共用方式為

使用網路保護來協助防止連線到惡意或可疑的網站

  • 發行項

適用於:

平台

  • Windows
  • macOS
  • Linux

想要體驗適用於端點的 Microsoft Defender 嗎? 註冊免費試用版。

網路保護概觀

網路保護可防止連線到惡意或可疑網站,以協助保護裝置。 危險網域的範例包括裝載網路釣魚詐騙、惡意下載、技術詐騙或其他惡意內容的網域。 網路保護會擴充 Microsoft Defender SmartScreen 的範圍,以封鎖嘗試根據網域或主機名) 連線到信譽不佳來源的所有輸出 HTTP (S) 流量 (。

網路保護會將 Web 保護 中的保護延伸到作系統層級,並且是 Web 內容篩選 (WCF) 的核心元件。 它提供在 Microsoft Edge 中找到的 Web 保護功能給其他支援的瀏覽器和非擴充程式應用程式。 網路保護也提供與 端點偵測和回應搭配使用時, (IOC) 入侵指標的可見性和封鎖。 例如,網路保護可與 您的自定義指標 搭配運作,以封鎖特定網域或主機名。

觀看這段影片,瞭解網路保護如何協助減少裝置的攻擊面,避免網路釣魚詐騙、惡意探索和其他惡意內容:

網路保護涵蓋範圍

下表摘要說明涵蓋範圍的網路保護區域。

功能 Microsoft Edge 非Microsoft瀏覽器 非Browser進程
例如, (PowerShell)
Web 威脅防護 必須啟用 SmartScreen 網路保護必須處於封鎖模式 網路保護必須處於封鎖模式
自訂指標 必須啟用 SmartScreen 網路保護必須處於封鎖模式 網路保護必須處於封鎖模式
Web 內容篩選 必須啟用 SmartScreen 網路保護必須處於封鎖模式 不支援

若要確保已針對 Microsoft Edge 啟用 SmartScreen,請使用 Edge 原則:已啟用 SmartScreen

注意事項

在 Windows 上,網路保護不會監視Microsoft Edge。 針對Edge和Internet Explorer Microsoft以外的程式,Web保護案例會利用網路保護來進行檢查和強制執行。 在 Mac 和 Linux 上,Microsoft Edge 瀏覽器只會整合 Web 威脅防護。 網路保護必須在封鎖模式中啟用,才能支援 Edge 和其他瀏覽器中的自定義指標和 Web 內容篩選。

已知問題 & 限制

  • TCP、HTTP 和 HTTPS (TLS (這三種通訊協定都支援 IP 位址) )
  • 在自定義指標中不) CIDR 區塊或IP範圍 (僅支援單一IP位址
  • 包含完整 URL 路徑 (HTTP URL) 可針對任何瀏覽器或進程封鎖
  • 在非Microsoft瀏覽器中可以封鎖 FQDN (完整功能變數名稱) (指定完整 URL 路徑的指標只能在 Microsoft Edge) 中封鎖
  • 封鎖非Microsoft瀏覽器中的 FQDN 需要在這些瀏覽器中停用 QUIC 和加密的 Client Hello
  • 透過 HTTP2 連線聯合載入的 FQDN 只能在 Microsoft Edge 中封鎖
  • 網路保護會封鎖所有埠上的連線 (不只是 80 和 443) 。

在新增指標/原則與封鎖相符的 URL/IP 之間, (通常會減少兩小時的延遲) 。

網路保護的需求

網路保護需要執行下列其中一個作系統的裝置:

網路保護也需要 Microsoft Defender 啟用即時保護的防病毒軟體。

Windows 版本 Microsoft Defender 防毒軟體
Windows 10 1709 版或更新版本,Windows 11,Windows Server 1803 或更新版本 請確定已啟用 Microsoft Defender 防病毒軟體即時保護行為監視和雲端式保護, (作用中)
使用新式整合解決方案 Windows Server 2012 R2 和 Windows Server 2016 平臺更新版本或更新版本4.18.2001.x.x

為什麼網路保護很重要

網路保護是 適用於端點的 Microsoft Defender 中受攻擊面縮小解決方案群組的一部分。 網路保護可讓網路層封鎖網域和IP位址的連線。 根據預設,網路保護會使用SmartScreen 摘要來保護電腦不受已知惡意網域的危害,此摘要會以類似 Microsoft Edge 瀏覽器中的 SmartScreen 的方式封鎖惡意 URL。 網路保護功能可以擴充至:

