Использование защиты сети для предотвращения подключений к вредоносным или подозрительным сайтам
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
- macOS
- Linux
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрируйтесь для получения бесплатной пробной версии.
Общие сведения о защите сети
Защита сети помогает защитить устройства от определенных событий в Интернете, предотвращая подключения к вредоносным или подозрительным сайтам. Защита сети — это возможность сокращения направлений атак, которая помогает предотвратить доступ пользователей в организации к доменам, которые считаются опасными с помощью приложений. Примерами опасных доменов являются домены, в которых размещаются фишинговые аферы, эксплойты и другое вредоносное содержимое в Интернете. Защита сети расширяет область Microsoft Defender SmartScreen, чтобы заблокировать весь исходящий трафик HTTP(S), который пытается подключиться к источникам с низкой репутацией (на основе домена или имени узла).
Защита сети расширяет защиту в веб-защите до уровня операционной системы и является основным компонентом для фильтрации веб-содержимого (WCF). Он предоставляет функции веб-защиты, доступные в Microsoft Edge, для других поддерживаемых браузеров и приложений, не являющихся браузерами. Защита сети также обеспечивает видимость и блокировку индикаторов компрометации (IOC) при использовании с обнаружением и реагированием конечных точек. Например, защита сети работает с пользовательскими индикаторами , которые можно использовать для блокировки определенных доменов или имен узлов.
Покрытие защиты сети
В следующей таблице перечислены области покрытия защиты сети.
Функция | Microsoft Edge | Сторонние браузеры | Процессы, не относящиеся к строю (например, PowerShell) |
---|---|---|---|
Защита от веб-угроз | Должен быть включен SmartScreen | Защита сети должна находиться в режиме блокировки | Защита сети должна находиться в режиме блокировки |
Пользовательские индикаторы | Должен быть включен SmartScreen | Защита сети должна находиться в режиме блокировки | Защита сети должна находиться в режиме блокировки |
Фильтрация веб-содержимого | Должен быть включен SmartScreen | Защита сети должна находиться в режиме блокировки | Не поддерживается |
Примечание.
На Компьютерах Mac и Linux необходима защита сети в режиме блокировки, чтобы получить поддержку этих функций в Edge. В Windows защита сети не отслеживает Microsoft Edge. Для процессов, отличных от Microsoft Edge и Интернет-Обозреватель, сценарии веб-защиты используют защиту сети для проверки и принудительного применения.
- IP-адрес поддерживается для всех трех протоколов (TCP, HTTP и HTTPS (TLS)).
- В пользовательских индикаторах поддерживаются только отдельные IP-адреса (без блоков CIDR или диапазонов IP-адресов).
- Зашифрованные URL-адреса (полный путь) можно заблокировать только в сторонних браузерах (Интернет-Обозреватель, Edge).
- Зашифрованные URL-адреса (только полное доменное имя) можно заблокировать в сторонних браузерах (например, за исключением интернет-Обозреватель, Edge).
- Для незашифрованных URL-адресов можно применить полные блоки URL-адресов.
Задержка может быть до 2 часов (обычно меньше) между временем выполнения действия и блокировкой URL-адреса и IP-адреса.
Просмотрите это видео, чтобы узнать, как защита сети помогает снизить риск атак на ваших устройствах от фишинга, эксплойтов и другого вредоносного содержимого.
Требования к защите сети
Для защиты сети требуются устройства под управлением одной из следующих операционных систем:
- Windows 10 или 11 (pro или enterprise) (см. раздел Поддерживаемые версии Windows)
- Windows Server версии 1803 или более поздней (см. раздел Поддерживаемые версии Windows)
- macOS версии 12 (Монтерей) или более поздней (см. Microsoft Defender для конечной точки на Mac)
- Поддерживаемая версия Linux (см. Microsoft Defender для конечной точки в Linux)
Для защиты сети также требуется Microsoft Defender антивирусная программа с включенной защитой в режиме реального времени.
