Брандмауэр в Microsoft Defender для бизнеса

Defender для бизнеса включает возможности брандмауэра через брандмауэр Защитника Windows. Защита брандмауэра помогает защитить устройства, устанавливая правила, определяющие, какой сетевой трафик может поступать на устройства и с устройств.

Вы можете использовать защиту брандмауэра, чтобы указать, следует ли разрешать или блокировать подключения на устройствах в различных расположениях. Например, параметры брандмауэра могут разрешать входящие подключения на устройствах, подключенных к внутренней сети вашей компании, но предотвращать подключения, когда устройство находится в сети с ненадежными устройствами.

В этой статье описываются:

Просмотр или изменение политик брандмауэра и настраиваемых правил

В зависимости от того, используете ли вы портал Microsoft Defender или Intune для управления защитой брандмауэра, используйте одну из следующих процедур.

Просмотр или изменение политик брандмауэра с помощью портала Microsoft Defender

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. В области навигации выберите Конфигурация устройства. Политики упорядочены по операционной системе и типу политики.

  3. Выберите вкладку операционной системы (например, клиенты Windows).

  4. Разверните узел Брандмауэр , чтобы просмотреть список политик.

  5. Выберите политику для просмотра сведений. Чтобы внести изменения или узнать больше о параметрах политики, ознакомьтесь со следующими статьями:

Просмотр или изменение политик брандмауэра с помощью Центра администрирования Intune

  1. Перейдите на https://intune.microsoft.com и войдите. Теперь вы находитесь в Центре администрирования Intune.

  2. Выберите Безопасность конечных точек.

  3. Выберите Брандмауэр , чтобы просмотреть политики в этой категории. Пользовательские правила, определенные для защиты брандмауэра, перечислены в виде отдельных политик. Чтобы получить помощь по управлению параметрами безопасности в Intune, начните с инструкции Управление безопасностью конечных точек в Microsoft Intune.

Управление настраиваемыми правилами для политик брандмауэра в Microsoft Defender для бизнеса

Вы можете использовать настраиваемые правила для определения исключений для политик брандмауэра. То есть можно использовать настраиваемые правила для блокировки или разрешения определенных подключений.

Создание настраиваемого правила для политики брандмауэра

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. Перейдите в разделКонфигурация устройствконечных> точек и просмотрите список политик.

  3. В разделе Брандмауэр выберите существующую политику или добавьте новую политику.

  4. На шаге Параметры конфигурации просмотрите параметры. Внесите необходимые изменения в доменную сеть, общедоступную сеть и частную сеть.

  5. Чтобы создать пользовательское правило, выполните следующие действия.

    1. В разделе Пользовательские правила выберите + Добавить правило. (Вы можете использовать до 150 настраиваемых правил.)

    2. Во всплывающем окне Создание правила укажите имя и описание правила.

    3. Выберите профиль. (К вашим параметрам относятся доменная сеть, общедоступная сеть или частная сеть.)

    4. В списке Тип удаленного адреса выберите IP-адрес или путь к файлу приложения.

    5. В поле Значение укажите соответствующее значение. В зависимости от того, что вы выбрали на шаге 6d, можно указать IP-адрес, диапазон IP-адресов или путь к файлу приложения. (См. раздел Параметры брандмауэра.)

    6. Во всплывающем окне Создание нового правила выберите Создать правило.

  6. На экране Параметры конфигурации нажмите кнопку Далее.

  7. На экране Проверка политики просмотрите изменения, внесенные в параметры политики брандмауэра. Внесите необходимые изменения и нажмите кнопку Создать политику.

Изменение настраиваемого правила для политики брандмауэра

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. Перейдите в разделКонфигурация устройствконечных> точек и просмотрите список политик.

  3. В разделе Брандмауэр выберите существующую политику или добавьте новую политику.

  4. В разделе Настраиваемые правила просмотрите список правил.

  5. Выберите правило и нажмите кнопку Изменить. Откроется всплывающее меню.

  6. Чтобы изменить пользовательское правило, выполните следующие действия.

    1. Во всплывающем окне Изменение правила просмотрите и измените имя и описание правила.

    2. Просмотрите и при необходимости измените профиль правила. (К вашим параметрам относятся доменная сеть, общедоступная сеть или частная сеть.)