提示

如需 Windows Server、Linux、macOS 和 Mobile Threat Defense (MTD) 網路保護的詳細資訊,請參閱使用進階搜捕主動搜捕威脅

封鎖命令和控制攻擊

命令和控制 (C2) 伺服器可用來將命令傳送至先前遭到惡意代碼入侵的系統。

C2 伺服器可用來起始命令,這些命令可以:

  • 竊取數據
  • 控制 Botnet 中遭入侵的電腦
  • 中斷合法的應用程式
  • 散佈惡意代碼,例如勒索軟體

適用於端點的 Defender 網路保護元件會使用機器學習和智慧型手機入侵指標等技術,識別並封鎖與人類作勒索軟體攻擊中所使用 C2 伺服器的連線, (IoC) 識別。

網路保護:C2 偵測和補救

勒索軟體已發展成由人類驅動、調適型且著重於大規模成果的複雜威脅,例如保留整個組織的資產或數據以取得勒索。

支援命令和控制伺服器 (C2) 是此勒索軟體演進中很重要的一部分,也是讓這些攻擊適應其目標環境的原因。 中斷命令和控制基礎結構的連結會停止攻擊到其下一個階段的進度。 如需 C2 偵測和補救的詳細資訊,請參閱 技術社群部落格:偵測和補救網路層的命令和控制攻擊

網路保護:新的快顯通知

新的對應 回應類別 來源
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

注意事項

customAllowList 不會在端點上產生通知。

網路保護判斷的新通知

當終端用戶嘗試在啟用網路保護的環境中造訪網站時,有三種可能的案例,如下表所述:

案例 發生的情況
URL 具有已知的良好信譽 允許使用者在不受阻礙的情況下存取,而且端點上不會顯示快顯通知。 實際上,網域或 URL 會設定為 [允許]
URL 的信譽不明或不確定 使用者的存取遭到封鎖,但能夠規避 (解除封鎖) 區塊。 實際上,網域或 URL 會設定為 [稽核]
URL 有已知的不良 (惡意) 信譽 用戶無法存取。 實際上,網域或 URL 會設定為 [封鎖]

警告體驗

用戶造訪網站。 如果 URL 的信譽不明或不確定,快顯通知會向使用者顯示下列選項:

  • 確定:快顯通知會在移除) (釋出,並結束存取網站的嘗試。
  • 解除封鎖:用戶可存取網站 24 小時;此時區塊會重新啟用。 用戶可以繼續使用 [解除封鎖 ] 來存取網站,直到系統管理員禁止 (封鎖) 網站為止,因而移除 [解除封鎖] 選項。
  • 意見反應:快顯通知會向用戶顯示提交票證的連結,使用者可以使用此連結將意見反應提交給系統管理員,以嘗試證明存取網站的理由。

顯示網路保護網路釣魚內容警告通知。

注意事項

本文針對體驗和block體驗所顯示的warn影像會使用「封鎖的 URL」作為範例佔位元文字。 在正常運作的環境中,會列出實際的URL或網域。

使用 CSP 啟用 Convert warn verdict to block

根據預設,對惡意網站的SmartScreen決策會產生使用者可以覆寫的警告。 原則可以設定為將警告轉換成區塊,以防止這類覆寫。

如需非Edge瀏覽器,請參閱 Defender CSP:Configuration/EnableConvertWarnToBlock。 針對 Edge 瀏覽器,請參閱 Edge 原則:防止 SmartScreen 提示覆寫

使用 群組原則 啟用將警告決策轉換為封鎖

藉由啟用此設定,網路保護會封鎖網路流量,而不是顯示警告。

  1. 在您的群組原則管理電腦,開啟 群組原則管理主控台

  2. 以滑鼠右鍵按下您要設定 群組原則 物件,然後選取 [編輯]

  3. 在 [群組原則 管理] 編輯器 移至 [計算機設定],然後選取 [系統管理範本]

  4. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>網路檢查系統

  5. 按兩下 [轉換警告決策] 以封鎖 ,並將選項設定為 [已啟用]

  6. 選取 [確定]

封鎖體驗

當使用者造訪 URL 信譽不佳的網站時,快顯通知會向用戶顯示下列選項:

  • 確定:快顯通知會在移除) (釋出,並結束存取網站的嘗試。
  • 意見反應:快顯通知會向用戶顯示提交票證的連結,使用者可以使用此連結將意見反應提交給系統管理員,以嘗試證明存取網站的理由。

