kan de gebruiker gebruiken om feedback te verzenden naar de beheerder in een poging om toegang tot de site te rechtvaardigen.

Toont een waarschuwingsmelding voor phishing-inhoud voor netwerkbeveiliging.

Opmerking

De afbeeldingen die in dit artikel worden weergegeven voor zowel de ervaring block als de warn ervaring, gebruiken 'geblokkeerde URL' als voorbeeld van tijdelijke aanduidingen voor tekst. In een werkende omgeving wordt de werkelijke URL of het domein weergegeven.

CSP gebruiken om in te schakelen Convert warn verdict to block

SmartScreen-uitspraken voor schadelijke sites resulteren standaard in een waarschuwing die door de gebruiker kan worden overschreven. Een beleid kan worden ingesteld om de waarschuwing te converteren naar blokken, waardoor dergelijke onderdrukkingen worden voorkomen.

Zie Defender CSP: Configuration/EnableConvertWarnToBlock voor niet-Edge-browsers. Zie Edge-beleid: Overschrijven van SmartScreen-prompt voorkomen voor Edge-browsers.

Gebruik groepsbeleid om een waarschuwingsbeoordeling voor converteren in te schakelen om te blokkeren

Door deze instelling in te schakelen, blokkeert netwerkbeveiliging het netwerkverkeer in plaats van een waarschuwing weer te geven.

  1. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer.

  2. Klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer bewerken.

  3. Ga in de groepsbeleid Beheer Editor naar Computerconfiguratie en selecteer beheersjablonen.

  4. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Network-inspectiesysteem.

  5. Dubbelklik op Converteren waarschuwingsoordeel om te blokkeren en stel de optie in op Ingeschakeld.

  6. Selecteer OK.

Ervaring blokkeren

Wanneer een gebruiker een website bezoekt waarvan de URL een slechte reputatie heeft, geeft een pop-upmelding de gebruiker de volgende opties:

  • Ok: De pop-upmelding wordt vrijgegeven (verwijderd) en de poging om toegang te krijgen tot de site is beëindigd.
  • Feedback: De pop-upmelding geeft de gebruiker een koppeling om een ticket in te dienen. Deze kan de gebruiker gebruiken om feedback te verzenden naar de beheerder in een poging om toegang tot de site te rechtvaardigen.

Toont een melding dat bekende phishing-inhoud van netwerkbeveiliging is geblokkeerd.

SmartScreen Deblokkeren

Met indicatoren in Defender voor Eindpunt kunnen beheerders eindgebruikers toestaan waarschuwingen te omzeilen die worden gegenereerd voor sommige URL's en IP-adressen. Afhankelijk van de reden waarom de URL wordt geblokkeerd, kan een SmartScreen-blok de gebruiker de mogelijkheid bieden om de blokkering van de site gedurende maximaal 24 uur op te heffen. In dergelijke gevallen wordt een Windows-beveiliging pop-upmelding weergegeven, zodat de gebruiker Deblokkeren kan selecteren. In dergelijke gevallen wordt de blokkering van de URL of het IP-adres voor de opgegeven periode opgeheven.

Windows-beveiliging melding voor netwerkbeveiliging.

Microsoft Defender voor Eindpunt-beheerders kunnen smartScreen-deblokkeringsfunctionaliteit configureren in de Microsoft Defender-portal met behulp van een acceptatie-indicator voor IP's, URL's en domeinen.

Netwerkbeveiliging SmartScreen blok configuratie-URL en IP-formulier.

Zie Indicatoren maken voor IP-adressen en URL's/domeinen.

Netwerkbeveiliging gebruiken

Netwerkbeveiliging wordt per apparaat ingeschakeld, wat meestal wordt gedaan met behulp van uw beheerinfrastructuur. Zie Netwerkbeveiliging inschakelen voor ondersteunde methoden.

Opmerking

Microsoft Defender Antivirus moet actief zijn om netwerkbeveiliging in te schakelen.

U kunt netwerkbeveiliging inschakelen in audit de modus of block modus. Als u de impact van het inschakelen van netwerkbeveiliging wilt evalueren voordat IP-adressen of URL's daadwerkelijk worden geblokkeerd, kunt u netwerkbeveiliging inschakelen in de controlemodus. Controlemodus registreert wanneer eindgebruikers verbinding maken met een adres of site die anders zou worden geblokkeerd door netwerkbeveiliging. Als u blokkering van aangepaste indicatoren of filtercategorieën voor webinhoud wilt afdwingen, moet de netwerkbeveiliging in de block modus staan.

Zie de volgende artikelen voor informatie over netwerkbeveiliging voor Linux en macOS:

Geavanceerd opsporen

Als u geavanceerde opsporing gebruikt om controlegebeurtenissen te identificeren, hebt u een geschiedenis van maximaal 30 dagen beschikbaar via de console. Zie Geavanceerde opsporing.

