Microsoft Defender SmartScreen 中的增強型網路釣魚防護
從 Windows 11 版本 22H2 開始,Microsoft Defender SmartScreen 中的增強式網路釣魚保護可協助保護Microsoft學校或公司密碼,防止網站和應用程式上的網路釣魚和不安全使用。
如果使用者使用密碼登入 Windows,增強式網路釣魚保護會與 Windows 安全性保護搭配運作,並透過下列方式協助保護用來登入 Windows 11 的具型別公司或學校密碼:
- 如果使用者在任何瀏覽器上輸入或貼上其公司或學校密碼,Microsoft Defender SmartScreen 視為惡意的網站,增強式網路釣魚保護會警示他們。 它也會警示他們變更其密碼,讓攻擊者無法取得其帳戶的存取權。
- 重複使用公司或學校密碼可讓入侵用戶密碼的攻擊者輕鬆取得其其他帳戶的存取權。 如果使用者在網站和應用程式上重複使用其公司或學校Microsoft帳戶密碼,並警示他們變更其密碼,則增強式網路釣魚保護可以警告使用者。
- 由於將純文本密碼儲存在文本編輯器中是不安全的,因此,如果使用者將公司或學校密碼儲存在記事本、Word 或任何Microsoft 365 Office 應用程式中,則增強式網路釣魚保護可能會警告使用者,並建議他們從檔案中刪除其密碼。
- 如果使用者在 SmartScreen 發現可疑的網站或應用程式中輸入其公司或學校密碼,增強式網路釣魚保護可以自動從該網站或應用程式收集資訊,以協助識別安全性威脅。 例如,顯示的內容、播放的音效和應用程式記憶體。
注意
當使用者使用 Windows Hello 企業版 PIN 或生物特徵辨識登入裝置時,增強式網路釣魚保護不會警示使用者,也不會將事件傳送至 Microsoft Defender for Endpoint (MDE) 。
Microsoft Defender SmartScreen 中增強網路釣魚保護的優點
增強的網路釣魚保護為用來登入 Windows 11 的公司或學校密碼提供健全的網路釣魚保護。 增強式網路釣魚保護的優點如下:
防網路釣魚支援: 網路釣魚攻擊會透過安全內容的可信賴支援,或透過認證收集裝載在信任網站和應用程式內的內容,來誘騙使用者。 增強的網路釣魚保護可藉由評估網站或應用程式所連線的 URL 以及其他特性,來判斷使用者是否已知會散發或裝載不安全的內容,來協助保護使用者免於遭受報告的網路釣魚網站。
安全的操作系統整合: 增強式網路釣魚保護會直接整合到 Windows 11 作業系統中,因此它可以瞭解使用者的密碼輸入內容 (包括任何瀏覽器或應用程式中的進程連線、URL、憑證資訊) 。 因為增強式網路釣魚保護對於操作系統層級上發生的情況具有無可比對的深入解析,所以可以識別使用者何時會不安全地輸入其公司或學校密碼。 如果用戶確實不安全地使用其公司或學校密碼,此功能可讓使用者變更其密碼,以將遭入侵認證遭到入侵的機會降到最低。
Microsoft安全性套件中共用的無對等遙測: 增強的網路釣魚保護會持續從整個Microsoft安全性堆疊中看到的網路釣魚攻擊中學習。 它與其他Microsoft安全性產品搭配運作,以提供分層的密碼安全性方法,特別是針對組織早期的無密碼驗證旅程。 如果您的組織使用適用於端點的 Microsoft Defender,您可以在 Microsoft 365 Defender 入口網站中看到重要的網路釣魚感測器數據。 此入口網站可讓您檢視環境中不安全密碼使用方式的增強式網路釣魚防護警示和報告。
透過組策略輕鬆管理並Microsoft Intune: 增強式網路釣魚保護可與組策略和行動裝置管理 (MDM) 設定搭配使用,以協助您管理組織的電腦設定。 根據您設定增強式網路釣魚保護方式,您可以自定義哪些網路釣魚保護案例會顯示使用者警告對話方塊。 例如,[啟用服務] 設定會決定增強式網路釣魚保護服務是開啟還是關閉。 如果未啟用對應至通知原則的其他設定,則此功能會處於稽核模式。
Windows 版本和授權需求
下表列出支援使用 SmartScreen 增強式網路釣魚保護的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
下列授權會授與具有SmartScreen授權權利的增強式網路釣魚保護:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
為您的組織設定增強式網路釣魚保護