顯示網路保護的已知網路釣魚內容封鎖通知。

SmartScreen 解除封鎖

使用適用於端點的 Defender 中的指標,系統管理員可以允許使用者略過針對某些 URL 和 IP 產生的警告。 根據封鎖 URL 的原因而定,當遇到 SmartScreen 區塊時,它可讓使用者將網站解除封鎖最多 24 小時。 在這種情況下,會出現 Windows 安全性 快顯通知,允許用戶選取 [解除封鎖]。 在這種情況下,URL 或 IP 會在指定的時間內解除封鎖。

Windows 安全性 網路保護的通知。

適用於端點的 Microsoft Defender 系統管理員可以在 Microsoft Defender 入口網站中使用IP、URL和網域的允許指標來設定SmartScreen解除封鎖功能。

網路保護 SmartScreen 封鎖組態 URL 和 IP 表單。

請參閱 建立IP和URL/網域的指標

使用網路保護

每個裝置都會啟用網路保護,這通常是使用您的管理基礎結構來完成。 如需支援的方法, 請參閱開啟網路保護

注意事項

Microsoft Defender 防病毒軟體必須處於作用中模式,才能啟用網路保護。

您可以在模式或block模式中audit啟用網路保護。 如果您想要在實際封鎖IP位址或URL之前評估啟用網路保護的影響,您可以在 稽核模式中啟用網路保護。 每當終端用戶連線到因網路保護而封鎖的位址或網站時,稽核模式就會記錄。 若要強制封鎖自定義指標或 Web 內容篩選類別,網路保護必須處於 block 模式。

如需 Linux 和 macOS 網路保護的相關信息,請參閱下列文章:

進階搜捕

如果您使用進階搜捕來識別稽核事件,您最多可從控制台取得 30 天的歷程記錄。 請參閱 進階搜捕

您可以在適用於端點的 Defender 入口網站的 [ 進階搜捕 ] () https://security.microsoft.com 中找到稽核事件。

稽核事件位於 ActionType 為 的 DeviceEvents 中 ExploitGuardNetworkProtectionAudited。 區塊會以的 ExploitGuardNetworkProtectionBlockedActionType 顯示。

以下是針對非Microsoft瀏覽器檢視網路保護事件的範例查詢:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

稽核和識別事件的進階搜捕。

提示

這些專案在 AdditionalFields 數據行中有數據,可提供動作的詳細資訊,包括欄位: IsAuditResponseCategoryDisplayName

以下是另一個範例:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

[回應] 類別會告訴您造成事件的原因,如下列範例所示:

ResponseCategory 負責事件的功能
CustomPolicy WCF
CustomBlockList 自訂指標
CasbPolicy Defender for Cloud Apps
Malicious Web 威脅
Phishing Web 威脅

如需詳細資訊,請參閱 針對端點區塊進行疑難解答

如果您使用 Microsoft Edge 瀏覽器,請針對 Microsoft Defender SmartScreen 事件使用此查詢:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

您可以使用產生的 URL 和 IP 清單,判斷如果網路保護設定為裝置上的封鎖模式,將會封鎖哪些專案。 您也可以查看哪些功能會封鎖 URL 和 IP。 檢閱清單,以識別您環境所需的任何URL或IP。 然後,您可以為這些 URL 或 IP 位址建立允許指標。 允許指標優先於任何區塊。 請參閱 網路保護區塊的優先順序順序

建立指示器來解除封鎖網站之後,您可以嘗試解析原始區塊,如下所示:

  • SmartScreen:視需要報告誤判
  • 指標:修改現有的指標
  • MCA:檢閱未批准的應用程式
  • WCF:要求重新分類

注意事項

因為這是每個裝置的設定,如果有裝置無法移至封鎖模式,您可以直接讓它們保持稽核狀態,以接收稽核事件。

如需如何在 SmartScreen 數據中報告誤判的資訊,請參閱 報告誤判

如需如何建立您自己的Power BI報表的詳細資訊,請參閱 使用Power BI 建立自定義報表。

設定網路保護

如需如何啟用網路保護的詳細資訊,請參閱 啟用網路保護。 使用 群組原則、PowerShell 或 MDM CSP 來啟用和管理網路中的網路保護。

啟用網路保護之後,您可能需要設定網路或防火牆,以允許端點裝置與 Web 服務之間的連線:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

