Aracılığıyla paylaş


Kötü amaçlı veya şüpheli sitelerle bağlantıları önlemeye yardımcı olmak için ağ korumasını kullanma

Şunlar için geçerlidir:

Platform

  • Windows
  • macOS
  • Linux

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Ağ korumasına genel bakış

Ağ koruması, kötü amaçlı veya şüpheli sitelere bağlantıları engelleyerek cihazları belirli İnternet tabanlı olaylardan korumaya yardımcı olur. Ağ koruması, kuruluşunuzdaki kişilerin uygulamalar aracılığıyla tehlikeli kabul edilen etki alanlarına erişmesini önlemeye yardımcı olan bir saldırı yüzeyi azaltma özelliğidir. Tehlikeli etki alanlarına örnek olarak, İnternet'te kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içerikleri barındıran etki alanları verilebilir. Ağ koruması, düşük saygınlık kaynaklarına bağlanmaya çalışan tüm giden HTTP(S) trafiğini engellemek için smartscreen Microsoft Defender kapsamını genişletir (etki alanı veya konak adına göre).

Ağ koruması , Web korumasındaki korumayı işletim sistemi düzeyine genişletir ve Web İçeriği Filtreleme (WCF) için temel bir bileşendir. Microsoft Edge'de bulunan web koruma işlevselliğini desteklenen diğer tarayıcılara ve uygun olmayan uygulamalara sağlar. Ağ koruması ayrıca Uç nokta algılama ve yanıt ile kullanıldığında güvenliğin aşılmasına ilişkin göstergelerin (ICS) görünürlüğünü ve engellenmesini de sağlar. Örneğin, ağ koruması belirli etki alanlarını veya konak adlarını engellemek için kullanabileceğiniz özel göstergelerinizle birlikte çalışır.

Ağ koruma kapsamı

Aşağıdaki tabloda kapsamın ağ koruma alanları özetlemektedir.

Özellik Microsoft Edge Üçüncü taraf tarayıcılar Çatısız işlemler
(örneğin, PowerShell)
Web Tehdit Koruması SmartScreen etkinleştirilmelidir Ağ koruması blok modunda olmalıdır Ağ koruması blok modunda olmalıdır
Özel Göstergeler SmartScreen etkinleştirilmelidir Ağ koruması blok modunda olmalıdır Ağ koruması blok modunda olmalıdır
Web İçeriği Filtreleme SmartScreen etkinleştirilmelidir Ağ koruması blok modunda olmalıdır Desteklenmiyor

Not

Mac ve Linux'ta, Edge'de bu özellikler için destek almak için blok modunda ağ korumasına sahip olmanız gerekir. Windows'da ağ koruması Microsoft Edge'i izlemez. Microsoft Edge ve Internet Explorer dışındaki işlemler için web koruma senaryoları, inceleme ve zorlama için ağ korumasından yararlanıyor.

  • IP, üç protokol için de desteklenir (TCP, HTTP ve HTTPS (TLS)).
  • Özel göstergelerde yalnızca tek IP adresleri desteklenir (CIDR blokları veya IP aralıkları yoktur).
  • Şifrelenmiş URL'ler (tam yol) yalnızca birinci taraf tarayıcılarda (Internet Explorer, Edge) engellenebilir.
  • Şifrelenmiş URL'ler (yalnızca FQDN) üçüncü taraf tarayıcılarda (internet explorer, Edge dışında) engellenebilir.
  • Şifrelenmemiş URL'ler için tam URL yol blokları uygulanabilir.

Eylemin gerçekleştirilişi ile URL ve IP'nin engellenmesi arasında 2 saate kadar gecikme süresi (genellikle daha az) olabilir.

Ağ korumasının cihazlarınızın saldırı yüzeyini kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içeriklerden nasıl azaltmaya yardımcı olduğunu öğrenmek için bu videoyu izleyin.

Ağ koruması gereksinimleri

Ağ koruması için aşağıdaki işletim sistemlerinden birini çalıştıran cihazlar gerekir:

Ağ koruması, gerçek zamanlı korumanın etkinleştirildiği Microsoft Defender Virüsten Koruma gerektirir.

