Konfigurowanie i konfigurowanie usługi Microsoft Defender dla planu 1 punktu końcowego

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

W tym artykule opisano sposób konfigurowania i konfigurowania usługi Defender for Endpoint Plan 1. Niezależnie od tego, czy masz pomoc, czy robisz to samodzielnie, możesz użyć tego artykułu jako przewodnika po całym wdrożeniu.

Proces konfiguracji i konfiguracji

Ogólny proces konfiguracji i konfiguracji usługi Defender for Endpoint Plan 1 jest następujący:

Numer	Krok	Opis
1	Przejrzyj wymagania	Wyświetla listę wymagań dotyczących licencjonowania, przeglądarki, systemu operacyjnego i centrum danych
2	Planowanie wdrożenia	Wyświetla listę kilku metod wdrażania do rozważenia i zawiera linki do większej liczby zasobów, które pomogą Ci zdecydować, która metoda ma być używana
3	Konfigurowanie środowiska dzierżawy	Wyświetla listę zadań dotyczących konfigurowania środowiska dzierżawy
4	Przypisywanie ról i uprawnień	Wyświetla listę ról i uprawnień do rozważenia dla zespołu ds. zabezpieczeń PORADA: Po przypisaniu ról i uprawnień zespół ds. zabezpieczeń może rozpocząć pracę przy użyciu portalu usługi Microsoft Defender. Aby dowiedzieć się więcej, zobacz Wprowadzenie.
5	Dołączanie do usługi Defender dla punktu końcowego	Wyświetla listę kilku metod dołączania do usługi Defender for Endpoint Plan 1 przez system operacyjny i zawiera linki do bardziej szczegółowych informacji dla każdej metody
6	Konfigurowanie ochrony nowej generacji	Opis sposobu konfigurowania ustawień ochrony nowej generacji w usłudze Microsoft Intune
7	Konfigurowanie możliwości zmniejszania obszaru ataków	Zawiera listę typów możliwości zmniejszania obszaru ataków, które można skonfigurować i zawiera procedury z linkami do większej liczby zasobów

Przejrzyj wymagania

W poniższej tabeli wymieniono podstawowe wymagania dotyczące usługi Defender for Endpoint Plan 1:

Wymaganie	Opis
Wymagania dotyczące licencjonowania	Defender for Endpoint Plan 1 (autonomiczny lub jako część platformy Microsoft 365 E3 lub A3)
Wymagania przeglądarki	Microsoft Edge Internet Explorer w wersji 11 Google Chrome
Systemy operacyjne (klient)	Windows 11 Windows 10 w wersji 1709 lub nowszej macOS iOS System operacyjny Android
Systemy operacyjne (serwer)	Windows Server 2022 Windows Server 2019 Windows Server w wersji 1803 lub nowszej Systemy Windows Server 2016 i 2012 R2 są obsługiwane w przypadku korzystania z nowoczesnego ujednoliconego rozwiązania Serwer z systemem Linux
Datacenter	Jedna z następujących lokalizacji centrum danych: -Unia Europejska -Wielka Brytania -Stany Zjednoczone

Uwaga

Autonomiczna wersja usługi Defender for Endpoint Plan 1 nie zawiera licencji serwera. Aby dołączyć serwery, musisz uzyskać dodatkową licencję, taką jak:

• Microsoft Defender for Servers Plan 1 lub Plan 2 (w ramach oferty Defender for Cloud).
• Usługa Microsoft Defender dla punktu końcowego dla serwerów
• Serwery usługi Microsoft Defender dla Firm (dla małych i średnich firm)

Aby dowiedzieć się więcej. zobacz Defender for Endpoint onboarding Windows Server (Dołączanie punktu końcowego w usłudze Defender dla systemu Windows Server)

Planowanie wdrożenia

Podczas planowania wdrożenia można wybrać jedną z kilku różnych architektur i metod wdrażania. Każda organizacja jest unikatowa, więc masz kilka opcji do rozważenia, jak wymieniono w poniższej tabeli:

Metoda	Opis
Intune	Zarządzanie punktami końcowymi w środowisku natywnym chmury przy użyciu usługi Intune
Usługa Intune i program Configuration Manager	Zarządzanie punktami końcowymi i obciążeniami obejmującymi środowisko lokalne i w chmurze przy użyciu usługi Intune i programu Configuration Manager
Menedżer konfiguracji	Ochrona lokalnych punktów końcowych przy użyciu usługi Defender for Endpoint opartej na chmurze przy użyciu programu Configuration Manager
Skrypt lokalny pobrany z portalu usługi Microsoft Defender	Używanie skryptów lokalnych w punktach końcowych do uruchamiania pilotażu lub dołączania tylko kilku urządzeń