必要的瀏覽器設定

在非Microsoft Edge進程中,網路保護會檢查 TLS 交握在 TCP/IP 交握之後發生的內容,以判斷每個 HTTPS 連線的完整功能變數名稱。 這需要 HTTPS 連線使用 TCP/IP (而非 UDP/QUIC) ,而且不會加密 ClientHello 訊息。 若要在Google Chrome中停用QUIC和加密用戶端 Hello,請參閱 QuicAllowedEncryptedClientHelloEnabled。 針對 Mozilla Firefox,請參閱 停用 EncryptedClientHellonetwork.http.HTTP3.enable

檢視網路保護事件

網路保護最適合與 適用於端點的 Microsoft Defender 搭配使用,這可讓您在警示調查案例中詳細報告惡意探索保護事件和封鎖。

當網路保護封鎖連線時,用戶端上會顯示通知。 您的安全性作業小組可以使用組織的詳細數據和連絡資訊 來自定義通知

在 Microsoft Defender 入口網站中檢閱網路保護事件

適用於端點的 Defender 會在其 警示調查案例中提供事件和區塊的詳細報告。 您可以在 Microsoft Defender 入口網站中檢視這些詳細數據, (https://security.microsoft.com警示佇列中的) ,或使用進階搜捕。 如果您使用 稽核模式,您可以使用進階搜捕來查看網路保護設定在啟用時會如何影響您的環境。

在 Windows 事件檢視器中檢閱網路保護事件

您可以檢閱 Windows 事件記錄檔,以查看網路保護封鎖 (或稽核) 存取惡意 IP 或網域時所建立的事件:

  1. 建立 XML 查詢

  2. 選取 [確定]

此程式會建立自定義檢視,篩選以僅顯示與網路保護相關的下列事件:

事件識別碼 描述
5007 變更設定時的事件
1125 在稽核模式中引發網路保護時的事件
1126 在封鎖模式中引發網路保護的事件

網路保護和 TCP 三向交握

透過網路保護,在完成透過 TCP/IP 的三向交握之後,決定是否允許或封鎖網站的存取。 因此,當網路保護封鎖網站時,即使網站遭到封鎖,您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccessDeviceNetworkEventsDeviceNetworkEvents 會從 TCP 層回報,而不是從網路保護回報。 完成 TCP/IP 交握和任何 TLS 交握之後,網路保護會允許或封鎖網站的存取。

以下是運作方式的範例:

  1. 假設用戶嘗試存取網站。 網站正好裝載在危險的網域上,而且應該遭到網路保護封鎖。

  2. 透過 TCP/IP 的三向交握會開始。 完成之前, DeviceNetworkEvents 會記錄動作,並將其 ActionType 列為 ConnectionSuccess。 不過,一旦三向交握程式完成,網路保護就會封鎖網站的存取。 這一切都會快速發生。

  3. 在 Microsoft Defender 入口網站中,警示會列在警示佇列中。 該警示的詳細資料包括 和 DeviceNetworkEventsAlertEvidence。 您可以看到網站遭到封鎖,即使您也有 ActionType 為 的專案ConnectionSuccess也一DeviceNetworkEvents樣。

執行多重會話 Windows 10 企業版 Windows 虛擬桌面的考慮

由於 Windows 10 企業版 的多用戶本質,請記住下列幾點:

  • 網路保護是全裝置的功能,不能以特定用戶會話為目標。
  • 如果您需要區分使用者群組,請考慮建立個別的 Windows 虛擬桌面主機集區和指派。
  • 在稽核模式中測試網路保護,以在推出之前評估其行為。
  • 如果您有大量使用者或大量的多用戶會話,請考慮調整部署大小。

網路保護的替代選項

針對使用新式整合解決方案的 Windows Server 2012 R2 和 Windows Server 2016,Windows Server 1803 版或更新版本,以及 Windows 10 企業版在 Azure 上的 Windows 虛擬桌面中使用的多重會話 1909 和更新版本,可以使用下列方法啟用 Microsoft Edge 的網路保護:

  1. 使用 [開啟網络保護 ],並遵循指示來套用您的原則。

  2. 執行下列 PowerShell 命令:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    注意事項

    在某些情況下,視您的基礎結構、流量及其他條件而定, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能會影響網路效能。

Windows Server 的網路保護

下列資訊是 Windows Server 專屬的資訊。

確認已啟用網路保護

使用登錄 編輯器,確認是否已在本機裝置上啟用網路保護。

  1. 選取任務列中的 [開始] 按鈕,然後輸入 regedit 以開啟登錄 編輯器。

  2. 從側邊功能表中選 取 [HKEY_LOCAL_MACHINE ]。

  3. 流覽巢狀功能表,流覽>>windows Defender Windows> Defender > 惡意探索防護網路保護Microsoft>軟體原則。

    (如果密鑰不存在,請流覽至 [ 軟體>Microsoft>Windows Defender Windows Defender>惡意探索防護>網路保護)