Версия Windows | Антивирусная программа в Microsoft Defender |
---|---|
Windows 10 версии 1709 или более поздней, Windows 11, Windows Server 1803 или более поздней | Убедитесь, что Microsoft Defender антивирусная защита в режиме реального времени, мониторинг поведения и облачная защита включены (активно). |
Windows Server 2012 R2 и Windows Server 2016 с единым агентом | Обновление платформы версии 4.18.2001.x.x или более поздней |
Почему важна защита сети
Защита сети входит в группу решений по сокращению направлений атак в Microsoft Defender для конечной точки. Защита сети позволяет сетевому уровню блокировать URL-адреса и IP-адреса. Защита сети может блокировать доступ к URL-адресам с помощью определенных браузеров и стандартных сетевых подключений. По умолчанию защита сети защищает компьютеры от известных вредоносных URL-адресов с помощью веб-канала SmartScreen, который блокирует вредоносные URL-адреса таким образом, как SmartScreen в браузере Microsoft Edge. Функциональность защиты сети может быть расширена до следующих возможностей:
- Блокировка IP-адресов и URL-адресов из собственной аналитики угроз (индикаторов)
- Блокировка несанкционированных служб из Microsoft Defender for Cloud Apps
- Блокировка доступа браузера к веб-сайтам на основе категории (фильтрация веб-содержимого)
Защита сети является важной частью стека защиты и ответов Майкрософт.
Совет
Дополнительные сведения о защите сети для Windows Server, Linux, MacOS и Mobile Threat Defense (MTD) см. в статье Упреждающая охота на угрозы с помощью расширенной охоты.
Блокировать атаки команд и управления
Серверные компьютеры команд и управления (C2) используются злоумышленниками для отправки команд в системы, ранее скомпрометированные вредоносными программами. Атаки C2 обычно скрываются в облачных службах, таких как службы общего доступа к файлам и веб-почты, что позволяет серверам C2 избежать обнаружения путем смешивания с обычным трафиком.
Серверы C2 можно использовать для запуска команд, которые могут:
- Кража данных
- Управление скомпрометированных компьютеров в ботнете
- Нарушение работы допустимых приложений
- Распространение вредоносных программ, например программ-шантажистов
Компонент защиты сети Defender для конечной точки идентифицирует и блокирует подключения к инфраструктурам C2, используемым при атаках с помощью программ-шантажистов, используя такие методы, как машинное обучение и интеллектуальная идентификация индикатора компрометации (IoC).
Защита сети: обнаружение и исправление C2
В первоначальной форме программа-шантажист — это товарная угроза, которая заранее запрограммирована и ориентирована на ограниченные конкретные результаты (например, шифрование компьютера). Тем не менее, программы-шантажисты превратились в сложную угрозу, которая зависит от человека, адаптивна и ориентирована на более масштабные и более распространенные результаты, такие как хранение активов или данных всей организации для выкупа.
Поддержка серверов команд и управления (C2) является важной частью этой эволюции программ-шантажистов, и это то, что позволяет этим атакам адаптироваться к среде, на которую они нацелены. Разрыв связи с инфраструктурой команд и управления останавливает переход атаки к следующему этапу. Дополнительные сведения об обнаружении и исправлении C2 см. в статье Обнаружение и устранение атак команд и управления на сетевом уровне.
Защита сети: новые всплывающие уведомления
Новое сопоставление | Категория ответа | Sources |
---|---|---|
фишинг | Фишинг | SmartScreen |
злобный | Вредоносный | SmartScreen |
команда и управление | C2 | SmartScreen |
команда и управление | COCO | SmartScreen |
злобный | Ненадежных | SmartScreen |
ит-администратором | CustomBlockList | |
ит-администратором | CustomPolicy |
Примечание.
customAllowList не создает уведомления на конечных точках.
Новые уведомления для определения защиты сети
Новая общедоступная возможность защиты сети использует функции SmartScreen для блокировки фишинговых действий с вредоносных сайтов команд и управления. Когда пользователь пытается посетить веб-сайт в среде, в которой включена защита сети, возможны три сценария:
- URL-адрес имеет известную репутацию . В этом случае пользователю разрешен доступ без препятствий, и на конечной точке не отображается всплывающее уведомление. Фактически для домена или URL-адреса задано значение Разрешено.
- URL-адрес имеет неизвестную или неопределенную репутацию . Доступ пользователя блокируется, но с возможностью обхода (разблокировки) блокировки. Фактически домен или URL-адрес имеет значение Аудит.