U vindt de controlegebeurtenissen in Geavanceerde opsporing in de Defender voor Eindpunt-portal (https://security.microsoft.com).

Controlegebeurtenissen bevinden zich in DeviceEvents met een ActionType van ExploitGuardNetworkProtectionAudited. Blokken worden weergegeven met een ActionType van ExploitGuardNetworkProtectionBlocked.

Hier volgt een voorbeeldquery voor het weergeven van netwerkbeveiligingsgebeurtenissen voor niet-Microsoft-browsers:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Geavanceerde opsporing voor het controleren en identificeren van gebeurtenissen.

Tip

Deze vermeldingen bevatten gegevens in de kolom AdditionalFields met meer informatie over de actie, waaronder de velden : IsAudit, ResponseCategory en DisplayName.

Hier volgt nog een voorbeeld:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

De categorie Antwoord geeft aan wat de gebeurtenis heeft veroorzaakt, zoals in dit voorbeeld:

ResponseCategory Functie die verantwoordelijk is voor de gebeurtenis
CustomPolicy WCF
CustomBlockList Aangepaste indicatoren
CasbPolicy Defender voor Cloud-apps
Malicious Webbedreigingen
Phishing Webbedreigingen

Zie Problemen met eindpuntblokken oplossen voor meer informatie.

Als u de Microsoft Edge-browser gebruikt, gebruikt u deze query voor Microsoft Defender SmartScreen-gebeurtenissen:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

U kunt de resulterende lijst met URL's en IP-adressen gebruiken om te bepalen wat er wordt geblokkeerd als netwerkbeveiliging is ingesteld op de blokkeringsmodus op het apparaat. U kunt ook zien welke functies URL's en IP-adressen blokkeren. Bekijk de lijst om url's of IP-adressen te identificeren die nodig zijn voor uw omgeving. Vervolgens kunt u een acceptatie-indicator maken voor deze URL's of IP-adressen. Toestaan dat indicatoren voorrang hebben op blokken. Zie Volgorde van prioriteit voor netwerkbeveiligingsblokken.

Nadat u een indicator hebt gemaakt om een site te deblokkeren, kunt u het oorspronkelijke blok als volgt proberen op te lossen:

  • SmartScreen: fout-positief melden, indien van toepassing
  • Indicator: bestaande indicator wijzigen
  • MCA: niet-sanctioned app controleren
  • WCF: hercategorisatie van aanvragen

Opmerking

Omdat dit een instelling per apparaat is, kunt u, als er apparaten zijn die niet naar de blokmodus kunnen worden verplaatst, deze gewoon op controle laten staan om de controlegebeurtenissen te ontvangen.

Zie Fout-positieven rapporteren voor informatie over het rapporteren van fout-positieven in SmartScreen-gegevens.

Zie Aangepaste rapporten maken met Power BI voor meer informatie over het maken van uw eigen Power BI-rapporten.

Netwerkbeveiliging configureren

Zie Netwerkbeveiliging inschakelen voor meer informatie over het inschakelen van netwerkbeveiliging. Gebruik groepsbeleid, PowerShell of MDM CSP's om netwerkbeveiliging in uw netwerk in te schakelen en te beheren.

Nadat u netwerkbeveiliging hebt ingeschakeld, moet u mogelijk uw netwerk of firewall configureren om de verbindingen tussen uw eindpuntapparaten en de webservices toe te staan:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Vereiste browserconfiguratie

In niet-Microsoft Edge-processen bepaalt Netwerkbeveiliging de volledig gekwalificeerde domeinnaam voor elke HTTPS-verbinding door de inhoud te onderzoeken van de TLS-handshake die optreedt na een TCP/IP-handshake. Dit vereist dat de HTTPS-verbinding GEBRUIKMAAKT van TCP/IP (niet UDP/QUIC) en dat het ClientHello-bericht niet wordt versleuteld. Zie QuicAllowed en EncryptedClientHelloEnabled om QUIC en Encrypted Client Hello uit te schakelen in Google Chrome. Zie EncryptedClientHello en network.http.http.http3.enable voor Mozilla Firefox uitschakelen.

Netwerkbeveiligingsevenementen weergeven

Netwerkbeveiliging werkt het beste met Microsoft Defender voor Eindpunt, waarmee u gedetailleerde rapportages krijgt over exploit protection-gebeurtenissen en -blokken als onderdeel van scenario's voor waarschuwingsonderzoek.

Wanneer netwerkbeveiliging een verbinding blokkeert, wordt er een melding weergegeven op de client. Uw beveiligingsteam kan de melding aanpassen met de gegevens en contactgegevens van uw organisatie.

