使用网络保护来帮助防止连接到恶意或可疑站点

适用于：

• Microsoft Defender for Endpoint计划 1 和 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows
• macOS
• Linux

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

网络保护概述

网络保护通过防止连接到恶意站点或可疑站点来帮助保护设备。 危险域的示例包括托管网络钓鱼欺诈、恶意下载、技术欺诈或其他恶意内容的域。 网络保护扩展了 Microsoft Defender SmartScreen 的范围，以阻止所有出站 HTTP (S) 流量，这些流量尝试基于域或主机名) 连接到信誉不佳的源 (。

网络保护将 Web 保护 中的保护扩展到作系统级别，并且是 Web 内容筛选 (WCF) 的核心组件。 它向其他受支持的浏览器和非浏览器应用程序提供 Microsoft Edge 中的 Web 保护功能。 当与 终结点检测和响应一起使用时，网络保护还提供 (IOC 入侵指标的可见性和阻止) 。 例如，网络保护与 自定义指示器 一起使用，以阻止特定域或主机名。

观看此视频，了解网络保护如何帮助减少设备受网络钓鱼诈骗、攻击和其他恶意内容的攻击面：

网络保护覆盖范围

下表汇总了网络保护覆盖范围。

功能	Microsoft Edge	非Microsoft浏览器	非浏览程序进程 (例如，PowerShell)
Web 威胁防护	必须启用 SmartScreen	网络保护必须处于阻止模式	网络保护必须处于阻止模式
自定义指示器	必须启用 SmartScreen	网络保护必须处于阻止模式	网络保护必须处于阻止模式
Web 内容筛选	必须启用 SmartScreen	网络保护必须处于阻止模式	不支持

若要确保为 Microsoft Edge 启用 SmartScreen，请使用 Edge Policy： SmartScreen Enabled。

注意

在 Windows 上，网络保护不监视 Microsoft Edge。 对于除 Microsoft Edge 和 Internet Explorer 以外的进程，Web 保护方案利用网络保护进行检查和执行。 在 Mac 和 Linux 上，Microsoft Edge 浏览器仅集成 Web 威胁防护。 必须在阻止模式下启用网络保护，才能在 Edge 和其他浏览器中支持自定义指示器和 Web 内容筛选。

已知问题 & 限制

• 所有三种协议都支持 IP 地址， (TCP、HTTP 和 HTTPS (TLS) )
• 仅支持单个 IP 地址， (自定义指示器中没有 CIDR 块或 IP 范围)
• 可以阻止任何浏览器或进程的 HTTP URL (包括完整 URL 路径)
• 可以在非Microsoft浏览器中阻止 HTTPS 完全限定的域名 (FQDN) ， (指定完整 URL 路径的指示器只能在 Microsoft Edge)
• 阻止非Microsoft浏览器中的 FQDN 要求在这些浏览器中禁用 QUIC 和加密客户端 Hello
• 只能通过Microsoft Edge 阻止通过 HTTP2 连接合并加载的 FQDN
• 网络保护将阻止所有端口上的连接 (而不仅仅是 80 和 443) 。

在添加指示器/策略和阻止匹配 URL/IP 之间，延迟可能长达两个小时， (通常不太) 。

网络保护要求

网络保护需要运行以下作系统之一的设备：

• Windows 10 或 11 (专业版或企业版) (请参阅受支持的 Windows 版本)
• Windows Server版本 1803 或更高版本 (请参阅支持的 Windows 版本)
• macOS 版本 12 (Monterey) 或更高版本 (在 Mac) 上查看Microsoft Defender for Endpoint
• 支持的 Linux 版本 (查看 Linux) 上的Microsoft Defender for Endpoint

网络保护还需要Microsoft Defender启用了实时保护的防病毒。

Windows 版本	Microsoft Defender 防病毒
Windows 10版本 1709 或更高版本、Windows 11 Windows Server 1803 或更高版本	确保 (活动 ) 启用了Microsoft Defender防病毒实时保护、行为监视和云提供的保护
使用新式统一解决方案Windows Server 2012 R2 和Windows Server 2016	平台更新版本 4.18.2001.x.x 或更高版本

为什么网络保护很重要

网络保护是Microsoft Defender for Endpoint中攻击面减少解决方案组的一部分。 网络保护使网络层能够阻止与域和 IP 地址的连接。 默认情况下，网络保护使用 SmartScreen 源保护计算机免受已知恶意域的侵害，SmartScreen 源会以类似于 Microsoft Edge 浏览器中的 SmartScreen 的方式阻止恶意 URL。 网络保护功能可以扩展到：

