Chroń sieć

  • Artykuł

Dotyczy:

Platformy

  • System Windows
  • macOS
  • Linux

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto bezpłatnej wersji próbnej.

Omówienie ochrony sieci

Ochrona sieci pomaga chronić urządzenia przed zdarzeniami internetowymi. Ochrona sieci to możliwość zmniejszania obszaru podatnego na ataki. Pomaga to uniemożliwić pracownikom dostęp do niebezpiecznych domen za pośrednictwem aplikacji. Domeny hostujące wyłudzanie informacji, luki w zabezpieczeniach i inne złośliwe treści w Internecie są uważane za niebezpieczne. Ochrona sieci rozszerza zakres Microsoft Defender SmartScreen, aby zablokować cały wychodzący ruch HTTP(S), który próbuje nawiązać połączenie ze źródłami o niskiej reputacji (na podstawie domeny lub nazwy hosta).

Ochrona sieci rozszerza ochronę w sieci Web na poziom systemu operacyjnego i jest podstawowym składnikiem filtrowania zawartości sieci Web (WCF). Udostępnia ona funkcje ochrony sieci Web znajdujące się w przeglądarce Microsoft Edge innym obsługiwanym przeglądarom i aplikacjom innym niż przeglądarki. Ochrona sieci zapewnia również widoczność i blokowanie wskaźników naruszenia zabezpieczeń (IOC) w przypadku użycia z wykrywaniem punktów końcowych i reagowaniem na nie. Na przykład ochrona sieci działa z niestandardowymi wskaźnikami , których można użyć do blokowania określonych domen lub nazw hostów.

Pokrycie ochrony sieci

Poniższa tabela zawiera podsumowanie obszarów ochrony sieci.

Funkcja Microsoft Edge Przeglądarki innych firm Procesy inne niż przeglądarki
(np. program PowerShell)
Ochrona przed zagrożeniami w sieci Web Filtr SmartScreen musi być włączony Ochrona sieci musi być w trybie bloku Ochrona sieci musi być w trybie bloku
Wskaźniki niestandardowe Filtr SmartScreen musi być włączony Ochrona sieci musi być w trybie bloku Ochrona sieci musi być w trybie bloku
Filtrowanie zawartości sieci Web Filtr SmartScreen musi być włączony Ochrona sieci musi być w trybie bloku Nieobsługiwane

Uwaga

W systemach Mac i Linux musisz mieć ochronę sieci w trybie bloku, aby uzyskać obsługę tych funkcji w przeglądarce Edge. W systemie Windows ochrona sieci nie monitoruje przeglądarki Microsoft Edge. W przypadku procesów innych niż Microsoft Edge i Internet Explorer scenariusze ochrony sieci Web wykorzystują ochronę sieci do inspekcji i wymuszania.

  • Adres IP jest obsługiwany dla wszystkich trzech protokołów (TCP, HTTP i HTTPS (TLS)).
  • W niestandardowych wskaźnikach są obsługiwane tylko pojedyncze adresy IP (brak bloków CIDR ani zakresów adresów IP).
  • Zaszyfrowane adresy URL (pełna ścieżka) mogą być blokowane tylko w przeglądarkach innych firm (Internet Explorer, Edge).
  • Zaszyfrowane adresy URL (tylko nazwa FQDN) mogą być blokowane w przeglądarkach innych firm (np. innych niż Internet Explorer, Edge).
  • Dla niezaszyfrowanych adresów URL można stosować bloki pełnej ścieżki adresu URL.

Między czasem wykonania akcji a zablokowaniem adresu URL i adresu IP może wystąpić do 2 godzin opóźnienia (zwykle mniej).

Obejrzyj ten film wideo, aby dowiedzieć się, w jaki sposób ochrona sieci pomaga ograniczyć obszar ataków urządzeń przed oszustwami wyłudzania informacji, lukami w zabezpieczeniach i inną złośliwą zawartością.