Aby dowiedzieć się więcej na temat opcji wdrażania, zobacz Planowanie wdrożenia usługi Defender for Endpoint. Pobierz następujący plakat:

Pobieranie plakatu wdrożenia

Porada

Aby uzyskać bardziej szczegółowe informacje na temat planowania wdrożenia, zobacz Planowanie wdrożenia usługi Microsoft Defender for Endpoint.

Konfigurowanie środowiska dzierżawy

Konfigurowanie środowiska dzierżawy obejmuje zadania, takie jak:

• Weryfikowanie licencji
• Konfigurowanie dzierżawy
• Konfigurowanie ustawień serwera proxy (tylko w razie potrzeby)
• Upewnianie się, że czujniki działają prawidłowo i raportują dane do usługi Defender for Endpoint

Te zadania są uwzględniane w fazie konfiguracji usługi Defender dla punktu końcowego. Zobacz Konfigurowanie usługi Defender dla punktu końcowego.

Przypisywanie ról i uprawnień

Aby uzyskać dostęp do portalu usługi Microsoft Defender, skonfigurować ustawienia usługi Defender dla punktu końcowego lub wykonać zadania, takie jak wykonywanie akcji reagowania na wykryte zagrożenia, należy przypisać odpowiednie uprawnienia. Usługa Defender for Endpoint używa wbudowanych ról w usłudze Microsoft Entra ID.

Firma Microsoft zaleca przypisanie użytkownikom tylko poziomu uprawnień potrzebnych do wykonywania zadań. Uprawnienia można przypisać przy użyciu podstawowego zarządzania uprawnieniami lub przy użyciu kontroli dostępu opartej na rolach (RBAC).

• W przypadku podstawowego zarządzania uprawnieniami administratorzy globalni i administratorzy zabezpieczeń mają pełny dostęp, natomiast czytelnicy zabezpieczeń mają dostęp tylko do odczytu.
• Za pomocą kontroli dostępu opartej na rolach można ustawić bardziej szczegółowe uprawnienia za pomocą większej liczby ról. Na przykład możesz mieć czytniki zabezpieczeń, operatory zabezpieczeń, administratorów zabezpieczeń, administratorów punktów końcowych i nie tylko.

W poniższej tabeli opisano kluczowe role, które należy wziąć pod uwagę w przypadku usługi Defender for Endpoint w organizacji:

Rola	Opis
Administratorzy globalni Najlepszym rozwiązaniem jest ograniczenie liczby administratorów globalnych.	Administratorzy globalni mogą wykonywać różnego rodzaju zadania. Osoba, która utworzyła firmę na platformie Microsoft 365 lub w usłudze Microsoft Defender for Endpoint Plan 1, jest domyślnie administratorem globalnym. Administratorzy globalni mogą uzyskiwać dostęp do ustawień i zmieniać je we wszystkich portalach platformy Microsoft 365, takich jak: — Centrum administracyjne platformy Microsoft 365 (https://admin.microsoft.com) — Portal usługi Microsoft Defender (https://security.microsoft.com) — Centrum administracyjne usługi Intune (https://endpoint.microsoft.com)
Administratorzy zabezpieczeń	Administratorzy zabezpieczeń mogą wykonywać zadania operatora zabezpieczeń oraz następujące zadania: — Monitorowanie zasad związanych z zabezpieczeniami — Zarządzanie zagrożeniami i alertami bezpieczeństwa — Wyświetlanie raportów
Operator zabezpieczeń	Operatorzy zabezpieczeń mogą wykonywać zadania czytelnika zabezpieczeń oraz następujące zadania: — Wyświetlanie informacji o wykrytych zagrożeniach - Badanie wykrytych zagrożeń i reagowanie na nie
Czytelnik zabezpieczeń	Czytelnicy zabezpieczeń mogą wykonywać następujące zadania: — Wyświetlanie zasad związanych z zabezpieczeniami w usługach Microsoft 365 — Wyświetlanie zagrożeń i alertów bezpieczeństwa — Wyświetlanie raportów

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Aby dowiedzieć się więcej na temat ról w usłudze Microsoft Entra ID, zobacz Przypisywanie ról administratora i nieadministratora do użytkowników z identyfikatorem Microsoft Entra. Więcej informacji na temat ról usługi Defender for Endpoint można znaleźć w temacie Kontrola dostępu oparta na rolach.

