Protéger votre réseau

S'applique à:

La Protection du réseau permet de réduire la surface d’attaque de vos appareils à partir d'événements basés sur Internet. Elle empêche les employés d’utiliser n’importe quelle application pour accéder à des domaines dangereux, susceptibles d’héberger des tentatives de hameçonnage, des attaques et autres contenus malveillants sur Internet.

Elle étend la portée de Windows Defender SmartScreen pour bloquer tout le trafic HTTP sortant qui tente de se connecter à des sources de mauvaise réputation faible (basés sur le domaine ou le nom d’hôte).

Protection du réseau est pris en charge sur Windows 10, version 1709 et versions ultérieure et Windows Server 2016, version 1803 ou version ultérieure.

Conseil

Vous pouvez visiter le site Web Windows Defender Testground à demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne bien et voir comment il fonctionne.

Fonctionnement de la protection réseau mieux avec Windows Defender ATP, ce qui vous donne des rapports d’événements Windows Defender EG et les blocs dans le cadre des scénarios d’investigation d’alertehabituelles.

Lorsque la protection du réseau bloque une connexion, une notification s’affichera dans le centre de notifications. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement afin de personnaliser la façon dont la fonctionnalité contrôle les techniques utilisées.

Il est également possible d’utiliser le mode audit pour évaluer l'impact que la Protection du réseau aurait sur votre organisation si elle était activée.

Exigences

Protection du réseau nécessite Windows 10 entreprise E3 et Windows Defender AV protection en temps réel.

Version de Windows10 Antivirus WindowsDefender
Windows 10 version 1709 ou ultérieure La protection en temps réel et la protection assurée par le cloud de l'antivirus Windows Defender doivent être activées

Passez en revue les événements de protection du réseau dans le centre de sécurité Windows Defender ATP

Windows Defender ATP fournit des rapports détaillés d’événements et les blocs dans le cadre de ses scénarios d’investigation d’alerte.

Vous pouvez interroger les données de Windows Defender ATP à l’aide de avancée. Si vous utilisez le mode audit, vous pouvez utiliser avancée pour voir comment les paramètres de protection réseau affecterait votre environnement s’ils ont été activés.

Passez en revue les événements de protection du réseau dans l’Observateur d’événements Windows

Vous pouvez consulter le journal des événements Windows pour afficher les événements créés lors de la protection de réseau bloque (ou audite) l’accès à une adresse IP ou un domaine malveillant:

  1. Téléchargez le package d’évaluation ExploitGuard et extrayez le fichier np-events.xml dans un emplacement facile d’accès sur l’ordinateur.

  2. Tapez Observateur d’événements dans le menu Démarrer pour ouvrir l’observateur d’événements Windows.

  3. Dans le volet gauche, sous Actions, cliquez sur Importer une vue personnalisée...

  4. Accédez au package d’évaluation ExploitGuard et sélectionnez le fichier np-events.xml. Vous pouvez également copier le codeXML directement.

  5. Cliquez sur OK.

  6. Cela crée une vue personnalisée qui filtre de façon à afficher uniquement les événements suivants liés à la protection du réseau:

    ID d’événement Description
    5007 Événement lors de la modification des paramètres
    1125 Événement lorsque la protection du réseau se déclenche en mode audit
    1126 Événement lors du déclenche de la protection du réseau en mode blocage

    Dans cette section

Rubrique Description
Évaluer la protection réseau Réalisez un scénario rapide qui illustre le fonctionnement de la fonctionnalité et les événements généralement créés.
Activer la protection réseau Utilisez la stratégie de groupe, PowerShell ou les CSP GPM pour activer et gérer la protection du réseau de votre réseau.