Windows sürümü Microsoft Defender Virüsten Koruma
Windows 10 sürüm 1709 veya üzeri, Windows 11, Windows Server 1803 veya üzeri Microsoft Defender Virüsten Koruma gerçek zamanlı koruma, davranış izleme ve bulut tabanlı korumanın etkinleştirildiğinden emin olun (etkin)
Birleştirilmiş aracıyla R2 ve Windows Server 2016 Windows Server 2012 Platform Güncelleştirmesi sürüm 4.18.2001.x.x veya üzeri

Ağ koruması neden önemlidir?

Ağ koruması, Uç Nokta için Microsoft Defender'daki saldırı yüzeyi azaltma çözümleri grubunun bir parçasıdır. Ağ koruması, ağ katmanının URL'leri ve IP adreslerini engellemesini sağlar. Ağ koruması, belirli tarayıcılar ve standart ağ bağlantıları kullanılarak URL'lere erişilebileceğini engelleyebilir. Varsayılan olarak, ağ koruması, Microsoft Edge tarayıcısında SmartScreen'e benzer şekilde kötü amaçlı URL'leri engelleyen SmartScreen akışını kullanarak bilgisayarlarınızı bilinen kötü amaçlı URL'lerden korur. Ağ koruma işlevselliği şu şekilde genişletilebilir:

Ağ koruması, Microsoft koruması ve yanıt yığınının kritik bir parçasıdır.

İpucu

Windows Server, Linux, MacOS ve Mobile Threat Defense (MTD) için ağ koruması hakkında ayrıntılı bilgi için bkz. Gelişmiş tehdit avcılığı ile tehditleri proaktif olarak avlama.

Komut ve Denetim saldırılarını engelleme

Komut ve Denetim (C2) sunucu bilgisayarları, kötü amaçlı kullanıcılar tarafından daha önce kötü amaçlı yazılımlar tarafından ele geçirilen sistemlere komut göndermek için kullanılır. C2 saldırıları genellikle dosya paylaşımı ve web posta hizmetleri gibi bulut tabanlı hizmetlerde gizlenir ve C2 sunucularının tipik trafikle karışarak algılamayı önlemesini sağlar.

C2 sunucuları, şu komutları başlatmak için kullanılabilir:

  • Verileri çalma
  • Botnet'te güvenliği aşılmış bilgisayarları denetleme
  • Yasal uygulamaları kesintiye uğratma
  • Fidye yazılımı gibi kötü amaçlı yazılımları yayma

Uç Nokta için Defender'ın ağ koruma bileşeni, makine öğrenmesi ve akıllı risk göstergesi (IoC) belirleme gibi teknikleri kullanarak insan tarafından çalıştırılan fidye yazılımı saldırılarında kullanılan C2 altyapılarına yönelik bağlantıları tanımlar ve engeller.

Ağ koruması: C2 algılama ve düzeltme

fidye yazılımı, ilk biçiminde önceden programlanmış ve sınırlı, belirli sonuçlara (bir bilgisayarı şifrelemek gibi) odaklanmış bir ticari tehdittir. Ancak fidye yazılımı, insan odaklı, uyarlamalı ve daha büyük ölçekli ve daha yaygın sonuçlara odaklanan gelişmiş bir tehdit haline geldi. Örneğin, tüm kuruluşun varlıklarını veya verilerini fidye için tutma.

Komut ve Denetim sunucuları (C2) desteği bu fidye yazılımı evriminin önemli bir parçasıdır ve bu saldırıların hedefledikleri ortama uyum sağlamasını sağlayan da budur. Komut ve denetim altyapısı bağlantısının kesilmesi, saldırının bir sonraki aşamasına ilerlemesini durdurur. C2 algılama ve düzeltme hakkında daha fazla bilgi için bkz. Ağ katmanında komut ve denetim saldırılarını algılama ve düzeltme.

Ağ koruması: Yeni bildirim bildirimleri

Yeni eşleme Yanıt kategorisi Kaynak
kimlik avı Kimlik Avı SmartScreen
kötü niyetli Kötü niyetli SmartScreen
komut ve denetim C2 SmartScreen
komut ve denetim COCO SmartScreen
kötü niyetli Güvenilmeyen SmartScreen
BT yöneticiniz tarafından CustomBlockList
BT yöneticiniz tarafından CustomPolicy

Not

customAllowList uç noktalarda bildirim oluşturmaz.