    3. В списке Тип удаленного адреса выберите IP-адрес или путь к файлу приложения.

    4. В поле Значение укажите соответствующее значение. В зависимости от того, что вы выбрали на шаге 6c, можно указать IP-адрес, диапазон IP-адресов или путь к файлу приложения. (См. раздел Параметры брандмауэра.)

    5. Установите для включения правила значение Включено , чтобы сделать правило активным. Или, чтобы отключить правило, установите для параметра значение Выкл.

    6. Во всплывающем окне Изменение правила выберите Обновить правило.

  7. На экране Параметры конфигурации нажмите кнопку Далее.

  8. На экране Проверка политики просмотрите изменения, внесенные в параметры политики брандмауэра. Внесите необходимые изменения и нажмите кнопку Создать политику.

Удаление настраиваемого правила

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.

  2. Перейдите в разделКонфигурация устройствконечных> точек и просмотрите список политик.

  3. В разделе Брандмауэр выберите существующую политику или добавьте новую политику.

  4. В разделе Настраиваемые правила просмотрите список правил.

  5. Выберите правило и нажмите кнопку Удалить. Откроется всплывающее меню.

  6. На экране подтверждения нажмите кнопку Удалить.

Параметры брандмауэра по умолчанию в Defender для бизнеса

Defender для бизнеса включает политики и параметры брандмауэра по умолчанию для защиты устройств вашей компании с первого дня. Как только устройства вашей компании будут подключены к Defender для бизнеса, политика брандмауэра по умолчанию работает следующим образом:

  • Исходящие подключения с устройств разрешены по умолчанию, независимо от расположения.
  • Если устройства подключены к сети вашей компании, все входящие подключения блокируются по умолчанию.
  • Если устройства подключены к общедоступной или частной сети, все входящие подключения блокируются по умолчанию.

В Defender для бизнеса можно определить исключения для блокировки или разрешения входящих подключений. Эти исключения определяются путем создания настраиваемых правил.

Параметры брандмауэра, которые можно настроить в Defender для бизнеса

Defender для бизнеса включает защиту брандмауэра с помощью брандмауэра Защитника Windows. В следующей таблице перечислены параметры, которые можно настроить в Defender для бизнеса.

Setting Описание
Сеть домена Профиль сети домена применяется к сети вашей компании. Параметры брандмауэра для сети домена применяются к входящим подключениям, инициированным на других устройствах в той же сети. По умолчанию для входящих подключений задано значение Блокировать все.
Общедоступная сеть Профиль общедоступной сети применяется к сетям, которые можно использовать в общедоступных местах, таких как кафе или аэропорт. Параметры брандмауэра для общедоступных сетей применяются к входящим подключениям, инициированным на других устройствах в той же сети. Так как общедоступная сеть может включать устройства, которые вы не знаете или не доверяете, для входящих подключений по умолчанию задано значение Блокировать все .
Частная сеть Профиль частной сети применяется к сетям в частном расположении, например к вашему дому. Параметры брандмауэра для частных сетей применяются к входящим подключениям, инициированным на других устройствах в той же сети. Как правило, в частной сети предполагается, что все остальные устройства в той же сети являются доверенными. Однако по умолчанию для входящих подключений задано значение Блокировать все.
Пользовательские правила Пользовательские правила позволяют блокировать или разрешать определенные подключения. Например, предположим, что вы хотите заблокировать все входящие подключения на устройствах, подключенных к частной сети, за исключением подключений через определенное приложение на устройстве. В этом случае следует настроить частную сеть для блокировки всех входящих подключений, а затем добавить пользовательское правило для определения исключения.

Пользовательские правила можно использовать для определения исключений для определенных файлов или приложений, IP-адреса или диапазона IP-адресов. В зависимости от типа создаваемого настраиваемого правила ниже приведены некоторые примеры значений, которые можно использовать:
— Путь к файлу приложения: C:\Windows\System\Notepad.exe or %WINDIR%\Notepad.exe
— IP-адрес: допустимый IPv4/IPv6-адрес, например 192.168.11.0 или 192.168.1.0/24
— IP-адрес: допустимый диапазон адресов IPv4/IPv6, отформатированный как 192.168.1.0-192.168.1.9 (без пробелов).

Дальнейшие действия