Wymagania dotyczące ochrony sieci

Ochrona sieci wymaga Windows 10 lub 11 (Pro lub Enterprise), systemu Windows Server w wersji 1803 lub nowszej, systemu macOS w wersji 11 lub nowszej albo obsługiwanych przez usługę Defender wersji systemu Linux oraz ochrony antywirusowej Microsoft Defender w czasie rzeczywistym.

Wersje systemu Windows Program antywirusowy Microsoft Defender
Windows 10 wersji 1709 lub nowszej, Windows 11, Windows Server 1803 lub nowszej Upewnij się, że Microsoft Defender ochrona antywirusowa w czasie rzeczywistym, monitorowanie zachowania i ochrona dostarczana przez chmurę są włączone (aktywne)
Windows Server 2012 R2 i Windows Server 2016 za pomocą ujednoliconego agenta Aktualizacja platformy w wersji 4.18.2001.x.x lub nowszej

Dlaczego ochrona sieci jest ważna

Ochrona sieci jest częścią grupy redukcji obszaru ataków rozwiązań w Ochrona punktu końcowego w usłudze Microsoft Defender. Ochrona sieci umożliwia warstwie sieciowej blokowanie adresów URL i adresów IP. Ochrona sieci może blokować dostęp do adresów URL przy użyciu niektórych przeglądarek i standardowych połączeń sieciowych. Domyślnie ochrona sieci chroni komputery przed znanymi złośliwymi adresami URL przy użyciu kanału informacyjnego SmartScreen, który blokuje złośliwe adresy URL w sposób podobny do filtru SmartScreen w przeglądarce Microsoft Edge. Funkcje ochrony sieci można rozszerzyć na:

Ochrona sieci jest kluczową częścią stosu ochrony i odpowiedzi firmy Microsoft.

Porada

Aby uzyskać szczegółowe informacje na temat ochrony sieci dla systemów Windows Server, Linux, MacOS i Mobile Threat Defense (MTD), zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń.

Blokuj ataki poleceń i kontroli

Komputery serwera poleceń i kontroli (C2) są używane przez złośliwych użytkowników do wysyłania poleceń do systemów, które zostały wcześniej naruszone przez złośliwe oprogramowanie. Ataki C2 zwykle ukrywają się w usługach opartych na chmurze, takich jak udostępnianie plików i usługi poczty internetowej, co umożliwia serwerom C2 uniknięcie wykrycia przez połączenie się z typowym ruchem.

Serwerów C2 można używać do inicjowania poleceń, które mogą:

  • Kradzież danych
  • Kontrolowanie komputerów z naruszonymi zabezpieczeniami w sieci botnet
  • Zakłócanie legalnych aplikacji
  • Rozprzestrzenianie złośliwego oprogramowania, takiego jak oprogramowanie wymuszające okup

Składnik ochrony sieci w usłudze Defender for Endpoint identyfikuje i blokuje połączenia z infrastrukturami C2 używanymi w atakach wymuszania okupu obsługiwanych przez człowieka przy użyciu technik takich jak uczenie maszynowe i inteligentna identyfikacja wskaźnika naruszenia zabezpieczeń (IoC).

Ochrona sieci: wykrywanie i korygowanie C2

W początkowej formie oprogramowanie wymuszające okup jest zagrożeniem towarowym, wstępnie zaprogramowanym i skoncentrowanym na ograniczonych, konkretnych wynikach (na przykład szyfrowaniu komputera). Jednak oprogramowanie wymuszające okup przekształciło się w zaawansowane zagrożenie, które jest oparte na człowieku, adaptacyjne i koncentruje się na większej skali i bardziej rozpowszechnionych wynikach, takich jak przechowywanie zasobów lub danych całej organizacji dla okupu.