Netwerkbeveiligingsevenementen controleren in de Microsoft Defender-portal

Defender voor Eindpunt biedt gedetailleerde rapportage over gebeurtenissen en blokken als onderdeel van de scenario's voor waarschuwingsonderzoek. U kunt deze details bekijken in de Microsoft Defender portal (https://security.microsoft.com) in de waarschuwingswachtrij of met behulp van geavanceerde opsporing. Als u de controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe netwerkbeveiligingsinstellingen van invloed zijn op uw omgeving als deze zijn ingeschakeld.

Gebeurtenissen voor netwerkbeveiliging bekijken in Windows Logboeken

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer netwerkbeveiliging de toegang tot een schadelijk IP- of domein blokkeert (of controleert):

  1. Een XML-query maken.

  2. Selecteer OK.

Met deze procedure maakt u een aangepaste weergave die filtert om alleen de volgende gebeurtenissen weer te geven die betrekking hebben op netwerkbeveiliging:

Gebeurtenis-id Omschrijving
5007 Gebeurtenis wanneer instellingen worden gewijzigd
1125 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de controlemodus
1126 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de blokmodus

Netwerkbeveiliging en de TCP-handshake in drie richtingen

Met netwerkbeveiliging wordt bepaald of de toegang tot een site moet worden toegestaan of geblokkeerd na voltooiing van de handshake in drie richtingen via TCP/IP. Wanneer netwerkbeveiliging een site blokkeert, ziet u mogelijk een actietype onder ConnectionSuccessDeviceNetworkEvents in de Microsoft Defender portal, ook al is de site geblokkeerd. DeviceNetworkEvents worden gerapporteerd vanuit de TCP-laag en niet vanuit netwerkbeveiliging. Na voltooiing van de TCP/IP-handshake en een TLS-handshake wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.

Hier volgt een voorbeeld van hoe dat werkt:

  1. Stel dat een gebruiker toegang probeert te krijgen tot een website. De site wordt gehost in een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.

  2. De handshake in drie richtingen via TCP/IP begint. Voordat deze is voltooid, wordt een DeviceNetworkEvents actie geregistreerd en ActionType wordt deze weergegeven als ConnectionSuccess. Zodra het handshakeproces in drie richtingen is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel.

  3. In de Microsoft Defender-portal wordt een waarschuwing weergegeven in de waarschuwingswachtrij. Details van die waarschuwing zijn zowel als DeviceNetworkEventsAlertEvidence. U kunt zien dat de site is geblokkeerd, ook al hebt u ook een DeviceNetworkEvents item met het ActionType van ConnectionSuccess.

Overwegingen voor windows virtual desktop waarop Windows 10 Enterprise Multi-Session wordt uitgevoerd

Houd rekening met de volgende punten vanwege de aard van meerdere gebruikers van Windows 10 Enterprise:

  • Netwerkbeveiliging is een apparaatbrede functie en kan niet worden gericht op specifieke gebruikerssessies.
  • Als u onderscheid wilt maken tussen gebruikersgroepen, kunt u afzonderlijke Windows Virtual Desktop-hostgroepen en -toewijzingen maken.
  • Test de netwerkbeveiliging in de controlemodus om het gedrag ervan te beoordelen voordat u deze uitrolt.
  • U kunt het formaat van uw implementatie wijzigen als u een groot aantal gebruikers of een groot aantal sessies voor meerdere gebruikers hebt.

Alternatieve optie voor netwerkbeveiliging

Voor Windows Server 2012 R2 en Windows Server 2016 met de moderne geïntegreerde oplossing Windows Server versie 1803 of hoger en Windows 10 Enterprise Multi-Session 1909 en hoger, gebruikt in Windows Virtual Desktop in Azure, kan netwerkbeveiliging voor Microsoft Edge worden ingeschakeld met behulp van de volgende methode:

  1. Gebruik Netwerkbeveiliging inschakelen en volg de instructies om uw beleid toe te passen.

  2. Voer de volgende PowerShell-opdrachten uit:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    Opmerking

    In sommige gevallen kan, afhankelijk van uw infrastructuur, de hoeveelheid verkeer en andere omstandigheden, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 invloed hebben op de netwerkprestaties.

Netwerkbeveiliging voor Windows-servers

De volgende informatie is specifiek voor Windows-servers.

Controleer of netwerkbeveiliging is ingeschakeld

Controleer met register Editor of netwerkbeveiliging is ingeschakeld op een lokaal apparaat.

  1. Selecteer de Startknop op de taakbalk en typ regedit om Register Editor te openen.

  2. Selecteer HKEY_LOCAL_MACHINE in het zijmenu.

  3. Navigeer door de geneste menu's naarSOFTWARE-beleid>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Als de sleutel niet aanwezig is, navigeert u naar SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netwerkbeveiliging)

  4. Selecteer EnableNetworkProtection om de huidige status van netwerkbeveiliging op het apparaat te bekijken:

    • 0 = Uit
    • 1 = Aan (ingeschakeld)
    • 2 = Controlemodus

Zie Netwerkbeveiliging inschakelen voor meer informatie.