Dołączanie do usługi Defender dla punktu końcowego

Gdy wszystko będzie gotowe do dołączenia punktów końcowych organizacji, możesz wybrać jedną z kilku metod, jak pokazano w poniższej tabeli:

Punkt końcowy	Narzędzie do wdrażania
Windows	Skrypt lokalny (maksymalnie 10 urządzeń) Zasady grupy Microsoft Intune/ Mobile Device Manager Microsoft Endpoint Configuration Manager Skrypty VDI
macOS	Skrypt lokalny Microsoft Intune JAMF Pro Zarządzanie urządzeniami przenośnymi
Android	Microsoft Intune
iOS	Microsoft Intune Menedżer aplikacji mobilnych

Następnie przejdź do konfigurowania funkcji ochrony nowej generacji i zmniejszania obszaru podatnego na ataki.

Konfigurowanie ochrony nowej generacji

Zalecamy używanie usługi Intune do zarządzania urządzeniami i ustawieniami zabezpieczeń organizacji, jak pokazano na poniższej ilustracji:

Aby skonfigurować ochronę następnej generacji w usłudze Intune, wykonaj następujące kroki:

1. Przejdź do centrum administracyjnego usługi Intune (https://endpoint.microsoft.com) i zaloguj się.

2. Wybierz pozycjęProgram antywirusowy zabezpieczeń >punktu końcowego, a następnie wybierz istniejące zasady. (Jeśli nie masz istniejących zasad, utwórz nowe zasady).

3. Ustaw lub zmień ustawienia konfiguracji programu antywirusowego. Potrzebujesz pomocy? Zapoznaj się z następującymi zasobami:
   

   • Ustawienia zasad ochrony antywirusowej Microsoft Defender dla systemu Windows 10 w usłudze Microsoft Intune
   • Konfigurowanie usługi Defender dla punktu końcowego w funkcjach systemu iOS

4. Po zakończeniu określania ustawień wybierz pozycję Przejrzyj i zapisz.

Konfigurowanie możliwości zmniejszania obszaru ataków

Zmniejszenie obszaru podatnego na ataki polega na zmniejszeniu liczby miejsc i sposobów, w jakie organizacja jest otwarta na ataki. Usługa Defender for Endpoint Plan 1 zawiera kilka funkcji i możliwości, które ułatwiają ograniczenie obszarów ataków w punktach końcowych. Te funkcje i możliwości są wymienione w poniższej tabeli:

Funkcja/funkcja	Opis
Reguły zmniejszania obszaru podatnego na ataki	Skonfiguruj reguły zmniejszania obszaru ataków, aby ograniczyć ryzykowne zachowania oparte na oprogramowaniu i zapewnić bezpieczeństwo organizacji. Reguły zmniejszania obszaru ataków dotyczą pewnych zachowań oprogramowania, takich jak — Uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki — Uruchamianie zaciemnionych lub w inny sposób podejrzanych skryptów - Wykonywanie zachowań, które aplikacje zwykle nie inicjują podczas normalnej codziennej pracy Takie zachowania oprogramowania są czasami widoczne w legalnych aplikacjach. Jednak te zachowania są często uważane za ryzykowne, ponieważ są często nadużywane przez osoby atakujące przez złośliwe oprogramowanie.
Ograniczanie ryzyka wymuszania okupu	Skonfiguruj środki zaradcze wymuszające okup, konfigurując kontrolowany dostęp do folderów, co pomaga chronić cenne dane organizacji przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup.
Sterowanie urządzeniem	Skonfiguruj ustawienia sterowania urządzeniami dla organizacji, aby zezwalać na urządzenia wymienne lub blokować je (np. dyski USB).
Ochrona sieci	Skonfiguruj ochronę sieci, aby uniemożliwić osobom w organizacji korzystanie z aplikacji uzyskujących dostęp do niebezpiecznych domen lub złośliwej zawartości w Internecie.
Ochrona sieci Web	Skonfiguruj ochronę przed zagrożeniami internetowymi, aby chronić urządzenia organizacji przed witrynami wyłudzającymi informacje, witrynami wykorzystującymi luki w zabezpieczeniach i innymi niezaufanymi witrynami o niskiej reputacji. Skonfiguruj filtrowanie zawartości internetowej w celu śledzenia i regulowania dostępu do witryn internetowych na podstawie ich kategorii zawartości (takich jak wypoczynek, wysoka przepustowość, zawartość dla dorosłych lub odpowiedzialność prawna).
Zapora sieciowa	Skonfiguruj zaporę sieciową przy użyciu reguł określających, który ruch sieciowy może pochodzić z urządzeń organizacji lub z nich wychodzić.
Kontrola aplikacji	Skonfiguruj reguły kontroli aplikacji, jeśli chcesz zezwolić na uruchamianie tylko zaufanych aplikacji i procesów na urządzeniach z systemem Windows.