Obsługa serwerów dowodzenia i kontroli (C2) jest kluczowym elementem tej ewolucji oprogramowania wymuszającego okup i umożliwia tym atakom dostosowanie się do środowiska, do którego są przeznaczone. Przerwanie linku do infrastruktury dowodzenia i kontroli zatrzymuje postęp ataku do następnego etapu. Aby uzyskać dodatkowe informacje na temat wykrywania i korygowania C2, zobacz Wykrywanie i korygowanie ataków poleceń i kontroli w warstwie sieciowej.

Ochrona sieci: nowe powiadomienia wyskakujące

Nowe mapowanie Kategoria odpowiedzi Źródeł
Phishing Wyłudzanie informacji Filtr smartscreen
Złośliwy Złośliwy Filtr smartscreen
polecenie i kontrolka C2 Filtr smartscreen
polecenie i kontrolka COCO Filtr smartscreen
Złośliwy Niezaufanych Filtr smartscreen
przez administratora IT CustomBlockList
przez administratora IT CustomPolicy

Uwaga

customAllowList nie generuje powiadomień w punktach końcowych.

Nowe powiadomienia dotyczące określania ochrony sieci

Nowa, publicznie dostępna funkcja ochrony sieci wykorzystuje funkcje w filtrze SmartScreen do blokowania działań wyłudzających informacje ze złośliwych witryn poleceń i kontroli.

Gdy użytkownik końcowy próbuje odwiedzić witrynę internetową w środowisku, w którym włączono ochronę sieci, możliwe są trzy scenariusze:

  • Adres URL ma znaną dobrą reputację — w tym przypadku użytkownik ma dozwolony dostęp bez przeszkód i w punkcie końcowym nie jest wyświetlane wyskakujące powiadomienie. W efekcie domena lub adres URL jest ustawiona na wartość Dozwolone.
  • Adres URL ma nieznaną lub niepewną reputację — dostęp użytkownika jest zablokowany, ale z możliwością obejścia (odblokowania) bloku. W efekcie domena lub adres URL jest ustawiona na Inspekcja.
  • Adres URL ma znaną złą (złośliwą) reputację — użytkownik nie może uzyskać dostępu. W efekcie domena lub adres URL jest ustawiona na wartość Blokuj.

Ostrzeżenie o środowisku

Użytkownik odwiedza witrynę internetową:

  • Jeśli adres URL ma nieznaną lub niepewną reputację, wyskakujące powiadomienie wyświetli użytkownikowi następujące opcje:

    • Ok — powiadomienie wyskakujące jest zwalniane (usuwane), a próba uzyskania dostępu do witryny została zakończona.

    • Odblokuj — użytkownik będzie miał dostęp do witryny przez 24 godziny; w którym momencie blok jest reenabled. Użytkownik może nadal używać funkcji Odblokuj , aby uzyskać dostęp do witryny do czasu, gdy administrator zabroni (blokuje) witryny, usuwając w ten sposób opcję Odblokuj.

    • Opinia — wyskakujące powiadomienie przedstawia użytkownikowi link do przesłania biletu, którego użytkownik może użyć do przesłania opinii do administratora w celu uzasadnienia dostępu do witryny.

      Wyświetla powiadomienie ostrzeżenia o wyłudzaniu informacji o zawartości ochrony sieci.

    Uwaga

    Obrazy wyświetlane tutaj w celu ostrzeżenia środowiska i blokowania (poniżej) zawierają listę "zablokowany adres URL" jako przykładowy tekst zastępczy; W środowisku funkcjonującym zostanie wyświetlony rzeczywisty adres URL lub domena.

Zablokuj środowisko

Użytkownik odwiedza witrynę internetową:

  • Jeśli adres URL ma złą reputację, wyskakujące powiadomienie wyświetli użytkownikowi następujące opcje:

    • Ok Powiadomienie wyskakujące jest zwalniane (usuwane), a próba uzyskania dostępu do witryny została zakończona.

    • Opinie Wyskakujące powiadomienie przedstawia użytkownikowi link do przesłania biletu, za pomocą którego użytkownik może przesłać opinię do administratora, próbując uzasadnić dostęp do witryny.