- URL-адрес имеет заведомую плохую (вредоносную) репутацию . Доступ к пользователю запрещен. Фактически для домена или URL-адреса задано значение Блокировать.
Взаимодействие с предупреждением
Пользователь посещает веб-сайт:
Если URL-адрес имеет неизвестную или неопределенную репутацию, всплывающее уведомление предоставляет пользователю следующие параметры:
Ок . Всплывающее уведомление освобождается (удаляется), а попытка доступа к сайту завершается.
Разблокировать — пользователь имеет доступ к сайту в течение 24 часов; после чего блок будет повторно включено. Пользователь может продолжать использовать разблокировку для доступа к сайту до тех пор, пока администратор не запретит (заблокирует) сайт, тем самым удаляя параметр Разблокировать.
Обратная связь . Всплывающее уведомление предоставляет пользователю ссылку для отправки билета, который пользователь может использовать для отправки отзывов администратору в попытке оправдать доступ к сайту.
Примечание.
На изображениях, показанных в этой статье как для интерфейса, так
warn
иblock
для интерфейса, в качестве примера заполнителя используется "заблокированный URL-адрес". В работающей среде указан фактический URL-адрес или домен.
Блокировка интерфейса
Пользователь посещает веб-сайт:
- Если URL-адрес имеет плохую репутацию, всплывающее уведомление предоставляет пользователю следующие варианты:
Хорошо Всплывающее уведомление освобождается (удаляется), а попытка доступа к сайту завершается.
Обратная связь Всплывающее уведомление предоставляет пользователю ссылку для отправки билета, который пользователь может использовать для отправки отзывов администратору в попытке оправдать доступ к сайту.
Разблокировка SmartScreen
С помощью индикаторов в Defender для конечной точки администраторы могут разрешить конечным пользователям обходить предупреждения, созданные для некоторых URL-адресов и IP-адресов. В зависимости от того, почему URL-адрес заблокирован, при обнаружении блокировки SmartScreen он может предложить пользователю возможность разблокировать сайт в течение 24 часов. В таких случаях отображается всплывающее уведомление Безопасность Windows, позволяющее пользователю выбрать Разблокировать. В таких случаях URL-адрес или IP-адрес разблокируется в течение указанного периода времени.
Microsoft Defender для конечной точки администраторы могут настроить функцию разблокировки SmartScreen на портале Microsoft Defender с помощью индикатора разрешений для IP-адресов, URL-адресов и доменов.
См . статью Создание индикаторов для IP-адресов и URL-адресов и доменов.
Использование защиты сети
Защита сети включена для каждого устройства, что обычно выполняется с помощью инфраструктуры управления. Поддерживаемые методы см . в разделе Включение защиты сети.
Примечание.
Microsoft Defender антивирусная программа должна быть в активном режиме, чтобы включить защиту сети.
Вы можете включить защиту сети в audit
режиме или block
режиме. Если вы хотите оценить влияние включения защиты сети перед фактической блокировкой IP-адресов или URL-адресов, можно включить защиту сети в режиме аудита и собрать данные о том, что будет заблокировано. Режим аудита регистрирует в журнале каждый раз, когда конечные пользователи подключаются к адресу или сайту, которые в противном случае были бы заблокированы защитой сети. Чтобы индикаторы компрометации (IoC) или фильтрации веб-содержимого (WCF) работали, защита сети должна находиться в block
режиме.
Сведения о защите сети для Linux и macOS см. в следующих статьях:
Расширенная охота
Если вы используете расширенную охоту для выявления событий аудита, у вас есть журнал до 30 дней, доступный в консоли. См . раздел Расширенная охота.
События аудита можно найти в разделе Расширенный поиск на портале Defender для конечной точки (https://security.microsoft.com).
События аудита находятся в DeviceEvents с actionType .ExploitGuardNetworkProtectionAudited
Блоки отображаются с типом ActionType .ExploitGuardNetworkProtectionBlocked
Ниже приведен пример запроса для просмотра событий защиты сети для браузеров сторонних поставщиков:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
Совет
Эти записи содержат данные в столбце AdditionalFields , который предоставляет вам отличную информацию о действии. Если развернуть Дополнительные Поля , вы также сможете получить поля : IsAudit, ResponseCategory и DisplayName.