Reguły zmniejszania obszaru podatnego na ataki

Reguły zmniejszania obszaru ataków są dostępne na urządzeniach z systemem Windows. Zalecamy korzystanie z usługi Intune, jak pokazano na poniższej ilustracji:

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Wybierz pozycję Redukcja>obszaru ataków zabezpieczeń > punktu końcowego+ Utwórz zasady.

3. W obszarze Platforma wybierz pozycje Windows 10, Windows 11 i Windows Server.

4. W obszarze Profil wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki, a następnie wybierz pozycję Utwórz.

5. Na karcie Podstawy określ nazwę i opis zasad, a następnie wybierz pozycję Dalej.

6. Na karcie Ustawienia konfiguracji rozwiń pozycję Defender, skonfiguruj reguły zmniejszania obszaru ataków, a następnie wybierz pozycję Dalej. Aby uzyskać więcej informacji na temat reguł zmniejszania obszaru ataków, zobacz Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki.

   Zalecamy co najmniej włączenie następujących trzech standardowych reguł ochrony:

   • Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
   • Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
   • Blokowanie trwałości za pomocą subskrypcji zdarzeń Instrumentacji zarządzania Windows (WMI)

7. Na karcie Tagi zakresu , jeśli organizacja używa tagów zakresu, wybierz pozycję + Wybierz tagi zakresu, a następnie wybierz tagi, których chcesz użyć. Następnie wybierz pozycję Dalej.

   Aby dowiedzieć się więcej na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

8. Na karcie Przypisania określ użytkowników i grupy, do których mają być stosowane zasady, a następnie wybierz pozycję Dalej. (Aby dowiedzieć się więcej na temat przypisań, zobacz Przypisywanie profilów użytkowników i urządzeń w usłudze Microsoft Intune).

9. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz.

Porada

Aby dowiedzieć się więcej na temat reguł zmniejszania obszaru ataków, zobacz następujące zasoby:

• Używanie reguł zmniejszania obszaru ataków w celu zapobiegania infekcji złośliwym oprogramowaniem
• Wyświetlanie listy reguł zmniejszania obszaru ataków
• Wdrażanie reguł zmniejszania obszaru ataków Krok 3: Implementowanie reguł zmniejszania obszaru ataków

Ograniczanie ryzyka wymuszania okupu

Ograniczanie ryzyka wymuszania okupu odbywa się za pośrednictwem kontrolowanego dostępu do folderów, co umożliwia tylko zaufanym aplikacjom dostęp do chronionych folderów w punktach końcowych.

Zalecamy skonfigurowanie kontrolowanego dostępu do folderów przy użyciu usługi Intune.

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Przejdź do obszaru Zmniejszanieobszaru podatnego na ataki zabezpieczeń > punktu końcowego, a następnie wybierz pozycję + Utwórz zasady.

3. W obszarze Platforma wybierz pozycje Windows 10, Windows 11 i Windows Server, a w polu Profil wybierz pozycję Reguły zmniejszania obszaru ataków. Następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy nadaj zasadom nazwę i dodaj opis. Wybierz pozycję Dalej.

5. Na karcie Ustawienia konfiguracji w sekcji Defender przewiń w dół do dołu. Z listy rozwijanej Włącz dostęp do folderów kontrolowanych wybierz pozycję Włączone, a następnie wybierz pozycję Dalej.

   Opcjonalnie można określić następujące inne ustawienia:

   • Obok pozycji Foldery chronione dostępu do kontrolowanych folderów przełącz przełącznik na Skonfigurowano, a następnie dodaj foldery, które muszą być chronione.
   • Obok pozycji Kontrolowany dostęp do folderów Dozwolone aplikacje przełącz przełącznik na Skonfigurowano, a następnie dodaj aplikacje, które powinny mieć dostęp do chronionych folderów.

