使用网络保护来帮助防止连接到恶意或可疑站点

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows
• macOS
• Linux

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

网络保护概述

网络保护通过防止连接到恶意或可疑站点，帮助保护设备免受某些基于 Internet 的事件的影响。 网络保护是一种攻击面减少功能，可帮助防止组织中的人员通过应用程序访问被视为危险的域。 危险域的示例包括托管 Internet 上的网络钓鱼欺诈、攻击和其他恶意内容的域。 网络保护扩展了 Microsoft Defender SmartScreen 的范围，以阻止所有尝试基于域或主机名) 连接到低信誉源 (的出站 HTTP (S) 流量。

网络保护将 Web 保护 中的保护扩展到操作系统级别，并且是 Web 内容筛选 (WCF) 的核心组件。 它向其他受支持的浏览器和非浏览器应用程序提供 Microsoft Edge 中的 Web 保护功能。 当与 终结点检测和响应一起使用时，网络保护还提供 (IOC 入侵指标的可见性和阻止) 。 例如，网络保护适用于可用于阻止特定域或主机名的 自定义指示器 。

网络保护覆盖范围

下表汇总了网络保护覆盖范围。

功能	Microsoft Edge	第三方浏览器	非浏览程序进程 (例如，PowerShell)
Web 威胁防护	必须启用 SmartScreen	网络保护必须处于阻止模式	网络保护必须处于阻止模式
自定义指示器	必须启用 SmartScreen	网络保护必须处于阻止模式	网络保护必须处于阻止模式
Web 内容筛选	必须启用 SmartScreen	网络保护必须处于阻止模式	不支持

注意

在 Mac 和 Linux 上，必须在块模式下进行网络保护才能在 Edge 中获取对这些功能的支持。 在 Windows 上，网络保护不监视 Microsoft Edge。 对于除 Microsoft Edge 和 Internet Explorer 以外的进程，Web 保护方案利用网络保护进行检查和执行。

• 所有三种协议都支持 IP， (TCP、HTTP 和 HTTPS (TLS) ) 。
• 仅支持单个 IP 地址， (自定义指示器中不) CIDR 块或 IP 范围。
• 只能在第一方浏览器 (Internet Explorer、Edge) 阻止 (完整路径) 的加密 URL。
• (FQDN 的加密 URL 只能在第三方浏览器中阻止) ， (Internet Explorer、Edge) 。
• 完整的 URL 路径块可以应用于未加密的 URL。

执行操作和阻止 URL 和 IP 之间的延迟可能最多为 2 小时， (通常) 较少。

观看此视频，了解网络保护如何帮助减少设备受网络钓鱼诈骗、攻击和其他恶意内容的攻击面。

网络保护要求

网络保护需要运行以下操作系统之一的设备：

• Windows 10 或 11 (专业版或企业版) (请参阅受支持的 Windows 版本)
• Windows Server 版本 1803 或更高版本 (请参阅 支持的 Windows 版本)
• macOS 版本 12 (Monterey) 或更高版本 (在 Mac) 上查看Microsoft Defender for Endpoint
• 支持的 Linux 版本 (查看 Linux) 上的Microsoft Defender for Endpoint

网络保护还需要Microsoft Defender启用了实时保护的防病毒。

Windows 版本	Microsoft Defender 防病毒
Windows 10版本 1709 或更高版本、Windows 11、Windows Server 1803 或更高版本	确保启用Microsoft Defender防病毒实时保护、行为监视和云交付保护 (活动)
使用统一代理Windows Server 2012 R2 和Windows Server 2016	平台更新版本 4.18.2001.x.x 或更高版本

为什么网络保护很重要

网络保护是Microsoft Defender for Endpoint中攻击面减少解决方案组的一部分。 网络保护使网络层能够阻止 URL 和 IP 地址。 网络保护可以阻止使用某些浏览器和标准网络连接访问 URL。 默认情况下，网络保护使用 SmartScreen 源保护计算机免受已知恶意 URL 的侵害，该源会以类似于 Microsoft Edge 浏览器中的 SmartScreen 的方式阻止恶意 URL。 网络保护功能可以扩展到：

• 阻止来自你自己的威胁情报的 IP/URL 地址 (指示器)
• 阻止未批准的服务Microsoft Defender for Cloud Apps
• 基于类别 (Web 内容筛选) 阻止浏览器访问网站