Вот еще один пример:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
Категория "Ответ" указывает, что вызвало событие, как показано в следующем примере:
ResponseCategory | Компонент, отвечающий за событие |
---|---|
CustomPolicy | WCF |
CustomBlockList | Пользовательские индикаторы |
CasbPolicy | Defender for Cloud Apps |
Вредоносный | Веб-угрозы |
Фишинг | Веб-угрозы |
Дополнительные сведения см. в статье Устранение неполадок с блоками конечных точек.
Если вы используете браузер Microsoft Edge, используйте следующий запрос для Microsoft Defender событий SmartScreen:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
Вы можете использовать результирующий список URL-адресов и IP-адресов, чтобы определить, что будет заблокировано, если на устройстве настроен режим блокировки защиты сети. Вы также можете увидеть, какие функции будут блокировать URL-адреса и IP-адреса. Просмотрите список, чтобы определить ВСЕ URL-адреса или IP-адреса, необходимые для вашей среды. Затем можно создать индикатор разрешений для этих URL-адресов или IP-адресов. Разрешить индикаторы имеют приоритет над любыми блоками.
После создания индикатора можно посмотреть на решение базовой проблемы следующим образом:
- SmartScreen — проверка запросов
- Индикатор — изменение существующего индикатора
- MCA — проверка несанкционированного приложения
- WCF — перекатегоризация запроса
Используя эти данные, вы можете принять обоснованное решение о включении защиты сети в режиме блокировки. См. раздел Порядок приоритета для блоков защиты сети.
Примечание.
Так как это параметр для каждого устройства, если есть устройства, которые не могут перейти в режим блокировки, вы можете просто оставить их на аудите, пока вы не сможете устранить проблему, и вы по-прежнему будете получать события аудита.
Сведения о том, как сообщать о ложных срабатываниях, см. в разделе Отчет о ложноположительных срабатываниях.
Дополнительные сведения о создании собственных отчетов Power BI см. в статье Создание пользовательских отчетов с помощью Power BI.
Настройка защиты сети
Дополнительные сведения о включении защиты сети см. в разделе Включение защиты сети. Используйте групповая политика, PowerShell или поставщики СЛУЖБ MDM для включения защиты сети и управления ими.
После включения защиты сети может потребоваться настроить сеть или брандмауэр, чтобы разрешить подключения между устройствами конечных точек и веб-службами:
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
Просмотр событий защиты сети
Защита сети лучше всего работает с Microsoft Defender для конечной точки, которая предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках сценариев исследования оповещений.
Когда защита сети блокирует подключение, из центра уведомлений отображается уведомление. Ваша команда по обеспечению безопасности может настроить уведомление с помощью сведений о вашей организации и контактных данных. Кроме того, можно включить и настроить отдельные правила сокращения направлений атак в соответствии с определенными методами мониторинга.
Вы также можете использовать режим аудита , чтобы оценить, как защита сети повлияет на вашу организацию, если она была включена.
Просмотр событий защиты сети на портале Microsoft Defender
Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений. Эти сведения можно просмотреть на портале Microsoft Defender (https://security.microsoft.com) в очереди оповещений или с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту, чтобы узнать, как параметры защиты сети повлияют на вашу среду, если они были включены.
Просмотр событий защиты сети в Windows Просмотр событий
Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, которые создаются, когда защита сети блокирует (или выполняет аудит) доступ к вредоносному IP-адресу или домену:
Нажмите OK.
Эта процедура создает пользовательское представление, которое фильтрует только следующие события, связанные с защитой сети:
Идентификатор события | Описание |
---|---|
5007 | Событие при изменении параметров |
1125 | Событие при срабатывании защиты сети в режиме аудита |
1126 | Событие при срабатывании сетевой защиты в режиме блокировки |
Защита сети и трехстороннее подтверждение TCP
В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, когда защита сети блокирует сайт, на портале Microsoft Defender может отображаться тип ConnectionSuccess
DeviceNetworkEvents
действия в разделе, даже если сайт был заблокирован.