      Pokazuje powiadomienie o blokadzie znanej zawartości wyłudzającej informacje dotyczące ochrony sieci.

Odblokuj filtr SmartScreen

Dzięki wskaźnikom w usłudze Defender for Endpoint administratorzy mogą zezwolić użytkownikom końcowym na pomijanie ostrzeżeń generowanych dla niektórych adresów URL i adresów IP. W zależności od tego, dlaczego adres URL został zablokowany, napotkany blok SmartScreen może oferować możliwość odblokowania witryny przez maksymalnie 24 godziny. W takich przypadkach zostanie wyświetlone powiadomienie Zabezpieczenia Windows wyskakujące, co umożliwi użytkownikowi końcowemu odblokowanie adresu URL lub adresu IP przez zdefiniowany okres.

Zabezpieczenia Windows powiadomienia o ochronie sieci.

Ochrona punktu końcowego w usłudze Microsoft Defender administratorzy mogą skonfigurować funkcję Odblokuj filtr SmartScreen w portalu Microsoft Defender przy użyciu wskaźnika "zezwalaj" dla adresów IP, adresów URL i domen.

Formularz ulr i adres IP ochrony sieci smartscreen konfiguracji bloku.

Zobacz Twórca wskaźniki adresów IP i adresów URL/domen.

Korzystanie z ochrony sieci

Ochrona sieci jest włączona dla każdego urządzenia, co zwykle odbywa się przy użyciu infrastruktury zarządzania. Aby uzyskać obsługiwane metody, zobacz Włączanie ochrony sieci.

Uwaga

Microsoft Defender program antywirusowy musi być aktywny, aby włączyć ochronę sieci.

Ochronę sieci można włączyć w trybie inspekcji lub w trybie bloku . Jeśli chcesz ocenić wpływ włączenia ochrony sieci przed faktycznym zablokowaniem adresów IP lub adresów URL, możesz włączyć ochronę sieci w trybie inspekcji na czas, aby zebrać dane dotyczące tego, co byłoby zablokowane. Dzienniki trybu inspekcji, gdy użytkownicy końcowi nawiązali połączenie z adresem lub lokacją, która w przeciwnym razie zostałaby zablokowana przez ochronę sieci. Należy pamiętać, że aby wskaźniki naruszenia zabezpieczeń (IoC) lub filtrowania zawartości sieci Web (WCF) działały, ochrona sieci musi być w trybie bloku

Aby uzyskać informacje o ochronie sieci dla systemów Linux i macOS, zobacz: Ochrona sieci dla systemu Linux i ochrona sieci dla systemu macOS.

Zaawansowane wyszukiwanie zagrożeń

Jeśli używasz zaawansowanego wyszukiwania zagrożeń do identyfikowania zdarzeń inspekcji, będziesz mieć do 30-dniową historię dostępną w konsoli programu . Zobacz Zaawansowane wyszukiwanie zagrożeń.

Zdarzenia inspekcji można znaleźć w obszarze Zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender for Endpoint (https://security.microsoft.com).

Zdarzenia inspekcji znajdują się w obszarze DeviceEvents z elementem ActionType .ExploitGuardNetworkProtectionAudited Bloki są wyświetlane z elementem ActionType z wartością ExploitGuardNetworkProtectionBlocked.

Oto przykładowe zapytanie dotyczące wyświetlania zdarzeń usługi Network Protection dla przeglądarek innych firm:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Zaawansowane wyszukiwanie zagrożeń dotyczących inspekcji i identyfikowania zdarzeń.

Porada

Te wpisy zawierają dane w kolumnie AdditionalFields , które zawierają doskonałe informacje dotyczące akcji, jeśli rozwiniesz pole Dodatkowe, możesz również uzyskać pola: IsAudit, ResponseCategory i DisplayName.