• 阻止来自你自己的威胁情报的 IP/URL 地址 (指示器)
• 阻止未批准的服务Microsoft Defender for Cloud Apps
• 基于类别 (Web 内容筛选) 阻止浏览器访问网站

提示

有关 Windows Server、Linux、macOS 和移动威胁防御 (MTD) 的网络保护的详细信息，请参阅使用高级搜寻主动搜寻威胁。

阻止命令和控制攻击

命令和控制 (C2) 服务器用于将命令发送到以前受到恶意软件入侵的系统。

C2 服务器可用于启动命令，这些命令可以：

• 窃取数据
• 控制僵尸网络中遭到入侵的计算机
• 中断合法应用程序
• 传播恶意软件，例如勒索软件

Defender for Endpoint 的网络保护组件使用机器学习和智能入侵指示器 (IoC) 识别等技术，识别和阻止与人为作勒索软件攻击中使用的 C2 服务器的连接。

网络保护：C2 检测和修正

勒索软件已演变成一种复杂的威胁，这种威胁是人为驱动的、自适应的，并且侧重于大规模结果，例如持有整个组织的资产或数据以获取赎金。

对 C2) (命令和控制服务器的支持是此勒索软件演变的重要组成部分，正是它使这些攻击能够适应其目标环境。 中断到命令和控制基础结构的链接会阻止攻击进展到下一阶段。 有关 C2 检测和修正的详细信息，请参阅 技术社区博客：检测和修正网络层的命令和控制攻击。

网络保护：新建 Toast 通知

新映射	响应类别	源
phishing	Phishing	SmartScreen
malicious	Malicious	SmartScreen
command and control	C2	SmartScreen
command and control	COCO	SmartScreen
malicious	Untrusted	SmartScreen
by your IT admin	CustomBlockList
by your IT admin	CustomPolicy

注意

customAllowList 不会在终结点上生成通知。

网络保护确定的新通知

当最终用户尝试访问启用了网络保护的环境中的网站时，可能会有三种方案，如下表所述：

应用场景	发生的情况
URL 具有已知的良好信誉	允许用户在没有阻碍的情况下进行访问，并且终结点上没有显示 Toast 通知。 实际上，域或 URL 设置为 “允许”。
URL 具有未知或不确定的信誉	用户的访问被阻止，但能够绕过 (取消阻止) 阻止。 实际上，域或 URL 设置为 Audit。
该 URL 具有已知的恶意) 信誉 (不良	阻止用户访问。 实际上，域或 URL 设置为 “阻止”。

警告体验

用户访问网站。 如果 URL 具有未知或不确定的信誉，则 Toast 通知会向用户提供以下选项：

• 确定：将释放 toast 通知 (删除) ，并且尝试访问站点已结束。
• 取消阻止：用户有权访问站点 24 小时;此时重新启用块。 用户可以继续使用 Unblock 访问站点，直到管理员禁止 (块) 站点，从而删除 “取消阻止”选项。
• 反馈：Toast 通知向用户提供一个用于提交票证的链接，用户可以使用该链接向管理员提交反馈，以尝试证明对站点的访问的合理性。

注意

本文中显示的体验和block体验图像都warn使用“阻止 URL”作为示例占位符文本。 在正常运行的环境中，会列出实际 URL 或域。

使用 CSP 启用 Convert warn verdict to block

默认情况下，针对恶意站点的 SmartScreen 判决会导致用户可重写的警告。 可以将策略设置为将警告转换为块，从而防止此类替代。

对于非 Edge 浏览器，请参阅 Defender CSP：Configuration/EnableConvertWarnToBlock。 对于 Edge 浏览器，请参阅 Edge 策略：阻止 SmartScreen 提示重写。

使用组策略启用转换警告判决以阻止

通过启用此设置，网络保护会阻止网络流量，而不是显示警告。

1. 在组策略管理计算机上，打开 策略管理控制台。

2. 右键单击要配置的组策略对象，然后选择“编辑”。

3. 在“组策略管理编辑器转到”计算机配置“，然后选择”管理模板”。

4. 将树展开到 Windows 组件>Microsoft Defender防病毒>网络检查系统。

5. 双击“ 转换警告判决”以阻止 ，并将选项设置为 “已启用”。

6. 选择“确定”。

块体验

当用户访问其 URL 信誉不佳的网站时，Toast 通知会向用户提供以下选项：

• 确定：将释放 toast 通知 (删除) ，并且尝试访问站点已结束。
• 反馈：Toast 通知向用户提供一个用于提交票证的链接，用户可以使用该链接向管理员提交反馈，以尝试证明对站点的访问的合理性。