6. Na karcie Tagi zakresu , jeśli organizacja używa tagów zakresu, wybierz pozycję + Wybierz tagi zakresu, a następnie wybierz tagi, których chcesz użyć. Następnie wybierz pozycję Dalej. Aby dowiedzieć się więcej na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

7. Na karcie Przypisania wybierz pozycję Dodaj wszystkich użytkowników i + Dodaj wszystkie urządzenia, a następnie wybierz pozycję Dalej. (Możesz alternatywnie określić określone grupy użytkowników lub urządzeń).

8. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Utwórz. Zasady są stosowane do wszystkich punktów końcowych, które zostały wkrótce dołączone do usługi Defender for Endpoint.

Kontrola urządzenia

Usługę Defender for Endpoint można skonfigurować tak, aby blokowała lub zezwalała na wymienne urządzenia i pliki na urządzeniach wymiennych. Zalecamy skonfigurowanie ustawień sterowania urządzeniami przy użyciu usługi Intune.

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Wybierz pozycjęKonfiguracja>urządzeń>+ Utwórz>zasady tworzenia.

3. W obszarze Platforma wybierz profil, taki jak Windows 10 lub nowszy, a w polu Typ profilu wybierz pozycję Szablony.

   W obszarze Nazwa szablonu wybierz pozycję Szablony administracyjne, a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy nadaj zasadom nazwę i dodaj opis. Wybierz pozycję Dalej.

5. Na karcie Ustawienia konfiguracji wybierz pozycję Wszystkie ustawienia. Następnie w polu wyszukiwania wpisz Removable , aby wyświetlić wszystkie ustawienia dotyczące urządzeń wymiennych.

6. Wybierz element z listy, na przykład Wszystkie klasy magazynu wymiennego: Odmów wszystkim dostępom, aby otworzyć okienko wysuwane. Wysuwane dla każdego ustawienia wyjaśnia, co się dzieje, gdy jest włączone, wyłączone lub nieskonfigurowane. Wybierz ustawienie, a następnie wybierz przycisk OK.

7. Powtórz krok 6 dla każdego ustawienia, które chcesz skonfigurować. Następnie wybierz pozycję Dalej.

8. Na karcie Tagi zakresu , jeśli organizacja używa tagów zakresu, wybierz pozycję + Wybierz tagi zakresu, a następnie wybierz tagi, których chcesz użyć. Następnie wybierz pozycję Dalej.

   Aby dowiedzieć się więcej na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

9. Na karcie Przypisania wybierz pozycję Dodaj wszystkich użytkowników i + Dodaj wszystkie urządzenia, a następnie wybierz pozycję Dalej. (Możesz alternatywnie określić określone grupy użytkowników lub urządzeń).

10. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Utwórz. Zasady są stosowane do wszystkich punktów końcowych, które zostały wkrótce dołączone do usługi Defender for Endpoint.

Porada

Aby uzyskać więcej informacji, zobacz How to control USB devices and other removable media using Microsoft Defender for Endpoint (Jak kontrolować urządzenia USB i inne nośniki wymienne przy użyciu usługi Microsoft Defender for Endpoint).

Ochrona sieci

Dzięki ochronie sieci możesz chronić organizację przed niebezpiecznymi domenami, które mogą hostować wyłudzanie informacji, luki w zabezpieczeniach i inną złośliwą zawartość w Internecie. Zalecamy włączenie ochrony sieci przy użyciu usługi Intune.

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Wybierz pozycjęKonfiguracja>urządzeń>+ Utwórz>zasady tworzenia.

3. W obszarze Platforma wybierz profil, taki jak Windows 10 lub nowszy, a w polu Typ profilu wybierz pozycję Szablony.

   W obszarze Nazwa szablonu wybierz pozycję Ochrona punktu końcowego, a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy nadaj zasadom nazwę i dodaj opis. Wybierz pozycję Dalej.

5. Na karcie Ustawienia konfiguracji rozwiń węzeł Microsoft Defender Exploit Guard, a następnie rozwiń węzeł Filtrowanie sieci.

   Ustaw opcję Ochrona sieci na Wartość Włącz. (Możesz na początku wybrać opcję Inspekcja , aby zobaczyć, jak działa ochrona sieci w twoim środowisku).