Oto kolejny przykład:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Kategoria Odpowiedź informuje o przyczynach zdarzenia, na przykład:

Kategoria odpowiedzi Funkcja odpowiedzialna za zdarzenie
CustomPolicy WCF
CustomBlockList Wskaźniki niestandardowe
CasbPolicy Defender for Cloud Apps
Złośliwy Zagrożenia internetowe
Wyłudzanie informacji Zagrożenia internetowe

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z blokami punktów końcowych.

Należy pamiętać, że Microsoft Defender zdarzenia filtru SmartScreen w przeglądarce Microsoft Edge wymagają innego zapytania:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Możesz użyć wynikowej listy adresów URL i adresów IP, aby określić, co zostałoby zablokowane, gdyby urządzenie było w trybie bloku i która funkcja je zablokowała. Przejrzyj każdy element na liście, aby zidentyfikować adresy URL lub adresy IP, niezależnie od tego, czy są niezbędne dla danego środowiska. Jeśli znajdziesz wszystkie wpisy, które zostały zbadane, które mają kluczowe znaczenie dla środowiska, utwórz wskaźnik zezwalający na nie w sieci. Wskaźniki zezwalania na adres URL/ADRES IP mają pierwszeństwo przed dowolnym blokiem.

Po utworzeniu wskaźnika możesz przyjrzeć się rozwiązaniu podstawowego problemu:

  • SmartScreen — przegląd żądań
  • Wskaźnik — modyfikowanie istniejącego wskaźnika
  • MCA — przeglądanie nieusankcjonowanych aplikacji
  • WCF — ponowna kategoryzacja żądania

Korzystając z tych danych, możesz podjąć świadomą decyzję o włączeniu ochrony sieci w trybie bloku. Zobacz Kolejność pierwszeństwa dla bloków ochrony sieci.

Uwaga

Ponieważ jest to ustawienie dla poszczególnych urządzeń, jeśli istnieją urządzenia, które nie mogą przejść do trybu bloku, możesz po prostu pozostawić je w inspekcji, dopóki nie będzie można naprawić wyzwania i nadal będą otrzymywać zdarzenia inspekcji.

Aby uzyskać informacje o sposobie zgłaszania wyników fałszywie dodatnich, zobacz Zgłaszanie wyników fałszywie dodatnich.

Aby uzyskać szczegółowe informacje na temat tworzenia własnych raportów usługi Power BI, zobacz Twórca raportów niestandardowych przy użyciu usługi Power BI.

Konfigurowanie ochrony sieci

Aby uzyskać więcej informacji na temat włączania ochrony sieci, zobacz Włączanie ochrony sieci. Użyj zasady grupy, programu PowerShell lub dostawców CSP mdm, aby włączyć ochronę sieci w sieci i zarządzać nią.

Po włączeniu ochrony sieci może być konieczne skonfigurowanie sieci lub zapory w celu zezwolenia na połączenia między urządzeniami punktu końcowego i usługami internetowymi:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Wyświetlanie zdarzeń ochrony sieci

Ochrona sieci działa najlepiej z Ochrona punktu końcowego w usłudze Microsoft Defender, co zapewnia szczegółowe raportowanie zdarzeń i bloków ochrony przed lukami w zabezpieczeniach w ramach scenariuszy badania alertów.

Gdy ochrona sieci blokuje połączenie, z Centrum akcji jest wyświetlane powiadomienie. Twój zespół ds. operacji zabezpieczeń może dostosować powiadomienie przy użyciu szczegółów i informacji kontaktowych organizacji. Ponadto można włączyć i dostosować poszczególne reguły zmniejszania obszaru podatnego na ataki, aby dostosować je do określonych technik monitorowania.

Możesz również użyć trybu inspekcji , aby ocenić, w jaki sposób ochrona sieci wpłynie na organizację, jeśli zostałaby włączona.