SmartScreen 取消阻止

使用 Defender for Endpoint 中的指示器，管理员可以允许最终用户绕过为某些 URL 和 IP 生成的警告。 根据 URL 被阻止的原因，在遇到 SmartScreen 阻止时，它可以为用户提供长达 24 小时取消阻止站点的功能。 在这种情况下，将显示Windows 安全中心 Toast 通知，允许用户选择“取消阻止”。 在这种情况下，URL 或 IP 在指定的时间段内会取消阻止。

Microsoft Defender for Endpoint管理员可以使用 IP、URL 和域的允许指示器在 Microsoft Defender 门户中配置 SmartScreen 取消阻止功能。

请参阅 为 IP 和 URL/域创建指示器。

使用网络保护

网络保护按设备启用，这通常是使用管理基础结构完成的。 有关支持的方法，请参阅 启用网络保护。

注意

Microsoft Defender防病毒必须处于活动模式才能启用网络保护。

可以在模式或block模式下启用网络保护audit。 如果要在实际阻止 IP 地址或 URL 之前评估启用网络保护的影响，可以在 审核模式下启用网络保护。 每当最终用户连接到会被网络保护阻止的地址或站点时，审核模式都会记录。 若要强制阻止自定义指示器或 Web 内容筛选类别，网络保护必须处于 block 模式。

有关 Linux 和 macOS 的网络保护的信息，请参阅以下文章：

• 适用于 Linux 的网络保护
• 适用于 macOS 的网络保护

高级搜寻

如果使用高级搜寻来识别审核事件，则控制台提供长达 30 天的历史记录。 请参阅 高级搜寻。

可以在 Defender for Endpoint 门户的高级 搜寻 中找到审核事件， https://security.microsoft.com () 。

审核事件位于 DeviceEvents 中，ActionType 为 ExploitGuardNetworkProtectionAudited。 显示块时，ActionType 为 ExploitGuardNetworkProtectionBlocked。

下面是用于查看非Microsoft浏览器的网络保护事件的示例查询：

DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

提示

这些条目包含 AdditionalFields 列中的数据，该列提供有关作的详细信息，包括以下字段： IsAudit、 ResponseCategory 和 DisplayName。

下面是另一个示例：

DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

“响应”类别告知导致事件的原因，如以下示例所示：

ResponseCategory	负责事件的功能
CustomPolicy	WCF
CustomBlockList	自定义指示器
CasbPolicy	Defender for Cloud Apps
Malicious	Web 威胁
Phishing	Web 威胁

有关详细信息，请参阅 排查终结点块问题。

如果使用的是 Microsoft Edge 浏览器，请对Microsoft Defender SmartScreen 事件使用此查询：

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

可以使用生成的 URL 和 IP 列表来确定在设备上将网络保护设置为阻止模式时将阻止的内容。 还可以查看哪些功能会阻止 URL 和 IP。 查看列表以标识环境所需的任何 URL 或 IP。 然后，可以为这些 URL 或 IP 地址创建允许指示器。 允许指示器优先于任何块。 请参阅 网络保护块的优先级顺序。

创建指示器以取消阻止网站后，可以尝试解析原始块，如下所示：

• SmartScreen：报告误报（如果适用）
• 指示器：修改现有指示器
• MCA：查看未批准的应用
• WCF：请求重新分类

注意

由于这是按设备设置，因此，如果某些设备无法移动到“阻止”模式，则只需让设备接受审核即可接收审核事件。

有关如何在 SmartScreen 数据中报告误报的信息，请参阅 报告误报。

有关如何创建自己的 Power BI 报表的详细信息，请参阅 使用 Power BI 创建自定义报表。

配置网络保护

有关如何启用网络保护的详细信息，请参阅 启用网络保护。 使用 组策略、PowerShell 或 MDM CSP 在网络中启用和管理网络保护。

启用网络保护后，可能需要配置网络或防火墙，以允许终结点设备和 Web 服务之间的连接：

• .smartscreen.microsoft.com
• .smartscreen-prod.microsoft.com

所需的浏览器配置

在非Microsoft Edge 进程中，网络保护通过检查 TCP/IP 握手后发生的 TLS 握手的内容来确定每个 HTTPS 连接的完全限定域名。 这要求 HTTPS 连接使用 TCP/IP (而不是 UDP/QUIC) 并且不加密 ClientHello 消息。 若要在 Google Chrome 中禁用 QUIC 和 Encrypted Client Hello，请参阅 QuicAllowed 和 EncryptedClientHelloEnabled。 对于 Mozilla Firefox，请参阅 Disable EncryptedClientHello and network.http.http3.enable。