Ağ koruması belirlemeye yönelik yeni bildirimler

Ağ korumasındaki genel kullanıma açık yeni bir özellik, kötü amaçlı komut ve denetim sitelerindeki kimlik avı etkinliklerini engellemek için SmartScreen'teki işlevleri kullanır. Bir son kullanıcı, ağ korumasının etkinleştirildiği bir ortamda bir web sitesini ziyaret etmeye çalıştığında üç senaryo mümkündür:

  • URL'nin bilinen iyi bir üne sahip olması - Bu durumda kullanıcıya engelleme olmadan erişim izni verilir ve uç noktada bildirim sunulmaz. Etki alanı veya URL etkin olarak İzin Verildi olarak ayarlanır.
  • URL bilinmeyen veya belirsiz bir üne sahip - Kullanıcının erişimi engellenir, ancak engeli aşma (engellemesini kaldırma) özelliğiyle. Etkin olarak, etki alanı veya URL Denetim olarak ayarlanır.
  • URL'nin bilinen kötü (kötü amaçlı) bir itibarı var- Kullanıcının erişimi engellendi. Etkin olarak, etki alanı veya URL Engelle olarak ayarlanır.

Deneyimi uyar

Kullanıcı bir web sitesini ziyaret eder:

  • URL bilinmeyen veya belirsiz bir üne sahipse, kullanıcıya aşağıdaki seçenekleri sunan bir bildirim sunulur:

    • Tamam - Bildirim yayımlanır (kaldırılır) ve siteye erişim girişimi sona erer.

    • Engellemeyi kaldırma - Kullanıcının siteye 24 saat boyunca erişimi vardır; bu noktada bloğun yeniden kullanılabilir duruma gelir. Kullanıcı, yönetici siteyi yasaklayana (engelleyene) kadar siteye erişmek için Engellemeyi Kaldır'ı kullanmaya devam edebilir ve böylece Engellemeyi Kaldırma seçeneğini kaldırır.

    • Geri Bildirim - Bildirim, kullanıcıya, siteye erişimi gerekçelendirmek amacıyla yöneticiye geri bildirim göndermek için kullanabileceği bir bilet gönderme bağlantısı sunar.

      Ağ koruması kimlik avı içeriği uyarı bildirimini gösterir.

    Not

    Bu makalede hem deneyim hem de warn deneyim block için gösterilen görüntülerde örnek yer tutucu metin olarak "engellenen URL" kullanılır. İşlevli bir ortamda gerçek URL veya etki alanı listelenir.

Blok deneyimi

Kullanıcı bir web sitesini ziyaret eder:

  • URL'nin kötü bir ünü varsa, kullanıcıya aşağıdaki seçenekleri sunan bir bildirim sunulur:
    • Tamam Bildirim yayımlanır (kaldırılır) ve siteye erişim girişimi sona erer.

    • Geri besleme Bildirimde kullanıcıya, siteye erişimi gerekçelendirmek amacıyla yöneticiye geri bildirim göndermek için kullanabileceği bir bilet gönderme bağlantısı bulunur.

      Bilinen kimlik avı içeriği engellendi bildirimini gösteren ağ koruması.

SmartScreen Engellemesini Kaldır

Uç Nokta için Defender'daki göstergelerle, yöneticiler son kullanıcıların bazı URL'ler ve IP'ler için oluşturulan uyarıları atlamasına izin verebilir. URL'nin neden engellendiğine bağlı olarak, bir SmartScreen bloğuyla karşılaşıldığında kullanıcıya sitenin engellemesini 24 saate kadar kaldırma olanağı sunabilir. Bu gibi durumlarda, kullanıcının Engellemeyi Kaldır'ı seçmesine izin Windows Güvenliği bildirim görüntülenir. Bu gibi durumlarda URL veya IP'nin engeli belirtilen süre boyunca kaldırılır.

Ağ koruması için Windows Güvenliği bildirimi.

Uç Nokta için Microsoft Defender yöneticileri IP'ler, URL'ler ve etki alanları için izin verme göstergesini kullanarak Microsoft Defender portalında SmartScreen Engellemesini Kaldırma işlevini yapılandırabilir.

Ağ koruması SmartScreen blok yapılandırma URL'si ve IP formu.

Bkz . IP'ler ve URL'ler/etki alanları için gösterge oluşturma.

