保護您的網路
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平台
- Windows
- macOS
- Linux
想要體驗適用於端點的 Microsoft Defender 嗎? 註冊免費試用版。
網路保護概觀
網路保護可協助保護裝置免於因特網型事件。 網路保護是一種受攻擊面縮小功能。 它有助於防止員工透過應用程式存取危險的網域。 在因特網上裝載網路釣魚詐騙、惡意探索和其他惡意內容的網域會被視為危險。 網路保護會擴充 Microsoft Defender SmartScreen 的範圍,以封鎖嘗試根據網域或主機名) 連線到低信譽來源的所有輸出 HTTP (S) 流量 (。
網路保護會將 Web 保護 中的保護延伸到作業系統層級,並且是 Web 內容篩選 (WCF) 的核心元件。 它提供在 Microsoft Edge 中找到的 Web 保護功能給其他支援的瀏覽器和非瀏覽器應用程式。 網路保護也提供與 端點偵測和回應搭配使用時, (IOC) 入侵指標的可見性和封鎖。 例如,網路保護可與自 定義指標 搭配使用,以用來封鎖特定網域或主機名。
網路保護涵蓋範圍
下表摘要說明涵蓋範圍的網路保護區域。
| 功能 | Microsoft Edge | 第三方瀏覽器 | 非瀏覽器進程 (例如 PowerShell) |
|---|---|---|---|
| Web 威脅防護 | 必須啟用 SmartScreen | 網路保護必須處於封鎖模式 | 網路保護必須處於封鎖模式 |
| 自訂指標 | 必須啟用 SmartScreen | 網路保護必須處於封鎖模式 | 網路保護必須處於封鎖模式 |
| Web 內容篩選 | 必須啟用 SmartScreen | 網路保護必須處於封鎖模式 | 不支援 |
注意事項
在 Mac 和 Linux 上,您必須在封鎖模式中擁有網路保護,才能在 Edge 中取得這些功能的支援。 在 Windows 上,網路保護不會監視 Microsoft Edge。 針對 Microsoft Edge 和 Internet Explorer 以外的程式,Web 保護案例會利用網路保護來進行檢查和強制執行。
- TCP、HTTP 和 HTTPS ( (TLS) ) 這三種通訊協定都支援 IP。
- (自定義指標中不) 任何 CIDR 區塊或 IP 範圍,則僅支援單一 IP 位址。
- 加密的 URL (完整路徑) 只能在第一方瀏覽器上封鎖, (Internet Explorer、Edge) 。
- 只有) (FQDN 加密的 URL 可以在第三方瀏覽器中封鎖, (也就是 Internet Explorer、Edge) 。
- 完整 URL 路徑區塊可以套用至未加密的 URL。
最多可能需要 2 小時的延遲 (在採取動作與封鎖 URL 和 IP 之間的) 通常較少。
觀看這段影片,瞭解網路保護如何協助減少裝置遭受網路釣魚詐騙、惡意探索和其他惡意內容的攻擊面。
網路保護的需求
網路保護需要 Windows 10 或 11 (專業版或企業版) 、Windows Server 1803 版或更新版本、macOS 11 版或更新版本,或 Defender 支援的 Linux 版本,以及 Microsoft Defender 防病毒軟體實時保護。
| Windows 版本 | Microsoft Defender 防毒軟體 |
|---|---|
| Windows 10 1709 版或更新版本、Windows 11、Windows Server 1803 或更新版本 | 請確定已啟用 Microsoft Defender 防病毒軟體的即時保護、行為監視和雲端式保護, (作用中) |
| 使用整合代理程式 Windows Server 2012 R2 和 Windows Server 2016 | 平臺更新版本 4.18.2001.x.x 或更新版本 |
為什麼網路保護很重要
網路保護是 適用於端點的 Microsoft Defender 中受攻擊面縮小解決方案群組的一部分。 網路保護可讓網路層封鎖 URL 和 IP 位址。 網路保護可以使用特定瀏覽器和標準網路連線來封鎖 URL 的存取。 根據預設,網路保護會使用SmartScreen 摘要來防止電腦遭受已知的惡意URL,這會以類似Microsoft Edge 瀏覽器中的SmartScreen的方式封鎖惡意 URL。 網路保護功能可以擴充至:
- 封鎖來自您自己威脅情報 (指標 的IP/URL位址)
- 封鎖來自 Microsoft Defender for Cloud Apps 的未批准服務
- 根據 Web 內容篩選 的類別 (封鎖瀏覽器對網站的存取)