DeviceNetworkEvents
отображаются на уровне TCP, а не из защиты сети. После завершения трехстороннего подтверждения доступ к сайту будет разрешен или заблокирован защитой сети.
Ниже приведен пример того, как это работает.
Предположим, что пользователь пытается получить доступ к веб-сайту на своем устройстве. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.
Начинается трехстороннее подтверждение через TCP/IP. Перед его завершением
DeviceNetworkEvents
действие регистрируется и отображаетсяActionType
какConnectionSuccess
. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро. Аналогичный процесс происходит с Microsoft Defender SmartScreen. Это происходит, когда трехстороннее подтверждение завершается, что делается определение, а доступ к сайту либо заблокирован, либо разрешен.На портале Microsoft Defender в очереди оповещений отображается оповещение. Сведения об этом оповещении включают и
DeviceNetworkEvents
AlertEvidence
. Вы видите, что сайт был заблокирован, даже если у вас также естьDeviceNetworkEvents
элемент с ActionType .ConnectionSuccess
Рекомендации по работе с виртуальным рабочим столом Windows, работающим Windows 10 Корпоративная несколькими сеансами
Учитывая многопользовательскую природу Windows 10 Корпоративная, учитывайте следующие моменты:
Защита сети — это функция на уровне всего устройства, которая не может быть ориентирована на определенные сеансы пользователя.
Политики фильтрации веб-содержимого также применяются для всего устройства.
Если необходимо различать группы пользователей, рассмотрите возможность создания отдельных пулов узлов и назначений Виртуального рабочего стола Windows.
Протестируйте защиту сети в режиме аудита, чтобы оценить ее поведение перед развертыванием.
Рассмотрите возможность изменения размера развертывания, если у вас есть большое количество пользователей или большое количество многопользовательских сеансов.
Альтернативный вариант защиты сети
Для Windows Server 2012 R2 и Windows Server 2016, использующих современное унифицированное решение, Windows Server версии 1803 или более поздней, а также Windows 10 Корпоративная Многосеансовый режим 1909 и более поздних версий, используемых в Виртуальном рабочем столе Windows в Azure, защиту сети для Microsoft Edge можно включить следующим способом:
Включите защиту сети и следуйте инструкциям, чтобы применить политику.
Выполните следующие команды PowerShell:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Примечание.
В некоторых случаях, в зависимости от инфраструктуры, объема трафика и других условий,
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
может влиять на производительность сети.
Защита сети для серверов Windows
Ниже приведены сведения, относящиеся к Серверам Windows.
Убедитесь, что защита сети включена
Проверьте, включена ли защита сети на локальном устройстве с помощью Редактор реестра.
Нажмите кнопку Пуск на панели задач и введите regedit, чтобы открыть Редактор реестра.
Выберите HKEY_LOCAL_MACHINE в боковом меню.
Перейдите через вложенные меню в раздел Software>Policies>Microsoft>Windows Defender>Windows Exploit Guard>Network Protection.
(Если ключ отсутствует, перейдите в раздел ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ>.Майкрософт>Защитник> WindowsExploit Guard >в Защитнике WindowsЗащита сети)
Выберите EnableNetworkProtection , чтобы просмотреть текущее состояние защиты сети на устройстве:
-
0
= Выкл. -
1
= Включено (включено) -
2
= режим аудита
-
Дополнительные сведения см . в разделе Включение защиты сети.
Рекомендуемые разделы реестра для защиты сети
Для Windows Server 2012 R2 и Windows Server 2016 с использованием современного унифицированного решения Windows Server версии 1803 или более поздней, а также Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий (используется в Виртуальном рабочем столе Windows в Azure), включите другие разделы реестра следующим образом:
Перейдите в раздел HKEY_LOCAL_MACHINE>SOFTWARE>>Microsoft Windows Defender>Windows Exploit Guard>Network Protection.
Настройте следующие ключи:
-
AllowNetworkProtectionOnWinServer
(DWORD) имеет значение1
(шестнадцатеричный) -
EnableNetworkProtection
(DWORD) имеет значение1
(шестнадцатеричный) - (Только на Windows Server 2012 R2 и Windows Server 2016)
AllowNetworkProtectionDownLevel
(DWORD) имеет значение1
(шестнадцатеричный)
-
Примечание.