Ağ korumasını kullanma

Ağ koruması cihaz başına etkinleştirilir ve bu genellikle yönetim altyapınız kullanılarak gerçekleştirilir. Desteklenen yöntemler için bkz . Ağ korumasını açma.

Not

Microsoft Defender Virüsten Koruma'nın ağ korumasını etkinleştirmek için etkin modda olması gerekir.

Ağ korumasını audit modda veya block modda etkinleştirebilirsiniz. IP adreslerini veya URL'leri engellemeden önce ağ korumasını etkinleştirmenin etkisini değerlendirmek istiyorsanız, denetim modunda ağ korumasını etkinleştirebilir ve engellenecek veriler hakkında veri toplayabilirsiniz. Denetim modu, son kullanıcılar ağ koruması tarafından engellenecek bir adrese veya siteye her bağlandığında günlüğe kaydeder. Güvenliğin aşılması (IoC) veya Web içeriği filtreleme (WCF) göstergelerinin çalışması için ağ korumasının modda block olması gerekir.

Linux ve macOS için ağ koruması hakkında bilgi için aşağıdaki makalelere bakın:

Gelişmiş avcılık örneği

Denetim olaylarını tanımlamak için gelişmiş avcılık kullanıyorsanız konsoldan 30 güne kadar geçmişe sahip olursunuz. Bkz . Gelişmiş avcılık.

Denetim olaylarını Uç Nokta için Defender portalında (https://security.microsoft.com) Gelişmiş avcılık bölümünde bulabilirsiniz.

Denetim olayları, Bir ActionType ile DeviceEvents içindedir ExploitGuardNetworkProtectionAudited. Bloklar, actionType ile ExploitGuardNetworkProtectionBlockedgösterilir.

Aşağıda, Microsoft dışı tarayıcılar için Ağ Koruması olaylarını görüntülemeye yönelik örnek bir sorgu verilmiştir:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Olayları denetlemek ve tanımlamak için gelişmiş avcılık.

İpucu

Bu girdilerin AdditionalFields sütunundaki veriler, eylemle ilgili harika bilgiler sağlar. AdditionalFields'i genişletirseniz IsAudit, ResponseCategory ve DisplayName alanlarını da alabilirsiniz.

İşte başka bir örnek:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Yanıt kategorisi, bu örnekte olduğu gibi olaya neyin neden olduğunu bildirir:

ResponseCategory Olaydan sorumlu özellik
CustomPolicy WCF
CustomBlockList Özel göstergeler
CasbPolicy Bulut Uygulamaları için Defender
Kötü niyetli Web tehditleri
Kimlik Avı Web tehditleri

Daha fazla bilgi için bkz. Uç nokta blokları sorunlarını giderme.

Microsoft Edge tarayıcısını kullanıyorsanız Microsoft Defender SmartScreen olayları için şu sorguyu kullanın:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Ağ koruması cihazda engelleme moduna ayarlanırsa nelerin engelleneceğini belirlemek için url'lerin ve IP'lerin sonuç listesini kullanabilirsiniz. Hangi özelliklerin URL'leri ve IP'leri engellediğini de görebilirsiniz. Ortamınız için gerekli olan URL'leri veya IP'leri belirlemek için listeyi gözden geçirin. Daha sonra bu URL'ler veya IP adresleri için bir izin verme göstergesi oluşturabilirsiniz. İzin verilen göstergeler tüm bloklara göre önceliklidir.

Bir gösterge oluşturduktan sonra, temel alınan sorunu aşağıdaki gibi çözmeye bakabilirsiniz:

  • SmartScreen – gözden geçirme isteği
  • Gösterge – var olan göstergeyi değiştirme
  • MCA – tasdik edilmemiş uygulamayı gözden geçirme
  • WCF – yeniden kategorilere ayırma isteği

Bu verileri kullanarak, Ağ korumasını Engelleme modunda etkinleştirme konusunda bilinçli bir karar vekleyebilirsiniz. Bkz . Ağ koruma blokları için öncelik sırası.

Not

Bu cihaz başına bir ayar olduğundan, Engelleme moduna geçemeyen cihazlar varsa, sınamayı düzeltene ve denetim olaylarını almaya devam edene kadar bunları denetimde bırakabilirsiniz.

Hatalı pozitifleri bildirme hakkında bilgi için bkz. Hatalı pozitifleri raporlama.