您可以使用 MDM 服務,透過 Microsoft Intune、組策略物件 (GPO) 或設定服務提供者 (CSP) 來設定增強式網路釣魚保護。 這些設定可用來使用 Microsoft Intune、GPO 或 CSP 來設定您的裝置。
| 設定 | 描述 |
|---|---|
| 自動收集數據 | 此原則設定可決定當使用者將其公司或學校密碼輸入可疑網站或應用程式時,增強式網路釣魚保護是否可以收集其他資訊,例如顯示的內容、播放的聲音和應用程式記憶體。 這項資訊僅用於安全性用途,並可協助SmartScreen判斷網站或應用程式是否為惡意。 |
| 服務已啟用 | 此原則設定可決定增強式網路釣魚保護處於稽核模式或關閉狀態。 當增強式網路釣魚保護處於稽核模式時,使用者不會看到任何保護案例的通知。 在稽核模式中,增強式網路釣魚保護會擷取不安全的密碼輸入事件,並透過 Microsoft Defender 傳送診斷數據。 |
| 通知惡意 | 此原則設定可決定如果使用者在下列其中一種惡意案例中輸入其公司或學校密碼時,是否要警告使用者:進入回報的網路釣魚網站、使用無效憑證的登入 URL,或聯機到回報網路釣魚網站的應用程式,或使用無效憑證的登入 URL |
| 通知密碼重複使用 | 此原則設定可決定增強式網路釣魚保護是否會在用戶重複使用其公司或學校密碼時發出警告。 |
| 通知不安全的應用程式 | 此原則設定可決定如果使用者在記事本或Microsoft 365 Office Apps 中輸入公司或學校密碼,增強式網路釣魚保護是否會警告使用者。 |
增強的網路釣魚保護可讓組織將其自定義識別提供者登入 URL 新增為可辨識的 URL。 接著,增強式網路釣魚保護不會將輸入到內部識別提供者的Microsoft密碼, (IdP) 為未知或密碼重複使用。 在沒有企業自定義識別提供者 URL 的知識的情況下,SmartScreen 可能沒有足夠的 URL 相關信息。 如果您設定增強式網路釣魚保護的警告對話框,可能會顯示不安全的密碼使用方式對話框,讓使用者在 URL 中輸入其Microsoft密碼。
若要將組織的自定義登入 URL 新增至增強式網路釣魚保護, EnableWebSignIn 請在 驗證原則 CSP 中設定原則。 如需詳細資訊,請參閱 Windows 的 Web 登入。
請遵循下列指示,使用 Microsoft Intune、GPO 或 CSP 來設定您的裝置。
Intune
GPO
Csp若要使用 Microsoft Intune 設定裝置,請建立 [ 設定] 目錄 原則,並使用類別 SmartScreen > Enhanced Phishing Protection下所列的設定:
- 自動收集數據
- 服務已啟用
- 通知惡意
- 通知密碼重複使用
- 通知不安全的應用程式
將原則指派給安全組,其中包含作為您要設定之裝置或用戶的成員。
貴組織的建議設定
根據預設,增強式網路釣魚保護會在稽核模式中部署,以防止在任何保護案例中通知使用者。 在稽核模式中,增強式網路釣魚保護會擷取不安全的密碼輸入事件,並透過 Microsoft Defender 傳送診斷數據。 如果使用者將公司或學校密碼輸入網路釣魚網站、重複使用其密碼,或在應用程式中不安全地儲存其密碼,則不會收到警告。 基於這種可能性,建議您設定增強式網路釣魚保護,以在所有保護案例期間警告使用者。
| 設定 | 預設值 | 建議 |
|---|---|---|
| 自動收集數據 | 針對已加入網域的裝置或向 MDM 註冊的裝置啟用。 已 停用所有其他裝置。 |
已啟用:開啟從可疑網站或應用程式收集其他內容以進行安全性分析,以改善Microsoft的威脅情報。 這項資訊僅用於安全性用途,並可協助SmartScreen判斷網站或應用程式是否為惡意。 |
| 服務已啟用 | 啟用 | 已啟用:在稽核模式中開啟增強式網路釣魚保護,以擷取公司或學校密碼輸入事件並傳送診斷數據,但不會對您的用戶顯示任何通知。 |
| 通知惡意 |
已 針對已上線至 MDE 的裝置停用。 已為所有其他裝置啟用。 |
已啟用:當使用者將公司或學校密碼輸入其中一個先前所述的惡意案例時,開啟增強式網路釣魚保護通知,並鼓勵他們變更其密碼。 |
| 通知密碼重複使用 | 停用 | 已啟用:當使用者重複使用其公司或學校密碼,並鼓勵他們變更其密碼時,開啟增強式網路釣魚保護通知。 |
| 通知不安全的應用程式 | 停用 | 已啟用:當使用者在記事本中輸入公司或學校密碼,並Microsoft 365 Office Apps 時,開啟增強式網路釣魚保護通知。 |
為了更妥善地協助您保護組織,建議您開啟並使用這些特定Microsoft Defender SmartScreen 設定。