Aanbevolen registersleutels voor netwerkbeveiliging

Voor Windows Server 2012 R2 en Windows Server 2016 met behulp van de moderne geïntegreerde oplossing Windows Server versie 1803 of hoger en Windows 10 Enterprise Multi-Session 1909 en hoger (gebruikt in Windows Virtual Desktop in Azure), schakelt u andere registersleutels in, zoals Volgt:

  1. Ga naar HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

  2. Configureer de volgende sleutels:

    • AllowNetworkProtectionOnWinServer (DWORD) ingesteld op 1 (hex)
    • EnableNetworkProtection (DWORD) ingesteld op 1 (hex)
    • (Alleen op Windows Server 2012 R2 en Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) ingesteld op 1 (hex)

Opmerking

Afhankelijk van uw infrastructuur, het volume van het verkeer en andere omstandigheden kan HKEY_LOCAL_MACHINE>SOFTWARE-beleid>>Microsoft>Windows Defender>NIS-IPS - >>AllowDatagramProcessingOnWinServer (dword) 1 (hex) van invloed zijn op de netwerkprestaties.

Zie Netwerkbeveiliging inschakelen voor meer informatie.

Voor Windows-servers en Windows Multi-session-configuratie is PowerShell vereist

Voor Windows-servers en Windows Multi-sessions zijn er andere items die u moet inschakelen met behulp van PowerShell-cmdlets. Voor Windows Server 2012 R2 en Windows Server 2016 met de moderne geïntegreerde oplossing, Windows Server versie 1803 of hoger en Windows 10 Enterprise Multi-Session 1909 en hoger, gebruikt in Windows Virtual Desktop in Azure, voert u de volgende PowerShell-opdrachten uit:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Opmerking

In sommige gevallen kan, afhankelijk van uw infrastructuur, het volume van het verkeer en andere omstandigheden, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 de netwerkprestaties beïnvloeden.

Problemen met netwerkbeveiliging oplossen

Vanwege de omgeving waarin netwerkbeveiliging wordt uitgevoerd, kan de functie mogelijk geen proxy-instellingen voor het besturingssysteem detecteren. In sommige gevallen kunnen netwerkbeveiligingsclients de cloudservice niet bereiken. Als u het verbindingsprobleem wilt oplossen, configureert u een statische proxy voor Microsoft Defender Antivirus.

Opmerking

Versleutelde client Hello en het QUIC-protocol worden niet ondersteund met netwerkbeveiligingsfunctionaliteit. Zorg ervoor dat deze protocollen zijn uitgeschakeld in browsers, zoals beschreven in Vereiste browserconfiguratie hierboven.

Als u QUIC in alle clients wilt uitschakelen, kunt u QUIC-verkeer blokkeren via de Windows Firewall.

QUIC uitschakelen in Windows Firewall

Deze methode is van invloed op alle toepassingen, inclusief browsers en client-apps (zoals Microsoft Office). Voer in PowerShell de New-NetFirewallRule cmdlet uit om een nieuwe firewallregel toe te voegen waarmee QUIC wordt uitgeschakeld door al het uitgaande verkeer van UDP-verkeer naar poort 443 te blokkeren:


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Prestaties van netwerkbeveiliging optimaliseren

Netwerkbeveiliging omvat prestatieoptimalisatie waarmee block de modus asynchroon langdurige verbindingen kan inspecteren, wat een prestatieverbetering kan opleveren. Deze optimalisatie kan ook helpen bij compatibiliteitsproblemen met apps. Deze mogelijkheid is standaard ingeschakeld.

CSP gebruiken om AllowSwitchToAsyncInspection in te schakelen

Defender CSP: Configuratie/AllowSwitchToAsyncInspection

Gebruik groepsbeleid om asynchrone inspectie in te schakelen

Met deze procedure kan de netwerkbeveiliging de prestaties verbeteren door over te schakelen van realtime-inspectie naar asynchrone inspectie.

  1. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer.

  2. Klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer bewerken.

  3. Ga in de Editor groepsbeleid Management naar Computerconfiguratie en selecteer beheersjablonen.

  4. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Network-inspectiesysteem.

  5. Dubbelklik op Asynchrone inspectie inschakelen en stel de optie in op Ingeschakeld.

  6. Selecteer OK.

Gebruik Microsoft Defender Powershell-cmdlet antivirus om asynchrone inspectie in te schakelen

U kunt deze mogelijkheid inschakelen met behulp van de volgende PowerShell-cmdlet:

Set-MpPreference -AllowSwitchToAsyncInspection $true

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.