Przeglądanie zdarzeń ochrony sieci w portalu Microsoft Defender

Usługa Defender for Endpoint udostępnia szczegółowe raporty dotyczące zdarzeń i bloków w ramach scenariuszy badania alertów. Te szczegóły można wyświetlić w portalu Microsoft Defender (https://security.microsoft.com) w kolejce alertów lub przy użyciu zaawansowanego wyszukiwania zagrożeń. Jeśli używasz trybu inspekcji, możesz użyć zaawansowanego wyszukiwania zagrożeń, aby zobaczyć, jak ustawienia ochrony sieci wpłyną na środowisko, jeśli zostaną włączone.

Przejrzyj zdarzenia ochrony sieci w systemie Windows Podgląd zdarzeń

Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia, które są tworzone, gdy ochrona sieci blokuje (lub przeprowadza inspekcje) dostęp do złośliwego adresu IP lub domeny:

  1. Skopiuj plik XML bezpośrednio.

  2. Wybierz przycisk OK.

Ta procedura tworzy widok niestandardowy, który filtruje tylko następujące zdarzenia związane z ochroną sieci:

Identyfikator zdarzenia Opis
5007 Zdarzenie po zmianie ustawień
1125 Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie inspekcji
1126 Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie bloku

Ochrona sieci i trójstopnie uzgadnianie protokołu TCP

W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccessDeviceNetworkEvents akcji, mimo że witryna została zablokowana. DeviceNetworkEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.

Oto przykład tego, jak to działa:

  1. Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.

  2. Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem DeviceNetworkEvents jest rejestrowana akcja, a jej ActionType nazwa jest wyświetlana jako ConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.

  3. W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno DeviceNetworkEvents i AlertEvidence. Widać, że witryna została zablokowana, mimo że masz DeviceNetworkEvents również element o typie ActionType .ConnectionSuccess

Zagadnienia dotyczące pulpitu wirtualnego systemu Windows uruchomionego Windows 10 Enterprise wielu sesjach

Ze względu na charakter wielu użytkowników Windows 10 Enterprise należy pamiętać o następujących kwestiach:

  1. Ochrona sieci jest funkcją dla całego urządzenia i nie może być przeznaczona dla określonych sesji użytkowników.

  2. Zasady filtrowania zawartości sieci Web są również na całym urządzeniu.

  3. Jeśli chcesz odróżnić grupy użytkowników, rozważ utworzenie oddzielnych pul hostów i przypisań usługi Windows Virtual Desktop.

  4. Przetestuj ochronę sieci w trybie inspekcji, aby ocenić jej zachowanie przed wdrożeniem.

  5. Rozważ zmiany rozmiaru wdrożenia, jeśli masz dużą liczbę użytkowników lub dużą liczbę sesji z wieloma użytkownikami.

Alternatywna opcja ochrony sieci

W przypadku ujednoliconego klienta MDE systemu Windows Server 2012R2/2016, systemu Windows Server w wersji 1803 lub nowszej, systemu Windows Server 2019 lub nowszego oraz Windows 10 Enterprise wielosesyjnych 1909 i nowszych, używanych w programie Windows Virtual Desktop na platformie Azure, można włączyć ochronę sieci dla przeglądarki Microsoft Edge przy użyciu następującej metody:

  1. Użyj opcji Włącz ochronę sieci i postępuj zgodnie z instrukcjami, aby zastosować zasady.

  2. Wykonaj następujące polecenia programu PowerShell:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Uwaga

W niektórych przypadkach, w zależności od infrastruktury, ilości ruchu i innych warunków, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 może mieć wpływ na wydajność sieci.

Ochrona sieci dla systemu Windows Server

Poniżej przedstawiono informacje specyficzne dla systemu Windows Server.

Sprawdź, czy ochrona sieci jest włączona

Sprawdź, czy ochrona sieci jest włączona na urządzeniu lokalnym przy użyciu Redaktor rejestru.