網路保護是 Microsoft 保護和回應堆疊的重要部分。
提示
如需 Windows Server、Linux、MacOS 和 Mobile Threat Defense (MTD) 網路保護的詳細資訊,請參閱 使用進階搜捕主動搜捕威脅。
封鎖命令和控制攻擊
惡意使用者會使用命令和控制 (C2) 伺服器電腦,將命令傳送至先前遭到惡意代碼入侵的系統。 C2 攻擊通常會隱藏在雲端式服務中,例如檔案共用和 Webmail 服務,讓 C2 伺服器透過與一般流量混合來避免偵測。
C2 伺服器可用來起始命令,這些命令可以:
- 竊取數據
- 控制 Botnet 中遭入侵的電腦
- 中斷合法的應用程式
- 散佈惡意代碼,例如勒索軟體
適用於端點的 Defender 網路保護元件會使用機器學習和智慧型手機入侵指標 (IoC) 識別等技術,識別並封鎖與人類操作勒索軟體攻擊中所使用 C2 基礎結構的連線。
網路保護:C2 偵測和補救
勒索軟體的初始形式是商品威脅、預先設計,並著重於有限的特定結果 (例如加密計算機) 。 不過,勒索軟體已發展成由人類驅動、調適型且著重於更大規模且更廣泛結果的複雜威脅,例如保留整個組織的資產或數據以取得勒索。
支援命令和控制伺服器 (C2) 是此勒索軟體演進的關鍵部分,也是讓這些攻擊適應其目標環境的原因。 中斷命令和控制基礎結構的連結會停止攻擊到其下一個階段的進度。 如需 C2 偵測和補救的其他資訊,請參閱 偵測和補救網路層的命令和控制攻擊。
網路保護:新的快顯通知
| 新的對應 | 回應類別 | 來源 |
|---|---|---|
| 網路釣魚 | 網路釣魚 | SmartScreen |
| 惡意 | 惡意 | SmartScreen |
| 命令和控制件 | C2 | SmartScreen |
| 命令和控制件 | COCO | SmartScreen |
| 惡意 | 可信 | SmartScreen |
| 由IT系統管理員提供 | CustomBlockList | |
| 由IT系統管理員提供 | CustomPolicy |
注意事項
customAllowList 不會在端點上產生通知。
網路保護判斷的新通知
網路保護中新的公開可用功能會利用SmartScreen中的函式來封鎖來自惡意命令和控制網站的網路釣魚活動。
當使用者嘗試在啟用網路保護的環境中造訪網站時,有三種可能的案例:
- URL 具有 已知良好的信譽 - 在此情況下,允許使用者存取,而不會受到阻礙,而且端點上不會顯示任何快顯通知。 實際上,網域或 URL 會設定為 [允許]。
- URL 的 信譽不明或不確定 - 使用者的存取遭到封鎖,但能夠規避 (解除封鎖) 封鎖。 實際上,網域或 URL 會設定為 [稽核]。
- URL 有已知的 不良 (惡意) 信譽 - 用戶無法存取。 實際上,網域或 URL 會設定為 [封鎖]。
警告體驗
用戶造訪網站:
如果 URL 的信譽不明或不確定,快顯通知會向使用者顯示下列選項:
確定 - 快顯通知會在移除) (釋出,並結束存取網站的嘗試。
解除封鎖 - 使用者將可存取網站 24 小時;此時區塊會重新啟用。 用戶可以繼續使用 [解除封鎖 ] 來存取網站,直到系統管理員禁止 (封鎖) 網站為止,因而移除 [解除封鎖] 選項。
意見反應 - 快顯通知會向用戶顯示提交票證的連結,使用者可以使用此連結將意見反應提交給系統管理員,以嘗試證明存取網站的合理性。
注意事項
此處針對警告體驗和封鎖體驗所顯示的影像 (如下) 兩個清單 「封鎖的 URL」 作為範例佔位元文字;在正常運作的環境中,將會列出實際的URL或網域。
封鎖體驗
用戶造訪網站:
- 如果 URL 的信譽不佳,快顯通知會向用戶顯示下列選項:
還行 快顯通知會在移除) (釋出,並結束存取網站的嘗試。
反饋 快顯通知會向用戶顯示提交票證的連結,使用者可以使用此連結將意見反應提交給系統管理員,以嘗試合理存取網站。
SmartScreen 解除封鎖
使用適用於端點的 Defender 中的指標,系統管理員可以允許使用者略過針對某些 URL 和 IP 產生的警告。 根據 URL 遭到封鎖的原因而定,當遇到 SmartScreen 區塊時,它可能會提供將網站解除封鎖最多 24 小時的能力。 在這種情況下,會出現 Windows 安全性 快顯通知,讓使用者在定義的時間內解除封鎖 URL 或 IP。
適用於端點的 Microsoft Defender 系統管理員可以在 Microsoft Defender 入口網站中使用IP、URL和網域的「允許」指標來設定SmartScreen解除封鎖功能。
使用網路保護