   Następnie wybierz pozycję Dalej.

6. Na karcie Przypisania wybierz pozycję Dodaj wszystkich użytkowników i + Dodaj wszystkie urządzenia, a następnie wybierz pozycję Dalej. (Możesz alternatywnie określić określone grupy użytkowników lub urządzeń).

7. Na karcie Reguły stosowania skonfiguruj regułę. Skonfigurowany profil jest stosowany tylko do urządzeń spełniających określone połączone kryteria.

   Na przykład można przypisać zasady do punktów końcowych, w których działa tylko określona wersja systemu operacyjnego.

   Następnie wybierz pozycję Dalej.

8. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Utwórz. Zasady są stosowane do wszystkich punktów końcowych, które zostały wkrótce dołączone do usługi Defender for Endpoint.

Porada

Aby włączyć ochronę sieci, można użyć innych metod, takich jak program Windows PowerShell lub zasady grupy. Aby dowiedzieć się więcej, zobacz Włączanie ochrony sieci.

Ochrona sieci Web

Dzięki ochronie w Internecie można chronić urządzenia organizacji przed zagrożeniami internetowymi i niepożądaną zawartością. Ochrona w Internecie obejmuje ochronę przed zagrożeniami internetowymi i filtrowanie zawartości internetowej. Skonfiguruj oba zestawy możliwości. Zalecamy skonfigurowanie ustawień ochrony sieci Web przy użyciu usługi Intune.

Konfigurowanie ochrony przed zagrożeniami internetowymi

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Wybierz pozycjęZmniejszanie obszaru ataków zabezpieczeń >punktu końcowego, a następnie wybierz pozycję + Utwórz zasady.

3. Wybierz platformę, taką jak Windows 10 i nowsze, wybierz profil Ochrony sieci Web , a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy określ nazwę i opis, a następnie wybierz pozycję Dalej.

5. Na karcie Ustawienia konfiguracji rozwiń węzeł Web Protection, określ ustawienia w poniższej tabeli, a następnie wybierz pozycję Dalej.
   
   

   Ustawienie	Zalecenie
   Włączanie ochrony sieci	Ustaw wartość Włączone. Uniemożliwia użytkownikom odwiedzanie złośliwych witryn lub domen. Alternatywnie możesz ustawić ochronę sieci na tryb inspekcji , aby zobaczyć, jak działa w twoim środowisku. W trybie inspekcji ochrona sieci nie uniemożliwia użytkownikom odwiedzania witryn ani domen, ale śledzi wykrycia jako zdarzenia.
   Wymagaj filtra SmartScreen dla starszej wersji przeglądarki Microsoft Edge	Ustaw wartość Tak. Pomaga chronić użytkowników przed potencjalnym wyłudzaniem informacji i złośliwym oprogramowaniem.
   Blokuj dostęp do złośliwej witryny	Ustaw wartość Tak. Uniemożliwia użytkownikom pomijanie ostrzeżeń dotyczących potencjalnie złośliwych witryn.
   Blokuj pobieranie niezweryfikowanych plików	Ustaw wartość Tak. Uniemożliwia użytkownikom pomijanie ostrzeżeń i pobieranie niezweryfikowanych plików.

6. Na karcie Tagi zakresu , jeśli organizacja używa tagów zakresu, wybierz pozycję + Wybierz tagi zakresu, a następnie wybierz tagi, których chcesz użyć. Następnie wybierz pozycję Dalej.

   Aby dowiedzieć się więcej na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

7. Na karcie Przypisania określ użytkowników i urządzenia, które mają otrzymywać zasady ochrony sieci Web, a następnie wybierz pozycję Dalej.

8. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Utwórz.

Porada

Aby dowiedzieć się więcej na temat ochrony przed zagrożeniami w Internecie, zobacz Ochrona organizacji przed zagrożeniami internetowymi.

Konfigurowanie filtrowania zawartości internetowej

1. Przejdź do portalu usługi Microsoft Defender i zaloguj się.

2. Wybierz pozycję Ustawienia>Punkty końcowe.

3. W obszarze Reguły wybierz pozycję Filtrowanie zawartości sieci Web, a następnie wybierz pozycję + Dodaj zasady.

4. W menu wysuwnym Dodawanie zasad na karcie Ogólne określ nazwę zasad, a następnie wybierz pozycję Dalej.

5. W obszarze Zablokowane kategorie wybierz co najmniej jedną kategorię, którą chcesz zablokować, a następnie wybierz pozycję Dalej.