Kendi Power BI raporlarınızı oluşturma hakkında ayrıntılı bilgi için bkz. Power BI kullanarak özel raporlar oluşturma.

Ağ korumasını yapılandırma

Ağ korumasını etkinleştirme hakkında daha fazla bilgi için bkz. Ağ korumasını etkinleştirme. Ağınızda ağ korumasını etkinleştirmek ve yönetmek için grup ilkesi, PowerShell veya MDM CSP'lerini kullanın.

Ağ korumasını etkinleştirdikten sonra, uç nokta cihazlarınızla web hizmetleri arasındaki bağlantılara izin vermek için ağınızı veya güvenlik duvarınızı yapılandırmanız gerekebilir:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Ağ koruma olaylarını görüntüleme

Ağ koruması en iyi Uç Nokta için Microsoft Defender ile çalışır ve bu da uyarı araştırma senaryolarının bir parçası olarak açıklardan yararlanma koruma olayları ve blokları hakkında ayrıntılı raporlama sağlar.

Ağ koruması bir bağlantıyı engellediğinde, İşlem Merkezi'nden bir bildirim görüntülenir. Güvenlik operasyonları ekibiniz, kuruluşunuzun ayrıntıları ve iletişim bilgileriyle bildirimi özelleştirebilir . Ayrıca, tek tek saldırı yüzeyi azaltma kuralları etkinleştirilebilir ve izlemek için belirli tekniklere uyacak şekilde özelleştirilebilir.

Ağ korumasının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirmek için denetim modunu da kullanabilirsiniz.

Microsoft Defender portalında ağ koruma olaylarını gözden geçirme

Uç Nokta için Defender , uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar. Bu ayrıntıları uyarı kuyruğundaki Microsoft Defender portalında (https://security.microsoft.com) veya gelişmiş avcılığı kullanarak görüntüleyebilirsiniz. Denetim modunu kullanıyorsanız, ağ koruma ayarlarının etkinleştirildiğinde ortamınızı nasıl etkileyeceğini görmek için gelişmiş avcılığı kullanabilirsiniz.

Windows Olay Görüntüleyicisi'de ağ koruma olaylarını gözden geçirme

Ağ koruması kötü amaçlı bir IP'ye veya etki alanına erişimi engellediğinde (veya denetlediğinde) oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:

  1. XML'yi doğrudan kopyalayın.

  2. Tamam'ı seçin.

Bu yordam, yalnızca ağ korumasıyla ilgili aşağıdaki olayları gösterecek şekilde filtreleyen özel bir görünüm oluşturur:

Olay Kimliği Açıklama
5007 Ayarlar değiştirildiğinde gerçekleşen olay
1125 Ağ koruması denetim modunda tetiklendiğinde gerçekleşen olay
1126 Ağ koruması blok modunda tetiklendiğinde gerçekleşen olay

Ağ koruması ve TCP üç yönlü el sıkışması

Ağ koruması ile, TCP/IP aracılığıyla üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilip verilmeyeceğinin veya engellenip engellenmeyeceğinin belirlenmesi yapılır. Bu nedenle, ağ koruması bir siteyi engellediğinde, site engellenmiş olsa bile Microsoft Defender portalında altında DeviceNetworkEvents bir eylem türü ConnectionSuccess görebilirsiniz. DeviceNetworkEvents ağ korumasından değil TCP katmanından bildirilir. Üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilir veya ağ koruması tarafından engellenir.

Bunun nasıl çalıştığına dair bir örnek aşağıda verilmişti:

  1. Bir kullanıcının cihazında bir web sitesine erişmeye çalıştığı varsayılmaktadır. Site tehlikeli bir etki alanında barındırılacak ve ağ koruması tarafından engellenmelidir.

  2. TCP/IP aracılığıyla üç yönlü el sıkışması başlar. İşlem tamamlanmadan önce bir DeviceNetworkEvents eylem günlüğe kaydedilir ve eylemi ActionType olarak ConnectionSuccesslistelenir. Ancak, üç yönlü el sıkışma işlemi tamamlandığında ağ koruması siteye erişimi engeller. Tüm bunlar hızlı bir şekilde gerçekleşir. Benzer bir işlem Microsoft Defender SmartScreen ile gerçekleşir; üç yönlü el sıkışması tamamlandığında belirleme yapılır ve siteye erişim engellenir veya izin verilir.