网络保护是Microsoft保护和响应堆栈的关键部分。

提示

有关 Windows Server、Linux、MacOS 和移动威胁防御 (MTD) 的网络保护的详细信息，请参阅 使用高级搜寻主动搜寻威胁。

阻止命令和控制攻击

命令和控制 (C2) 服务器计算机被恶意用户使用，将命令发送到以前受到恶意软件入侵的系统。 C2 攻击通常隐藏在基于云的服务（如文件共享和 Web 邮件服务）中，使 C2 服务器能够通过与典型流量混合来避免检测。

C2 服务器可用于启动命令，这些命令可以：

• 窃取数据
• 控制僵尸网络中遭到入侵的计算机
• 中断合法应用程序
• 传播恶意软件，例如勒索软件

Defender for Endpoint 的网络保护组件使用机器学习和智能入侵指示器 (IoC) 识别等技术，识别并阻止与人为操作勒索软件攻击中使用的 C2 基础结构的连接。

网络保护：C2 检测和修正

勒索软件最初是一种商品威胁，它预先编程，侧重于有限的特定结果， (如加密计算机) 。 但是，勒索软件已演变成一种复杂的威胁，这种威胁是人为驱动的、自适应的，并侧重于更大规模和更广泛的结果，例如，将整个组织的资产或数据用于赎金。

对 C2) (命令和控制服务器的支持是此勒索软件演变的重要组成部分，正是它使这些攻击能够适应其目标环境。 中断到命令和控制基础结构的链接会阻止攻击进展到下一阶段。 有关 C2 检测和修正的详细信息，请参阅 检测和修正网络层的命令和控制攻击。

网络保护：新建 Toast 通知

新映射	响应类别	源
仿冒	网络钓鱼	SmartScreen
恶意	恶意	SmartScreen
命令和控制	C2	SmartScreen
命令和控制	COCO	SmartScreen
恶意	可信	SmartScreen
由 IT 管理员	CustomBlockList
由 IT 管理员	CustomPolicy

注意

customAllowList 不会在终结点上生成通知。

网络保护确定的新通知

网络保护中公开可用的新功能利用 SmartScreen 中的功能来阻止来自恶意命令和控制站点的钓鱼活动。 当最终用户尝试访问启用了网络保护的环境中的网站时，可能采用三种方案：

• URL 有一个 已知的良好信誉 - 在这种情况下，用户可以不受阻碍地进行访问，并且终结点上不会显示 Toast 通知。 实际上，域或 URL 设置为 “允许”。
• URL 具有 未知或不确定的信誉 - 用户的访问被阻止，但能够绕过 (取消阻止) 阻止。 实际上，域或 URL 设置为 Audit。
• URL 具有 已知的恶意 (恶意) 信誉 - 阻止用户访问。 实际上，域或 URL 设置为 “阻止”。

警告体验

用户访问网站：

• 如果 URL 具有未知或不确定的信誉，则 Toast 通知会向用户提供以下选项：

  • 确定 - 将释放 toast 通知 (删除) ，并结束访问网站的尝试。

  • 取消阻止 - 用户有权访问站点 24 小时;此时重新启用块。 用户可以继续使用 Unblock 访问站点，直到管理员禁止 (块) 站点，从而删除 “取消阻止”选项。

  • 反馈 - Toast 通知向用户提供一个用于提交票证的链接，用户可以使用该链接向管理员提交反馈，以尝试证明对网站的访问合理性。

    

  注意

  本文中显示的体验和block体验图像都warn使用“阻止 URL”作为示例占位符文本。 在正常运行的环境中，会列出实际 URL 或域。

块体验

用户访问网站：

• 如果 URL 信誉不佳，则 Toast 通知会向用户提供以下选项：

  • 还行 将释放 toast 通知 (删除) ，并结束访问网站的尝试。

  • 反馈 Toast 通知向用户提供一个用于提交票证的链接，用户可以使用该链接向管理员提交反馈，以尝试证明对网站的访问合理性。

    

SmartScreen 取消阻止

使用 Defender for Endpoint 中的指示器，管理员可以允许最终用户绕过为某些 URL 和 IP 生成的警告。 根据 URL 被阻止的原因，在遇到 SmartScreen 阻止时，它可以为用户提供长达 24 小时取消阻止站点的功能。 在这种情况下，将显示Windows 安全中心 Toast 通知，允许用户选择“取消阻止”。 在这种情况下，URL 或 IP 在指定的时间段内会取消阻止。

