启用网络保护功能

适用于:

平台

提示

希望体验 Defender for Endpoint? 注册免费试用版

网络保护 有助于防止员工使用任何应用程序访问可能托管 Internet 上网络钓鱼诈骗、攻击和其他恶意内容的危险域。 可以在测试环境中 审核网络保护 ,以查看在启用网络保护之前将阻止哪些应用。

详细了解网络筛选配置选项。

检查是否启用了网络保护

使用注册表编辑器检查是否已在本地设备上启用网络保护。

  1. 选择任务栏中的“ 开始” 按钮,然后键入 regedit 以打开注册表编辑器。

  2. 从侧边菜单中选择 “HKEY_LOCAL_MACHINE ”。

  3. 在嵌套菜单中导航到“软件>策略>Microsoft>Windows Defender>策略管理器”。

如果缺少密钥,请导航到 Software>Microsoft>Windows Defender>Windows Defender Exploit Guard>网络保护

  1. 选择“ 启用网络保护 ”以查看设备上的网络保护的当前状态:

    • 0 或
    • 1 或
    • 2 或 审核 模式

    网络保护注册表项

启用网络保护

使用以下任一方法启用网络保护:

PowerShell

  1. 在“开始”菜单中键入“PowerShell”,右键单击“Windows PowerShell”,并选择“以管理员身份运行”。

  2. 输入以下 cmdlet:

    Set-MpPreference -EnableNetworkProtection Enabled
    
  3. 可选:使用以下 cmdlet 在审核模式下启用该功能:

    Set-MpPreference -EnableNetworkProtection AuditMode
    

    使用 Disabled 而不是 AuditModeEnabled 来关闭该功能。

移动设备管理(MDM)

使用 ./Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection 配置服务提供程序 (CSP) 启用或禁用网络保护或启用审核模式。

在启用或禁用网络保护或启用审核模式之前,请将Microsoft Defender反恶意软件平台更新到最新版本

Microsoft Intune

Microsoft Defender for Endpoint基线方法

  1. () 登录到Microsoft Intune管理中心https://endpoint.microsoft.com
  2. 转到“终结点安全性>基线>Microsoft Defender for Endpoint基线”。
  3. 选择“ 创建配置文件”,为配置文件提供名称,然后选择“ 下一步”。
  4. “配置设置”部分中,转到“攻击面减少规则>”“阻止”、“启用”“审核”以启用网络保护 选择“下一步”。
  5. 根据组织的要求,选择适当的 作用域标记分配
  6. 查看所有信息,然后选择“ 创建”。

防病毒策略方法

  1. () 登录到Microsoft Intune管理中心https://endpoint.microsoft.com
  2. 转到 终结点安全性>防病毒
  3. 选择“创建策略
  4. “创建策略”浮出控件中,从“平台”列表中选择“Windows 10”、“Windows 11”和“Windows Server”。
  5. “配置文件”列表中选择“Microsoft Defender防病毒”,然后选择“创建
  6. 提供配置文件的名称,然后选择“ 下一步”。
  7. “配置设置”部分中,为“启用网络保护”选择“已禁用”、“启用 (块模式) ”或“启用 (审核模式”) ,然后选择“下一步”。
  8. 根据组织的要求,选择适当的 “分配”“范围”标记
  9. 查看所有信息,然后选择“ 创建”。

配置文件方法

  1. () 登录到Microsoft Intune管理中心https://endpoint.microsoft.com

  2. 转到“设备”>“配置文件”>“创建配置文件”。

  3. “创建配置文件”浮出控件中,选择“平台”,然后选择“配置文件类型”作为“模板”。

  4. “模板名称”中,从模板列表中选择 “终结点保护 ”,然后选择“ 创建”。

  5. 转到 Endpoint Protection>Basics,提供配置文件的名称,然后选择“ 下一步”。

  6. “配置设置”部分中,转到“Microsoft Defender攻击防护>网络筛选>”“启用>”或审核”。 选择“下一步”。

  7. 根据组织的要求,选择适当的 范围标记分配适用性规则 。 管理员可以设置更多要求。

  8. 查看所有信息,然后选择“ 创建”。

组策略

使用以下过程在已加入域的计算机或独立计算机上启用网络保护。

  1. 在独立计算机上,转到 “开始”, 然后键入并选择“ 编辑组策略”。

    -或-

    在已加入域组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  2. 策略管理编辑器中, 计算机配置 并选择 管理模板

  3. 将树展开到 Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard>网络保护

    注意

    在旧版 Windows 上,组策略路径可能会显示“Windows Defender防病毒”,而不是“Microsoft Defender防病毒”。

  4. 双击“ 阻止用户和应用访问危险网站 ”设置,并将选项设置为 “已启用”。 在“选项”部分中,必须指定以下选项之一:

    • 阻止 - 用户无法访问恶意 IP 地址和域。
    • 禁用 (默认) - 网络保护功能不起作用。 不会阻止用户访问恶意域。
    • 审核模式 - 如果用户访问恶意 IP 地址或域,则会在 Windows 事件日志中记录事件。 但是,不会阻止用户访问该地址。

    重要

    若要完全启用网络保护,必须将“组策略”选项设置为“已启用”,并在选项下拉菜单中选择“阻止”。

    注意

    可选:按照检查是否启用网络保护中的步骤操作,验证组策略设置是否正确。

Microsoft Configuration Manager

  1. 打开 Configuration Manager 控制台。

  2. 转到资产和合规性>终结点保护>Windows Defender Exploit Guard

  3. 从功能区选择“ 创建攻击防护策略 ”以创建新策略。

    • 若要编辑现有策略,请选择该策略,然后从功能区或右键单击菜单中选择“属性”。“网络保护 ”选项卡编辑“配置 网络保护 ”选项。
  4. 在“ 常规 ”页上,指定新策略的名称,并验证是否启用了 “网络保护 ”选项。

  5. 在“ 网络保护 ”页上,为“ 配置网络保护 ”选项选择以下设置之一:

    • 阻止
    • 审核
    • Disabled
  6. 完成其余步骤并保存策略。

  7. 在功能区中,选择“ 部署 ”,将策略部署到集合。

重要

从 Configuration Manager 部署 Exploit Guard 策略后,如果删除部署,则不会从客户端中删除 Exploit Guard 设置。 Delete not supported如果删除客户端的 Exploit Guard 部署,则会记录在Configuration Manager客户端的ExploitGuardHandler.log中。 可以在 SYSTEM 上下文中运行以下 PowerShell 脚本以删除这些设置:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区