  3. Microsoft Defender portalında, uyarılar kuyruğunda bir uyarı listelenir. Bu uyarının ayrıntıları hem hem AlertEvidencede DeviceNetworkEvents içerir. ActionType içeren bir DeviceNetworkEvents öğeniz de olsa, sitenin ConnectionSuccessengellendiğini görebilirsiniz.

Çoklu Oturum Windows 10 Enterprise çalışan Windows sanal masaüstü için dikkat edilmesi gerekenler

Windows 10 Enterprise çok kullanıcılı yapısı nedeniyle aşağıdaki noktaları göz önünde bulundurun:

  1. Ağ koruması cihaz genelindeki bir özelliktir ve belirli kullanıcı oturumlarına hedeflenemez.

  2. Web içeriği filtreleme ilkeleri de cihaz genelindedir.

  3. Kullanıcı grupları arasında ayrım yapmanız gerekiyorsa, ayrı Windows Sanal Masaüstü konak havuzları ve atamaları oluşturmayı göz önünde bulundurun.

  4. Dağıtımdan önce davranışını değerlendirmek için ağ korumasını denetim modunda test edin.

  5. Çok fazla sayıda kullanıcınız veya çok sayıda çok kullanıcılı oturumunuz varsa dağıtımınızı yeniden boyutlandırmayı göz önünde bulundurun.

Ağ koruması için alternatif seçenek

Azure'da Windows Sanal Masaüstü'nde kullanılan modern birleştirilmiş çözüm, Windows Server sürüm 1803 veya üzeri ve Windows 10 Enterprise Çoklu Oturum 1909 ve üzerini kullanan Windows Server 2012 R2 ve Windows Server 2016 için, microsoft edge için ağ koruması aşağıdaki yöntem kullanılarak etkinleştirilebilir:

  1. Ağ korumasını aç'ı kullanın ve ilkenizi uygulamak için yönergeleri izleyin.

  2. Aşağıdaki PowerShell komutlarını yürütür:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      Not

      Bazı durumlarda altyapınıza, trafik hacminize ve diğer koşullara Set-MpPreference -AllowDatagramProcessingOnWinServer 1 bağlı olarak ağ performansı üzerinde bir etkisi olabilir.

Windows Sunucuları için ağ koruması

Aşağıda Windows Sunucularına özgü bilgiler yer alır.

Ağ korumasının etkinleştirildiğini doğrulama

Registry Düzenleyici kullanarak yerel bir cihazda ağ korumasının etkinleştirilip etkinleştirilmediğini doğrulayın.

  1. Görev çubuğunda başlangıç düğmesini seçin ve kayıt defteri Düzenleyici açmak için regedit yazın.

  2. Yan menüden HKEY_LOCAL_MACHINE'ı seçin.

  3. İç içe menülerde YAZıLıM>İlkeleri>Microsoft>Windows Defender Windows Defender>Exploit GuardAğ Koruması'na> gidin.

    (Anahtar yoksa YAZILIM'a> gidinMicrosoft>Windows Defender>Windows Defender Exploit Guard>Ağ Koruması)

  4. Cihazdaki ağ korumasının geçerli durumunu görmek için EnableNetworkProtection öğesini seçin:

    • 0 = Kapalı
    • 1 = Açık (etkin)
    • 2 = Denetim modu

Daha fazla bilgi için bkz . Ağ korumasını açma.

Ağ koruması önerilen kayıt defteri anahtarları

Modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2 ve Windows Server 2016 için, Windows Server sürüm 1803 veya üzeri ve Windows 10 Enterprise Çoklu Oturum 1909 ve üzeri (Azure'da Windows Sanal Masaüstü'nde kullanılır) aşağıdaki gibi diğer kayıt defteri anahtarlarını etkinleştirin:

  1. HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender Windows Defender>Exploit Guard>Ağ Koruması'na gidin.

  2. Aşağıdaki anahtarları yapılandırın:

    • AllowNetworkProtectionOnWinServer (DWORD) ayarı 1 (onaltılık)
    • EnableNetworkProtection (DWORD) ayarı 1 (onaltılık)
    • (Windows Server 2012 R2 ve yalnızca Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) ayarı 1 (onaltılık)

Not

Altyapınıza, trafik hacmine ve diğer koşullara bağlı olarak,>HKEY_LOCAL_MACHINE YAZILIM>İlkeleri>Microsoft>Windows Defender>NIS>Tüketiciler>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (onaltılık) ağ performansı üzerinde bir etki oluşturabilir.