Microsoft Defender for Endpoint管理员可以使用 IP、URL 和域的允许指示器在 Microsoft Defender 门户中配置 SmartScreen 取消阻止功能。

请参阅 为 IP 和 URL/域创建指示器。

使用网络保护

网络保护按设备启用，这通常是使用管理基础结构完成的。 有关支持的方法，请参阅 启用网络保护。

注意

Microsoft Defender防病毒必须处于活动模式才能启用网络保护。

可以在模式或block模式下启用网络保护audit。 如果要在实际阻止 IP 地址或 URL 之前评估启用网络保护的影响，可以在审核模式下启用网络保护，并收集有关将阻止的内容的数据。 每当最终用户连接到会被网络保护阻止的地址或站点时，审核模式都会记录。 若要使入侵指标 (IoC) 或 Web 内容筛选 (WCF) 有效，网络保护必须处于 block 模式。

有关 Linux 和 macOS 的网络保护的信息，请参阅以下文章：

• 适用于 Linux 的网络保护
• 适用于 macOS 的网络保护

高级搜寻

如果使用高级搜寻来识别审核事件，则控制台提供长达 30 天的历史记录。 请参阅 高级搜寻。

可以在 Defender for Endpoint 门户的高级 搜寻 中找到审核事件， https://security.microsoft.com () 。

审核事件位于 DeviceEvents 中，ActionType 为 ExploitGuardNetworkProtectionAudited。 显示块时，ActionType 为 ExploitGuardNetworkProtectionBlocked。

下面是用于查看非Microsoft浏览器的网络保护事件的示例查询：

DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

提示

这些条目具有 AdditionalFields 列中的数据，这为你提供了有关操作的出色信息，如果展开 “AdditionalFields” ，还可以获取字段： IsAudit、 ResponseCategory 和 DisplayName。

下面是另一个示例：

DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

“响应”类别告知导致事件的原因，如以下示例所示：

ResponseCategory	负责事件的功能
CustomPolicy	WCF
CustomBlockList	自定义指示器
CasbPolicy	Defender for Cloud Apps
恶意	Web 威胁
网络钓鱼	Web 威胁

有关详细信息，请参阅 排查终结点块问题。

如果使用的是 Microsoft Edge 浏览器，请对Microsoft Defender SmartScreen 事件使用此查询：

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

可以使用生成的 URL 和 IP 列表来确定在设备上将网络保护设置为阻止模式时将阻止的内容。 还可以查看哪些功能会阻止 URL 和 IP。 查看列表以标识环境所需的任何 URL 或 IP。 然后，可以为这些 URL 或 IP 地址创建允许指示器。 允许指示器优先于任何块。

创建指示器后，可以按如下所示查看解决基础问题：

• SmartScreen - 请求评审
• 指示器 - 修改现有指示器
• MCA - 查看未批准的应用
• WCF - 请求重新分类

使用此数据，可以做出有关在阻止模式下启用网络保护的明智决策。 请参阅 网络保护块的优先级顺序。

注意

由于这是按设备设置，因此如果某些设备无法转到“阻止”模式，则只需将其保留审核状态，直到可以纠正质询，并且仍会收到审核事件。

有关如何报告误报的信息，请参阅 报告误报。

有关如何创建自己的 Power BI 报表的详细信息，请参阅 使用 Power BI 创建自定义报表。

配置网络保护

有关如何启用网络保护的详细信息，请参阅 启用网络保护。 使用 组策略、PowerShell 或 MDM CSP 在网络中启用和管理网络保护。

启用网络保护后，可能需要配置网络或防火墙，以允许终结点设备和 Web 服务之间的连接：

• .smartscreen.microsoft.com
• .smartscreen-prod.microsoft.com

查看网络保护事件

网络保护最适用于 Microsoft Defender for Endpoint，它提供针对攻击保护事件和块的详细报告，作为警报调查方案的一部分。

当网络保护阻止连接时，将从操作中心显示通知。 安全运营团队可以使用组织的详细信息和联系信息 自定义通知 。 此外，还可以启用和自定义单个攻击面减少规则，以适应某些要监视的技术。

