网络保护功能评估

适用于:

网络保护 有助于防止员工使用任何应用程序访问可能在 Internet 上托管网络钓鱼欺诈、攻击和其他恶意内容的危险域。

本文通过启用该功能并指导你访问测试站点来帮助你评估网络保护。 此评估文章中的站点不是恶意站点。 他们是专门创建的网站,假装是恶意的。 站点会复制用户访问恶意站点或域时会发生的行为。

在审核模式下启用网络保护

在审核模式下启用网络保护,以查看哪些 IP 地址和域可能被阻止。 可以确保它不会影响业务线应用,或了解阻止发生的频率。

  1. 在“开始”菜单中键入 powershell,右键单击“Windows PowerShell并选择”以管理员身份运行

  2. 输入以下 cmdlet:

    Set-MpPreference -EnableNetworkProtection AuditMode
    

访问 (虚假) 恶意域

  1. 打开 Internet Explorer、Google Chrome 或你选择的任何其他浏览器。

  2. 转到 https://smartscreentestratings2.net

    允许网络连接,并显示一条测试消息。

    连接阻塞通知

注意

即使站点受到网络保护的阻止,网络连接也可以成功。 若要了解详细信息,请参阅 网络保护和 TCP 三向握手

查看 Windows 事件查看器中的网络保护事件

若要查看本来会被阻止的应用,请在 Microsoft-Windows-Windows Defender/操作日志中打开事件查看器并筛选事件 ID 1125。 下表列出了所有网络保护事件。

事件 ID 提供/源 说明
5007 Windows Defender (操作) 更改设置时的事件
1125 Windows Defender (操作) 审核网络连接时的事件
1126 Windows Defender (操作) 网络连接被阻止时的事件

排查网络保护问题

如果网络保护未能检测到,请确保已启用以下先决条件:

  1. Microsoft Defender防病毒是主防病毒应用 (活动模式)

  2. 已启用行为监视

  3. 云保护已启用

  4. 云保护网络连接正常运行

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区