Daha fazla bilgi için bkz. Ağ korumasını açma

Windows Sunucuları ve Windows Çoklu oturum yapılandırması için PowerShell gerekir

Windows Sunucuları ve Windows Multi-session için, PowerShell cmdlet'lerini kullanarak etkinleştirmeniz gereken başka öğeler de vardır. Modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2 ve Windows Server 2016 için, Windows Server sürüm 1803 veya üzeri ile Azure'daki Windows Sanal Masaüstü'nde kullanılan Çok Oturumlu 1909 ve sonraki Windows 10 Enterprise aşağıdaki PowerShell komutlarını çalıştırın:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Not

Bazı durumlarda altyapınıza, trafik hacminize ve diğer koşullara Set-MpPreference -AllowDatagramProcessingOnWinServer 1 bağlı olarak ağ performansını etkileyebilir.

Ağ koruması sorunlarını giderme

Ağ korumasının çalıştığı ortam nedeniyle, özellik işletim sistemi proxy ayarlarını algılayamayabilir. Bazı durumlarda ağ koruma istemcileri bulut hizmetine erişemez. Bağlantı sorununu çözmek için Microsoft Defender Virüsten Koruma için statik bir ara sunucu yapılandırın.

Not

Sorun gidermeye başlamadan önce kullanılan tarayıcılarda QUIC protokollerini disabled olarak ayarladığınızdan emin olun. QUIC protokolü ağ koruma işlevselliğiyle desteklenmez.

Genel Güvenli Erişim şu anda UDP trafiğini desteklemediğinden, bağlantı noktasına 443 UDP trafiği tünellenemez. Genel Güvenli Erişim istemcilerinin HTTPS kullanmaya (443 numaralı bağlantı noktasında TCP trafiği) geri dönebilmesi için QUIC protokolünü devre dışı bırakabilirsiniz. Erişmeye çalıştığınız sunucular QUIC'yi destekliyorsa (örneğin, Microsoft Exchange Online aracılığıyla) bu değişikliği yapmalısınız. QUIC'yi devre dışı bırakmak için aşağıdaki eylemlerden birini gerçekleştirebilirsiniz:

Windows Güvenlik Duvarı'nda QUIC'yi devre dışı bırakma

QUIC'yi devre dışı bırakmak için en genel yöntem, Bu özelliği Windows Güvenlik Duvarı'nda devre dışı bırakmaktır. Bu yöntem tarayıcılar ve istemci uygulamaları (Microsoft Office gibi) dahil olmak üzere tüm uygulamaları etkiler. PowerShell'de cmdlet'ini çalıştırarak cihazdan New-NetFirewallRule giden tüm trafik için QUIC'yi devre dışı bırakmaya yönelik yeni bir güvenlik duvarı kuralı ekleyin:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Web tarayıcısında QUIC'yi devre dışı bırakma

QUIC'yi web tarayıcısı düzeyinde devre dışı bırakabilirsiniz. Ancak, QUIC'yi devre dışı bırakmanın bu yöntemi, QUIC'nin uyumlu olmayan uygulamalarda çalışmaya devam etmesi anlamına gelir. Microsoft Edge veya Google Chrome'da QUIC'yi devre dışı bırakmak için tarayıcıyı açın, Deneysel QUIC protokolü ayarını (#enable-quic bayrağı) bulun ve ardından ayarı olarak Disableddeğiştirin. Aşağıdaki tabloda, tarayıcının adres çubuğuna hangi URI'nin girildiği gösterilir ve böylece bu ayara erişebilirsiniz.

Tarayıcı URI
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

Ağ koruma performansını iyileştirme

Ağ koruması, modun uzun süreli bağlantıları zaman uyumsuz olarak incelemesine olanak tanıyan block performans iyileştirmesini içerir ve bu da performans iyileştirmesi sağlayabilir. Bu iyileştirme, uygulama uyumluluk sorunlarına da yardımcı olabilir. Bu özellik varsayılan olarak açıktır. Aşağıdaki PowerShell cmdlet'ini kullanarak bu özelliği kapatabilirsiniz:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.