还可以使用 审核模式 来评估网络保护在启用后对组织的影响。

在Microsoft Defender门户中查看网络保护事件

Defender for Endpoint 在其 警报调查方案中提供事件和块的详细报告。 可以在Microsoft Defender门户中查看这些详细信息， (https://security.microsoft.com警报队列中的) 或使用高级搜寻。 如果使用的是 审核模式，则可以使用高级搜寻来了解网络保护设置在启用后将如何影响你的环境。

查看 Windows 事件查看器中的网络保护事件

可以查看 Windows 事件日志，查看网络保护阻止 (或审核) 访问恶意 IP 或域时创建的事件：

1. 直接复制 XML。

2. 选择“确定”。

此过程创建一个自定义视图，该视图筛选为仅显示与网络保护相关的以下事件：

事件 ID	描述
5007	更改设置时的事件
1125	网络保护在审核模式下触发的事件
1126	网络保护在块模式下触发时的事件

网络保护和 TCP 三向握手

使用网络保护时，在 通过 TCP/IP 进行三向握手后，确定是允许还是阻止对站点的访问。 因此，当网络保护阻止站点时，你可能会在 Microsoft Defender 门户中看到操作类型ConnectionSuccessDeviceNetworkEvents，即使站点被阻止也是如此。 DeviceNetworkEvents 从 TCP 层而不是网络保护进行报告。 三向握手完成后，网络保护将允许或阻止对站点的访问。

下面是其工作原理的示例：

1. 假设用户尝试访问其设备上的网站。 站点恰好托管在危险域中，应受到网络保护的阻止。

2. 通过 TCP/IP 的三向握手开始。 在操作完成之前，将记录操作 DeviceNetworkEvents ，并将其 ActionType 列为 ConnectionSuccess。 但是，一旦三向握手过程完成，网络保护就会阻止对站点的访问。 这一切发生得很快。 Microsoft Defender SmartScreen 也发生了类似的过程;当三向握手完成时，即会做出决定，并阻止或允许访问站点。

3. 在Microsoft Defender门户中，警报队列中列出了一个警报。 该警报的详细信息包括 DeviceNetworkEvents 和 AlertEvidence。 可以看到站点被阻止，即使你还有一个 DeviceNetworkEvents ActionType 为 的 ConnectionSuccess项。

运行Windows 10 企业版多会话的 Windows 虚拟桌面的注意事项

由于Windows 10 企业版的多用户性质，请记住以下几点：

1. 网络保护是设备范围的一项功能，不能针对特定的用户会话。

2. Web 内容筛选策略也是设备范围的。

3. 如果需要区分用户组，请考虑创建单独的 Windows 虚拟桌面主机池和分配。

4. 在审核模式下测试网络保护，以在推出之前评估其行为。

5. 如果拥有大量用户或大量多用户会话，请考虑调整部署大小。

网络保护的替代选项

对于使用新式统一解决方案、Windows Server 版本 1803 或更高版本以及Windows 10 企业版多会话 1909 及更高版本（在 Azure 上的 Windows 虚拟桌面中使用的）Windows Server 2012 R2 和Windows Server 2016，可以使用以下方法为 Microsoft Edge 启用网络保护：

1. 使用 “启用网络保护 ”并按照说明应用策略。

2. 执行以下 PowerShell 命令：

   • Set-MpPreference -EnableNetworkProtection Enabled

   • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

   • Set-MpPreference -AllowNetworkProtectionDownLevel 1

   • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

     注意

     在某些情况下，根据基础结构、流量和其他条件， Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能会对网络性能产生影响。

Windows Server 的网络保护

以下是特定于 Windows Server 的信息。

验证是否启用了网络保护

使用注册表编辑器验证是否在本地设备上启用了网络保护。

1. 选择任务栏中的“开始”按钮，然后键入 regedit 以打开注册表编辑器。

2. 从侧边菜单中选择 “HKEY_LOCAL_MACHINE ”。

3. 在嵌套菜单中导航到 “软件>策略>”Microsoft>Windows Defender>攻击防护>网络保护。

   (如果密钥不存在，请导航到 “软件>Microsoft>Windows Defender>Windows Defender 攻击防护>网络保护)