  1. Wybierz przycisk Start na pasku zadań i wpisz regedit, aby otworzyć Redaktor rejestru.

  2. Wybierz pozycję HKEY_LOCAL_MACHINE z menu bocznego.

  3. Przejdź przez zagnieżdżone menu dopozycji Zasady>oprogramowania>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Jeśli klucz nie jest obecny, przejdź do obszaru OPROGRAMOWANIE>Microsoft>> Windows Defender Windows Defender Exploit Guard>Network Protection)

  4. Wybierz pozycję EnableNetworkProtection , aby wyświetlić bieżący stan ochrony sieci na urządzeniu:

    • 0 = Wyłączone
    • 1 = Włączone (włączone)
    • 2 = Tryb inspekcji

Aby uzyskać dodatkowe informacje, zobacz: Włączanie ochrony sieci

Sugestia ochrony sieci

W przypadku ujednoliconego klienta MDE systemu Windows Server 2012R2/2016, systemu Windows Server w wersji 1803 lub nowszej, systemu Windows Server 2019 lub nowszego oraz Windows 10 Enterprise wielosesyjnych 1909 i nowszych (używanych w programie Windows Virtual Desktop na platformie Azure) należy włączyć dodatkowe klucze rejestru:

HKEY_LOCAL_MACHINE\OPROGRAMOWANIA\Microsoft\\ Windows Defender Windows Defender Exploit Guard\Network Protection

  • AllowNetworkProtectionOnWinServer (dword) 1 (szesnastkowa)
  • EnableNetworkProtection (dword) 1 (szesnastkowa)
  • AllowNetworkProtectionDownLevel (dword) 1 (szesnastkowa) — Windows Server 2012R2 i tylko Windows Server 2016

Uwaga

W zależności od infrastruktury, natężenia ruchu i innych warunków HKEY_LOCAL_MACHINE\zasad\oprogramowania\firmy Microsoft\Windows Defender \NIS\Consumers\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (szesnastkowa) może mieć wpływ na wydajność sieci.

Aby uzyskać dodatkowe informacje, zobacz: Włączanie ochrony sieci

Konfiguracja systemu Windows Server i wielu sesji systemu Windows wymaga programu PowerShell

W przypadku systemów Windows Server i Windows Multi-session istnieją dodatkowe elementy, które należy włączyć przy użyciu poleceń cmdlet programu PowerShell. W przypadku ujednoliconego klienta MDE systemu Windows Server 2012R2/2016, systemu Windows Server w wersji 1803 lub nowszej, systemu Windows Server 2019 lub nowszego oraz Windows 10 Enterprise wielosesyjnych 1909 i nowszych, używanych w programie Windows Virtual Desktop na platformie Azure.

  1. Set-MpPreference -EnableNetworkProtection Włączone
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Uwaga

W niektórych przypadkach w zależności od infrastruktury, natężenia ruchu i innych warunków ustawienie Set-MpPreference -AllowDatagramProcessingOnWinServer 1 może mieć wpływ na wydajność sieci.

Rozwiązywanie problemów z ochroną sieci

Ze względu na środowisko, w którym działa ochrona sieci, funkcja może nie być w stanie wykryć ustawień serwera proxy systemu operacyjnego. W niektórych przypadkach klienci ochrony sieci nie mogą uzyskać dostępu do usługi w chmurze. Aby rozwiązać problem z łącznością, skonfiguruj statyczny serwer proxy dla programu antywirusowego Microsoft Defender.

Optymalizowanie wydajności ochrony sieci

Ochrona sieci ma teraz optymalizację wydajności, która umożliwia trybowi bloku rozpoczęcie asynchronicznego sprawdzania długotrwałych połączeń, co może zapewnić poprawę wydajności i może również pomóc w rozwiązywaniu problemów ze zgodnością aplikacji. Ta funkcja optymalizacji jest domyślnie włączona. Tę funkcję można wyłączyć przy użyciu następującego polecenia cmdlet programu PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.