查看网络保护事件

网络保护最适用于 Microsoft Defender for Endpoint，它提供针对攻击保护事件和块的详细报告，作为警报调查方案的一部分。

当网络保护阻止连接时，客户端上会显示通知。 安全运营团队可以使用组织的详细信息和联系信息 自定义通知 。

在Microsoft Defender门户中查看网络保护事件

Defender for Endpoint 在其 警报调查方案中提供事件和块的详细报告。 可以在Microsoft Defender门户中查看这些详细信息， (https://security.microsoft.com警报队列中的) 或使用高级搜寻。 如果使用的是 审核模式，则可以使用高级搜寻来了解网络保护设置在启用后将如何影响你的环境。

查看 Windows 事件查看器中的网络保护事件

可以查看 Windows 事件日志，查看网络保护阻止 (或审核) 访问恶意 IP 或域时创建的事件：

1. 创建 XML 查询。

2. 选择“确定”。

此过程创建一个自定义视图，该视图筛选为仅显示与网络保护相关的以下事件：

事件 ID	描述
5007	更改设置时的事件
1125	网络保护在审核模式下触发的事件
1126	网络保护在块模式下触发时的事件

网络保护和 TCP 三向握手

使用网络保护时，在 通过 TCP/IP 进行三向握手后，确定是允许还是阻止对站点的访问。 因此，当网络保护阻止站点时，你可能会在 Microsoft Defender 门户中看到作类型ConnectionSuccessDeviceNetworkEvents，即使站点被阻止也是如此。 DeviceNetworkEvents 从 TCP 层而不是网络保护进行报告。 完成 TCP/IP 握手和任何 TLS 握手后，网络保护将允许或阻止对站点的访问。

下面是其工作原理的示例：

1. 假设用户尝试访问网站。 站点恰好托管在危险域中，应受到网络保护的阻止。

2. 通过 TCP/IP 的三向握手开始。 在作完成之前，将记录作 DeviceNetworkEvents ，并将其 ActionType 列为 ConnectionSuccess。 但是，一旦三向握手过程完成，网络保护就会阻止对站点的访问。 这一切发生得很快。

3. 在Microsoft Defender门户中，警报队列中列出了一个警报。 该警报的详细信息包括 DeviceNetworkEvents 和 AlertEvidence。 可以看到站点被阻止，即使你还有一个 DeviceNetworkEvents ActionType 为 的 ConnectionSuccess项。

运行Windows 10 企业版多会话的 Windows 虚拟桌面的注意事项

由于Windows 10 企业版的多用户性质，请记住以下几点：

• 网络保护是设备范围的一项功能，不能针对特定的用户会话。
• 如果需要区分用户组，请考虑创建单独的 Windows 虚拟桌面主机池和分配。
• 在审核模式下测试网络保护，以在推出之前评估其行为。
• 如果拥有大量用户或大量多用户会话，请考虑调整部署大小。

网络保护的替代选项

对于使用新式统一解决方案的Windows Server 2012 R2 和Windows Server 2016，Windows Server版本 1803 或更高版本，以及 Windows 10 企业版在 Azure 上的 Windows 虚拟桌面中使用的多会话 1909 及更高版本，可以使用以下方法启用 Microsoft Edge 的网络保护：

1. 使用 “启用网络保护 ”并按照说明应用策略。

2. 运行以下 PowerShell 命令：

   • Set-MpPreference -EnableNetworkProtection Enabled
   • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
   • Set-MpPreference -AllowNetworkProtectionDownLevel 1
   • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

   注意

   在某些情况下，根据基础结构、流量和其他条件， Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能会对网络性能产生影响。

Windows Server 的网络保护

以下信息特定于 Windows Server。

验证是否启用了网络保护

使用注册表编辑器验证是否在本地设备上启用了网络保护。

1. 选择任务栏中的“开始”按钮，然后键入regedit以打开注册表编辑器。

2. 从侧边菜单中选择 “HKEY_LOCAL_MACHINE ”。

3. 在嵌套菜单中导航到 “软件>策略>”Microsoft>Windows Defender>攻击防护>网络保护。

   (如果密钥不存在，请导航到 “软件>Microsoft>Windows Defender>Windows Defender 攻击防护>网络保护)