  4. 取 [EnableNetworkProtection] 以查看裝置上的網络保護目前狀態:

    • 0 = 關閉
    • 1 = 開啟 ()
    • 2 = 稽核模式

如需詳細資訊,請 參閱開啟網路保護

網路保護建議的登錄機碼

針對使用新式整合解決方案的 Windows Server 2012 R2 和 Windows Server 2016,Windows Server 1803 版或更新版本,以及 Windows 10 企業版 Azure) 上的 Windows 虛擬桌面中使用的多重會話 1909 和更新版本 (,請啟用其他登錄機碼,如下所示:

  1. 移至 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows DefenderWindows Defender >惡意探索防護>網路保護。

  2. 設定下列金鑰:

    • AllowNetworkProtectionOnWinServer (DWORD) 設為 1 (十六進位)
    • EnableNetworkProtection (DWORD) 設為 1 (十六進位)
    • (在 Windows Server 2012 R2 上,Windows Server 2016 只將) AllowNetworkProtectionDownLevel (DWORD) 設定為 1 (十六進位)

注意事項

視您的基礎結構、流量及其他條件而定,HKEY_LOCAL_MACHINE>軟體>>原則Microsoft>Windows Defender>NIS>>用者IPS - AllowDatagramProcessingOnWinServer (dword) 1 ( 十六進位) 可能會影響網路效能。

如需詳細資訊,請 參閱:開啟網路保護

Windows Server 和 Windows 多重會話設定需要 PowerShell

針對 Windows Server 和 Windows 多重工作階段,您必須使用 PowerShell Cmdlet 啟用其他專案。 針對使用新式統一解決方案的 Windows Server 2012 R2 和 Windows Server 2016,Windows Server 1803 版或更新版本,以及 Windows 10 企業版 在 Azure 上的 Windows 虛擬桌面中使用的多重會話 1909 和更新版本,請執行下列 PowerShell 命令:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

注意事項

在某些情況下,視您的基礎結構、流量及其他條件而定, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能會影響網路效能。

網路保護疑難解答

由於執行網路保護的環境,此功能可能無法偵測作系統 Proxy 設定。 在某些情況下,網路保護用戶端無法連線到雲端服務。 若要解決連線問題,請設定 Microsoft Defender 防病毒軟體的靜態 Proxy。

注意事項

網路保護功能不支援加密的 Client Hello 和 QUIC 通訊協定。 請確定這些通訊協定已在瀏覽器中停用,如上述 必要瀏覽器組 態中所述。

若要停用所有用戶端中的 QUIC,您可以透過 Windows 防火牆封鎖 QUIC 流量。

停用 Windows 防火牆中的 QUIC

此方法會影響所有應用程式,包括瀏覽器和用戶端應用程式 (,例如Microsoft Office) 。 在 PowerShell 中,執行 New-NetFirewallRule Cmdlet 以新增新的防火牆規則,藉由封鎖所有連出流量 UDP 流量至埠 443 來停用 QUIC:


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

優化網路保護效能

網路保護包含效能優化,可讓 block 模式以異步方式檢查長時間存留的連線,這可能會改善效能。 此優化也有助於解決應用程式相容性問題。 此功能預設為開啟。

使用 CSP 啟用 AllowSwitchToAsyncInspection

Defender CSP:Configuration/AllowSwitchToAsyncInspection

使用 群組原則 啟用開啟異步檢查

此程式可讓網路保護從即時檢查切換為異步檢查,以改善效能。

  1. 在您的群組原則管理電腦,開啟 群組原則管理主控台

  2. 以滑鼠右鍵按下您要設定的 群組原則 物件,然後選取 [編輯]

  3. 在 [群組原則 管理] 編輯器 中,移至 [計算機設定],然後選取 [系統管理範本]

  4. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>網路檢查系統

  5. 按兩下 [開啟異步檢查],然後將選項設定為 [ 已啟用]

  6. 選取 [確定]

使用 Microsoft Defender 防病毒軟體 Powershell Cmdlet 啟用開啟異步檢查

您可以使用下列 PowerShell Cmdlet 來開啟這項功能:

Set-MpPreference -AllowSwitchToAsyncInspection $true

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。