每個裝置都會啟用網路保護,這通常是使用您的管理基礎結構來完成。 如需支援的方法, 請參閱開啟網路保護。
注意事項
Microsoft Defender 防病毒軟體必須作用中,才能啟用網路保護。
您可以在 稽 核模式或 封鎖 模式中啟用網路保護。 如果您想要在實際封鎖IP位址或URL之前評估啟用網路保護的影響,您可以在稽核模式中啟用網路保護,以及時收集所封鎖項目的數據。 當終端用戶連線到原本會遭到網路保護封鎖的位址或網站時,稽核模式記錄。 請注意,若要讓 WCF) (IoC) 或 Web 內容篩選的入侵指標 (,網路保護必須處於「封鎖模式」
如需 Linux 和 macOS 網路保護的相關信息,請參閱: Linux 的網路保護 和 macOS 的網路保護。
進階搜捕
如果您使用進階搜捕來識別稽核事件,您最多可從控制台取得 30 天的歷程記錄。 請參閱 進階搜捕。
您可以在適用於端點的 Defender 入口網站的 [ 進階搜捕 ] () https://security.microsoft.com 中找到稽核事件。
稽核事件位於 ActionType 為 的 DeviceEvents 中 ExploitGuardNetworkProtectionAudited。 區塊會以的 ExploitGuardNetworkProtectionBlockedActionType 顯示。
以下是檢視第三方瀏覽器網路保護事件的範例查詢:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
提示
這些專案在 AdditionalFields 數據行中有數據,可提供動作的絕佳資訊,如果您展開 AdditionalFields ,您也可以取得字段: IsAudit、 ResponseCategory 和 DisplayName。
以下是另一個範例:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
回應類別會告訴您造成事件的原因,例如:
| ResponseCategory | 負責事件的功能 |
|---|---|
| CustomPolicy | Wcf |
| CustomBlockList | 自訂指標 |
| CasbPolicy | Defender for Cloud Apps |
| 惡意 | Web 威脅 |
| 網路釣魚 | Web 威脅 |
如需詳細資訊,請參閱 針對端點區塊進行疑難解答。
請注意,Microsoft Defender Microsoft Edge 瀏覽器的 SmartScreen 事件特別需要不同的查詢:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
您可以使用產生的 URL 和 IP 清單來判斷如果裝置處於封鎖模式,哪些功能會遭到封鎖,以及哪些功能會封鎖這些 URL 和 IP。 檢閱清單上的每個專案,以識別您的環境是否需要任何URL或IP。 如果您發現任何已稽核且對您的環境至關重要的專案,請建立指標以允許它們出現在您的網路中。 允許 URL/IP 指標優先於任何區塊。
建立指標之後,您可以查看如何解決基礎問題:
- SmartScreen – 要求檢閱
- 指標 – 修改現有的指標
- MCA – 檢閱未批准的應用程式
- WCF – 要求重新分類
使用此數據,您可以做出在封鎖模式中啟用網路保護的明智決策。 請參閱 網路保護區塊的優先順序順序。
注意事項
由於這是每個裝置的設定,如果有裝置無法移至封鎖模式,您可以直接將其保留在稽核狀態,直到您可以修正挑戰,而且您仍然會收到稽核事件。
如需如何報告誤判的資訊,請 參閱報告誤判。
如需如何建立您自己的Power BI報表的詳細資訊,請參閱使用Power BI Create 自定義報表。
設定網路保護
如需如何啟用網路保護的詳細資訊,請參閱 啟用網路保護。 使用 群組原則、PowerShell 或 MDM CSP 來啟用和管理網路中的網路保護。
啟用網路保護之後,您可能需要設定網路或防火牆,以允許端點裝置與 Web 服務之間的連線:
.smartscreen.microsoft.com.smartscreen-prod.microsoft.com
檢視網路保護事件
網路保護最適合與 適用於端點的 Microsoft Defender 搭配使用,這可讓您在警示調查案例中詳細回報惡意探索保護事件和封鎖。
當網路保護封鎖連線時,會從控制中心顯示通知。 您的安全性作業小組可以使用組織的詳細數據和連絡資訊 來自定義通知 。 此外,您可以啟用和自定義個別的受攻擊面縮小規則,以符合要監視的特定技術。
您也可以使用 稽核模式 來評估網路保護在啟用時會如何影響您的組織。