В зависимости от инфраструктуры, объема трафика и других условий HKEY_LOCAL_MACHINE>политики>>ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ> MicrosoftWindows>NiS>Потребители>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (шестнадцатеричный) могут влиять на производительность сети.
Дополнительные сведения см. в статье Включение защиты сети.
Для windows Server и конфигурации windows multi-session требуется PowerShell
Для Windows Server и Windows Multi-session существуют другие элементы, которые необходимо включить с помощью командлетов PowerShell. Для Windows Server 2012 R2 и Windows Server 2016 с использованием современного унифицированного решения Windows Server версии 1803 или более поздней, а также Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий, используемых в Виртуальном рабочем столе Windows в Azure, выполните следующие команды PowerShell:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Примечание.
В некоторых случаях в зависимости от инфраструктуры, объема трафика и других условий Set-MpPreference -AllowDatagramProcessingOnWinServer 1
может повлиять на производительность сети.
Устранение неполадок с защитой сети
Из-за среды, в которой выполняется защита сети, компонент может не обнаружить параметры прокси-сервера операционной системы. В некоторых случаях клиентам защиты сети не удается связаться с облачной службой. Чтобы устранить проблему с подключением, настройте статический прокси-сервер для Microsoft Defender антивирусной программы.
Примечание.
Прежде чем приступать к устранению неполадок, убедитесь, что для протокола QUIC задано значение disabled
в используемых браузерах. Протокол QUIC не поддерживается с функциями защиты сети.
Так как глобальный безопасный доступ в настоящее время не поддерживает трафик UDP, трафик UDP к порту 443
не может быть туннелирован. Вы можете отключить протокол QUIC, чтобы клиенты глобального безопасного доступа вернулись к протоколу HTTPS (трафик TCP через порт 443). Это изменение необходимо внести, если серверы, к которым вы пытаетесь получить доступ, поддерживают QUIC (например, через Microsoft Exchange Online). Чтобы отключить QUIC, можно выполнить одно из следующих действий:
Отключение QUIC в брандмауэре Windows
Наиболее универсальным способом отключения QUIC является отключение этой функции в брандмауэре Windows. Этот метод влияет на все приложения, включая браузеры и клиентские приложения (например, Microsoft Office). В PowerShell выполните New-NetFirewallRule
командлет , чтобы добавить новое правило брандмауэра, которое отключает QUIC для всего исходящего трафика с устройства:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
Отключение QUIC в веб-браузере
Вы можете отключить QUIC на уровне веб-браузера. Тем не менее, этот метод отключения QUIC означает, что QUIC продолжает работать с небрезерными приложениями. Чтобы отключить QUIC в Microsoft Edge или Google Chrome, откройте браузер, найдите параметр протокола экспериментального QUIC (#enable-quic
флаг), а затем измените параметр на Disabled
. В следующей таблице показано, какой URI следует ввести в адресной строке браузера, чтобы получить доступ к этой настройке.
Браузер | Универсальный код ресурса (URI) |
---|---|
Microsoft Edge | edge://flags/#enable-quic |
Google Chrome | chrome://flags/#enable-quic |
Оптимизация производительности защиты сети
Защита сети включает оптимизацию производительности, которая позволяет block
режиму асинхронно проверять длительные подключения, что может обеспечить повышение производительности. Эта оптимизация также может помочь в устранении проблем совместимости приложений. Эта возможность включена по умолчанию. Эту возможность можно отключить с помощью следующего командлета PowerShell:
Set-MpPreference -AllowSwitchToAsyncInspection $false
См. также
- Оценка защиты сети | Выполните быстрый сценарий, демонстрирующий, как работает функция и какие события обычно создаются.
- Включение защиты сети | Используйте групповая политика, PowerShell или поставщики СЛУЖБ MDM для включения защиты сети и управления ими.
- Настройка возможностей сокращения направлений атак в Microsoft Intune
- Защита сети для Linux | Сведения об использовании защиты сети Майкрософт для устройств Linux.
- Защита сети для macOS | Дополнительные сведения о защите сети Майкрософт для macOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.