4. 选择“ 启用网络保护 ”以查看设备上的网络保护的当前状态：

   • 0 = 关
   • 1 = 启用 ()
   • 2 = 审核模式

有关详细信息，请参阅 启用网络保护。

网络保护建议的注册表项

对于使用新式统一解决方案的Windows Server 2012 R2 和Windows Server 2016，Windows Server版本 1803 或更高版本，以及Windows 10 企业版多会话 1909 及更高 (在 Azure) 上的 Windows 虚拟桌面中使用的多会话 1909 及更高版本，请启用其他注册表项，如下所示：

1. 转到 HKEY_LOCAL_MACHINE>软件>Microsoft>Windows Defender>攻击防护>网络保护。

2. 配置以下密钥：

   • AllowNetworkProtectionOnWinServer (DWORD) 设置为 1 (十六进制)
   • EnableNetworkProtection (DWORD) 设置为 1 (十六进制)
   • (Windows Server 2012 R2 和 Windows Server 2016 上仅) (AllowNetworkProtectionDownLevel DWORD) 设置为 1 (十六进制)

注意

根据基础结构、流量和其他条件， HKEY_LOCAL_MACHINE>软件>策略>Microsoft>Windows Defender>NIS>使用者>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (十六进制) 可能会影响网络性能。

有关详细信息，请参阅： 启用网络保护。

Windows Server 和 Windows 多会话配置需要 PowerShell

对于 Windows Server 和 Windows 多会话，必须使用 PowerShell cmdlet 启用其他项。 对于使用新式统一解决方案（Windows Server版本 1803 或更高版本）以及Windows 10 企业版 Azure 上的 Windows 虚拟桌面中使用的多会话 1909 及更高版本的Windows Server 2012 R2 和 Windows Server 2016，请运行以下 PowerShell 命令：

Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

注意

在某些情况下，根据基础结构、流量和其他条件， Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能会影响网络性能。

网络保护故障排除

由于运行网络保护的环境，该功能可能无法检测作系统代理设置。 在某些情况下，网络保护客户端无法访问云服务。 若要解决连接问题，请为 Microsoft Defender 防病毒配置静态代理。

注意

网络保护功能不支持加密客户端 Hello 和 QUIC 协议。 确保按照上述 “必需浏览器配置 ”中所述，在浏览器中禁用这些协议。

若要在所有客户端中禁用 QUIC，可以通过 Windows 防火墙阻止 QUIC 流量。

在 Windows 防火墙中禁用 QUIC

此方法影响所有应用程序，包括浏览器和客户端应用 (，例如 Microsoft Office) 。 在 PowerShell 中，运行 New-NetFirewallRule cmdlet 以添加新的防火墙规则，该规则通过阻止发到端口 443 的所有出站流量 UDP 流量来禁用 QUIC：

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

优化网络保护性能

网络保护包括性能优化，允许 block 模式异步检查生存期较长的连接，这可能会提高性能。 此优化还有助于解决应用兼容性问题。 默认情况下，此功能处于打开状态。

使用 CSP 启用 AllowSwitchToAsyncInspection

Defender CSP：配置/AllowSwitchToAsyncInspection

使用组策略启用异步检查

此过程使网络保护能够通过从实时检查切换到异步检查来提高性能。

1. 在组策略管理计算机上，打开 策略管理控制台。

2. 右键单击要配置的组策略对象，然后选择“编辑”。

3. 在“组策略管理”编辑器，转到“计算机配置”，然后选择“管理模板”。

4. 将树展开到 Windows 组件>Microsoft Defender防病毒>网络检查系统。

5. 双击“ 启用异步检查”，然后将选项设置为 “已启用”。

6. 选择“确定”。

使用 Microsoft Defender防病毒 Powershell cmdlet 启用异步检查

可以使用以下 PowerShell cmdlet 启用此功能：

Set-MpPreference -AllowSwitchToAsyncInspection $true

另请参阅

• 评估网络保护 |执行一个快速方案，演示功能的工作原理以及通常会创建哪些事件。
• 启用网络保护 |使用 组策略、PowerShell 或 MDM CSP 在网络中启用和管理网络保护。
• 在 Microsoft Intune 中配置攻击面减少功能
• 适用于 Linux 的网络保护 |了解如何对 Linux 设备使用 Microsoft网络保护。
• macOS 的网络保护 |了解有关 macOS Microsoft网络保护的详细信息

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。