在 Microsoft Defender 入口網站中檢閱網路保護事件
適用於端點的 Defender 會在其 警示調查案例中提供事件和區塊的詳細報告。 您可以在 Microsoft Defender 入口網站中檢視這些詳細數據, (https://security.microsoft.com警示佇列中的) ,或使用進階搜捕。 如果您使用 稽核模式,您可以使用進階搜捕來查看網路保護設定在啟用時會如何影響您的環境。
在 Windows 事件檢視器中檢閱網路保護事件
您可以檢閱 Windows 事件記錄檔,以查看網路保護封鎖 (或稽核) 存取惡意 IP 或網域時所建立的事件:
選取 [確定]。
此程式會建立自定義檢視,篩選以僅顯示與網路保護相關的下列事件:
| 事件識別碼 | 描述 |
|---|---|
| 5007 | 變更設定時的事件 |
| 1125 | 在稽核模式中引發網路保護時的事件 |
| 1126 | 在封鎖模式中引發網路保護的事件 |
網路保護和 TCP 三向交握
透過網路保護,在完成透過 TCP/IP 的三向交握之後,決定是否允許或封鎖網站的存取。 因此,當網站遭到網路保護封鎖時,即使網站遭到封鎖,您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccessDeviceNetworkEvents。 DeviceNetworkEvents 會從 TCP 層回報,而不是從網路保護回報。 完成三向交握之後,網路保護會允許或封鎖網站的存取。
以下是運作方式的範例:
假設用戶嘗試存取其裝置上的網站。 網站正好裝載在危險的網域上,而且應該遭到網路保護封鎖。
透過 TCP/IP 的三向交握會開始。 完成之前,
DeviceNetworkEvents會記錄動作,並將其ActionType列為ConnectionSuccess。 不過,一旦三向交握程式完成,網路保護就會封鎖網站的存取。 這一切都會快速發生。 Microsoft Defender SmartScreen 也會發生類似的程式;也就是三向交握完成時,即會做出判斷,並封鎖或允許存取網站。在 Microsoft Defender 入口網站中,警示會列在警示佇列中。 該警示的詳細資料包括 和
DeviceNetworkEventsAlertEvidence。 您可以看到網站遭到封鎖,即使您也有 ActionType 為 的專案ConnectionSuccess也一DeviceNetworkEvents樣。
執行多重會話 Windows 10 企業版 Windows 虛擬桌面的考慮
由於 Windows 10 企業版 的多用戶本質,請記住下列幾點:
網路保護是全裝置的功能,不能以特定用戶會話為目標。
Web 內容篩選原則也是全裝置的。
如果您需要區分使用者群組,請考慮建立個別的 Windows 虛擬桌面主機集區和指派。
在稽核模式中測試網路保護,以在推出之前評估其行為。
如果您有大量使用者或大量的多用戶會話,請考慮調整部署大小。
網路保護的替代選項
針對 Windows Server 2012R2/2016 統一 MDE 用戶端、Windows Server 1803 版或更新版本、Windows Server 2019 或更新版本,以及 Windows 10 企業版 多重會話 1909 和更新版本,在 Azure 上的 Windows 虛擬桌面中使用下列方法可以啟用 Microsoft Edge 的網路保護:
使用 [開啟網络保護 ],並遵循指示來套用您的原則。
執行下列 PowerShell 命令:
Set-MpPreference -EnableNetworkProtection EnabledSet-MpPreference -AllowNetworkProtectionOnWinServer 1Set-MpPreference -AllowNetworkProtectionDownLevel 1Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注意事項
在某些情況下,視您的基礎結構、流量及其他條件而定, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能會影響網路效能。
Windows Server 的網路保護
以下是 Windows Server 專屬的資訊。
確認已啟用網路保護
使用登錄 編輯器,確認是否已在本機裝置上啟用網路保護。
選取任務列中的 [開始] 按鈕,然後輸入 regedit 以開啟登錄 編輯器。
從側邊功能表中選 取 [HKEY_LOCAL_MACHINE ]。