6. Na karcie Zakres wybierz grupy urządzeń, które chcesz otrzymać te zasady, a następnie wybierz pozycję Dalej.

7. Na karcie Podsumowanie przejrzyj ustawienia zasad, a następnie wybierz pozycję Zapisz.

Porada

Aby dowiedzieć się więcej na temat konfigurowania filtrowania zawartości internetowej, zobacz Filtrowanie zawartości sieci Web.

Zapora sieciowa

Zapora sieciowa pomaga zmniejszyć ryzyko zagrożeń bezpieczeństwa sieci. Twój zespół ds. zabezpieczeń może ustawić reguły określające, który ruch może przepływać do lub z urządzeń organizacji. Zalecamy skonfigurowanie zapory sieciowej przy użyciu usługi Intune.

::: alt-text="Zrzut ekranu zasad zapory w portalu usługi Intune.":::

Aby skonfigurować podstawowe ustawienia zapory, wykonaj następujące kroki:

1. Przejdź do centrum administracyjnego usługi Intune i zaloguj się.

2. Wybierz pozycjęZapora zabezpieczeń >punktu końcowego, a następnie wybierz pozycję + Utwórz zasady.

3. Wybierz platformę, taką jak Windows 10, Windows 11 i Windows Server, wybierz profil Zapora firmy Microsoft , a następnie wybierz pozycję Utwórz.

4. Na karcie Podstawy określ nazwę i opis, a następnie wybierz pozycję Dalej.

5. Rozwiń węzeł Zapora, a następnie przewiń w dół do dołu listy.

6. Dla każdego z następujących ustawień ustaw wartość True:

   • Włączanie zapory sieci domenowej
   • Włączanie zapory sieci prywatnej
   • Włączanie zapory sieci publicznej

   Przejrzyj listę ustawień w każdej z sieci domenowych, sieci prywatnych i sieci publicznych. Możesz pozostawić dla nich ustawienie Nieskonfigurowane lub zmienić je zgodnie z potrzebami organizacji.

   Następnie wybierz pozycję Dalej.

7. Na karcie Tagi zakresu , jeśli organizacja używa tagów zakresu, wybierz pozycję + Wybierz tagi zakresu, a następnie wybierz tagi, których chcesz użyć. Następnie wybierz pozycję Dalej.

   Aby dowiedzieć się więcej na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT.

8. Na karcie Przypisania wybierz pozycję Dodaj wszystkich użytkowników i + Dodaj wszystkie urządzenia, a następnie wybierz pozycję Dalej. (Możesz alternatywnie określić określone grupy użytkowników lub urządzeń).

9. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia zasad, a następnie wybierz pozycję Utwórz.

Porada

Ustawienia zapory są szczegółowe i mogą wydawać się skomplikowane. Zapoznaj się z tematem Najlepsze rozwiązania dotyczące konfigurowania zapory usługi Windows Defender.

Kontrola aplikacji

Kontrola aplikacji usługi Windows Defender (WDAC) pomaga chronić punkty końcowe systemu Windows, zezwalając tylko na uruchamianie zaufanych aplikacji i procesów. Większość organizacji korzystała z wdrożenia etapowego usługi WDAC. Oznacza to, że większość organizacji na początku nie wdraża funkcji WDAC we wszystkich punktach końcowych systemu Windows. W rzeczywistości w zależności od tego, czy punkty końcowe systemu Windows w organizacji są w pełni zarządzane, lekko zarządzane, czy też punkty końcowe "Przynieś własne urządzenie", możesz wdrożyć usługę WDAC we wszystkich punktach końcowych lub w niektórych punktach końcowych.

Aby pomóc w planowaniu wdrożenia usługi WDAC, zobacz następujące zasoby:

• Kontrola aplikacji dla systemu Windows

• Decyzje dotyczące projektowania zasad kontroli aplikacji w usłudze Windows Defender

• Wdrażanie kontroli aplikacji w usłudze Windows Defender w różnych scenariuszach: typy urządzeń

Następne kroki

Po zakończeniu procesu konfiguracji i konfiguracji następnym krokiem jest rozpoczęcie korzystania z usługi Defender for Endpoint.

• Wprowadzenie do usługi Defender for Endpoint Plan 1

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.