4. 选择“ 启用网络保护 ”以查看设备上的网络保护的当前状态：

   • 0 = 关
   • 1 = 启用 ()
   • 2 = 审核模式

有关详细信息，请参阅 启用网络保护。

网络保护建议的注册表项

对于使用新式统一解决方案、Windows Server 版本 1803 或更高版本以及Windows 10 企业版多会话 1909 及更高版本 (在 Azure) 上的 Windows 虚拟桌面中使用的Windows Server 2012 R2 和Windows Server 2016，请启用其他注册表项，如下所示：

1. 转到 HKEY_LOCAL_MACHINE>软件>Microsoft>Windows Defender>攻击防护>网络保护。

2. 配置以下密钥：

   • AllowNetworkProtectionOnWinServer (DWORD) 设置为 1 (十六进制)
   • EnableNetworkProtection (DWORD) 设置为 1 (十六进制)
   • (Windows Server 2012 R2 和 Windows Server 2016 上仅) (AllowNetworkProtectionDownLevel DWORD) 设置为 1 (十六进制)

注意

根据基础结构、流量和其他条件， HKEY_LOCAL_MACHINE>软件>策略>Microsoft>Windows Defender>NIS>使用者>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (十六进制) 可能会影响网络性能。

有关详细信息，请参阅： 启用网络保护

Windows Server 和 Windows 多会话配置需要 PowerShell

对于 Windows Server 和 Windows 多会话，必须使用 PowerShell cmdlet 启用其他项。 对于使用新式统一解决方案（Windows Server 版本 1803 或更高版本）的Windows Server 2012 R2 和Windows Server 2016，以及Windows 10 企业版 Azure 上的 Windows 虚拟桌面中使用的多会话 1909 及更高版本，请运行以下 PowerShell 命令：

Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

注意

在某些情况下，根据基础结构、流量和其他条件， Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能会影响网络性能。

网络保护故障排除

由于运行网络保护的环境，该功能可能无法检测操作系统代理设置。 在某些情况下，网络保护客户端无法访问云服务。 若要解决连接问题，请为 Microsoft Defender 防病毒配置静态代理。

注意

在开始故障排除之前，请确保在使用的浏览器中将 QUIC 协议 disabled 设置为 。 网络保护功能不支持 QUIC 协议。

由于全局安全访问当前不支持 UDP 流量，因此无法通过隧道传输到端口 443 的 UDP 流量。 可以禁用 QUIC 协议，以便全局安全访问客户端回退到在端口 443) 上使用 HTTPS (TCP 流量。 如果尝试访问的服务器支持 QUIC (例如通过 Microsoft Exchange Online) ，则必须进行此更改。 若要禁用 QUIC，可以执行以下操作之一：

在 Windows 防火墙中禁用 QUIC

禁用 QUIC 的最通用方法是在 Windows 防火墙中禁用该功能。 此方法影响所有应用程序，包括浏览器和客户端应用 (，例如 Microsoft Office) 。 在 PowerShell 中 New-NetFirewallRule ，运行 cmdlet 以添加新的防火墙规则，以禁用来自设备的所有出站流量的 QUIC：

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

在 Web 浏览器中禁用 QUIC

可以在 Web 浏览器级别禁用 QUIC。 但是，这种禁用 QUIC 的方法意味着 QUIC 将继续在非浏览器应用程序上运行。 若要在 Microsoft Edge 或 Google Chrome 中禁用 QUIC，请打开浏览器，找到实验性 QUIC 协议设置 (#enable-quic 标志) ，然后将设置更改为 Disabled。 下表显示了在浏览器地址栏中输入的 URI，以便可以访问该设置。

浏览器	URI
Microsoft Edge	edge://flags/#enable-quic
Google Chrome	chrome://flags/#enable-quic

优化网络保护性能

网络保护包括性能优化，允许 block 模式异步检查生存期较长的连接，这可能会提高性能。 此优化还有助于解决应用兼容性问题。 默认情况下，此功能处于打开状态。 可以使用以下 PowerShell cmdlet 关闭此功能：

Set-MpPreference -AllowSwitchToAsyncInspection $false

另请参阅

• 评估网络保护 |执行一个快速方案，演示功能的工作原理以及通常会创建哪些事件。
• 启用网络保护 |使用 组策略、PowerShell 或 MDM CSP 在网络中启用和管理网络保护。
• 在 Microsoft Intune 中配置攻击面减少功能
• 适用于 Linux 的网络保护 |了解如何对 Linux 设备使用 Microsoft网络保护。
• macOS 的网络保护 |了解有关 macOS Microsoft网络保护的详细信息

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。