流覽巢狀功能表至軟體>>原則Microsoft>Windows defender>Windows Defender 惡意探索防護>網路保護。
(如果金鑰不存在,請流覽至>SOFTWAREMicrosoft>Windows Defender>Windows Defender惡意探索防護>網路保護)
選 取 [EnableNetworkProtection] 以查看裝置上的網络保護目前狀態:
- 0 = 關閉
- 1 = 啟用 ()
- 2 = 稽核模式
如需詳細資訊,請 參閱:開啟網路保護
網路保護建議
針對 Windows Server 2012R2/2016 整合 MDE 用戶端、Windows Server 1803 版或更新版本、Windows Server 2019 或更新版本,以及 Windows 10 企業版 多重會話 1909,以及在 Azure) 上的 Windows 虛擬桌面中使用的更新 (,必須啟用其他登錄機碼:
\ HKEY_LOCAL_MACHINE軟體\微軟\\Windows Defender Windows Defender 惡意探索防護\網路保護
- AllowNetworkProtectionOnWinServer (dword) 1 (十六進制)
- EnableNetworkProtection (dword) 1 (十六進位)
- AllowNetworkProtectionDownLevel (dword) 1 (十六進位) - 僅限 Windows Server 2012R2 和 Windows Server 2016
注意事項
視您的基礎結構、流量及其他條件而定,HKEY_LOCAL_MACHINE\軟體\\原則Microsoft\Windows Defender \NIS\ 取用者\IPS - AllowDatagramProcessingOnWinServer (dword) 1 ( 十六進位) 可能會影響網路效能。
如需詳細資訊,請 參閱:開啟網路保護
Windows Server 和 Windows 多重會話設定需要 PowerShell
針對 Windows Server 和 Windows 多重工作階段,您必須使用 PowerShell Cmdlet 啟用其他專案。 針對 Windows Server 2012R2/2016 整合 MDE 用戶端、Windows Server 1803 版或更新版本、Windows Server 2019 或更新版本,以及 Windows 10 企業版 多重會話 1909 和更新版本,用於 Azure 上的 Windows 虛擬桌面。
- Set-MpPreference -EnableNetworkProtection Enabled
- Set-MpPreference -AllowNetworkProtectionOnWinServer 1
- Set-MpPreference -AllowNetworkProtectionDownLevel 1
- Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注意事項
在某些情況下,根據您的基礎結構、流量及其他條件, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 可能會影響網路效能。
網路保護疑難解答
由於執行網路保護的環境,此功能可能無法偵測操作系統 Proxy 設定。 在某些情況下,網路保護用戶端無法連線到雲端服務。 若要解決連線問題,請設定 Microsoft Defender 防病毒軟體的靜態 Proxy。
優化網路保護效能
網路保護現在具有效能優化,可讓封鎖模式開始以異步方式檢查長時間執行的連線,這可能會改善效能,也有助於解決應用程式相容性問題。 此優化功能預設為開啟。 您可以使用下列 PowerShell Cmdlet 來關閉這項功能:
Set-MpPreference -AllowSwitchToAsyncInspection $false
另請參閱
- 評估網路保護 |進行快速案例,示範功能的運作方式,以及通常會建立哪些事件。
- 啟用網路保護 |使用 群組原則、PowerShell 或 MDM CSP 來啟用和管理網路中的網路保護。
- 在 Microsoft Intune 中設定受攻擊面縮小功能
- Linux 的網路保護 |若要瞭解如何使用適用於Linux裝置的 Microsoft 網路保護。
- macOS 的網路保護 |若要深入瞭解適用於 macOS 的 Microsoft 網路保護
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應