A hálózat védelme
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platformok
- A Windows
- macOS
- Linux
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráljon az ingyenes próbaverzióra.
A hálózatvédelem áttekintése
A hálózatvédelem segít megvédeni az eszközöket az internetes eseményektől. A hálózatvédelem támadásifelület-csökkentési képesség. Segít megakadályozni, hogy az alkalmazottak alkalmazásokon keresztül hozzáférjenek a veszélyes tartományokhoz. Azok a tartományok, amelyek adathalász csalásokat, biztonsági réseket és más kártékony tartalmakat üzemeltetnek az interneten, veszélyesnek minősülnek. A hálózatvédelem kibővíti a Microsoft Defender SmartScreen hatókörét, hogy letiltsa az összes kimenő HTTP-forgalmat, amely alacsony hírnevű forrásokhoz próbál csatlakozni (a tartomány vagy a gazdagépnév alapján).
A hálózatvédelem kiterjeszti a webes védelem védelmét az operációs rendszer szintjére, és a webes tartalomszűrés (WCF) alapvető összetevője. Ez biztosítja a Microsoft Edge-ben található webvédelmi funkciókat más támogatott böngészőknek és nem böngészős alkalmazásoknak. A hálózatvédelem a biztonsági rések (IOK) jelzéseinek láthatóságát és blokkolását is biztosítja a végpontészlelés és -válasz használatakor. A hálózatvédelem például az egyéni jelzőkkel működik, amelyekkel bizonyos tartományokat vagy gazdagépneveket blokkolhat.
Hálózatvédelem lefedettsége
Az alábbi táblázat összefoglalja a lefedettség hálózatvédelmi területeit.
Kiemelés | Microsoft Edge | Külső böngészők | Nem böngészőbeli folyamatok (például PowerShell) |
---|---|---|---|
Webes veszélyforrások elleni védelem | A SmartScreen-t engedélyezni kell | A hálózatvédelemnek blokkmódban kell lennie | A hálózatvédelemnek blokkmódban kell lennie |
Egyéni mutatók | A SmartScreen-t engedélyezni kell | A hálózatvédelemnek blokkmódban kell lennie | A hálózatvédelemnek blokkmódban kell lennie |
Webes tartalomszűrés | A SmartScreen-t engedélyezni kell | A hálózatvédelemnek blokkmódban kell lennie | Nem támogatott |
Megjegyzés:
Macen és Linuxon a hálózatvédelemnek blokk módban kell lennie ahhoz, hogy támogatást kapjon ezekhez a funkciókhoz az Edge-ben. Windows rendszeren a hálózatvédelem nem figyeli a Microsoft Edge-et. A Microsoft Edge és az Internet Explorer kivételével a webvédelmi forgatókönyvek a hálózatvédelmet használják a vizsgálathoz és a kényszerítéshez.
- Az IP-cím mindhárom protokoll (TCP, HTTP és HTTPS (TLS) esetében támogatott.
- Egyéni jelzőkben csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
- A titkosított URL-címek (teljes elérési út) csak belső böngészőkben tilthatók le (Internet Explorer, Edge).
- A titkosított URL-címek (csak FQDN) blokkolhatók külső böngészőkben (pl. az Internet Explorer, az Edge kivételével).
- A titkosítatlan URL-címekre teljes URL-címblokkok alkalmazhatók.
A művelet végrehajtása és az URL-cím és az IP-cím blokkolása között akár 2 óra késés is lehet (általában kevesebb).
Ebből a videóból megtudhatja, hogyan csökkenti a hálózatvédelem az eszközök támadási felületét az adathalász csalások, biztonsági rések és egyéb rosszindulatú tartalmak ellen.
A hálózatvédelem követelményei
A hálózatvédelemhez Windows 10 vagy 11 -es (Pro vagy Enterprise), a Windows Server 1803-es vagy újabb verziója, a macOS 11-es vagy újabb verziója vagy a Defender által támogatott Linux-verziók, valamint Microsoft Defender víruskereső valós idejű védelme szükséges.
Windows verziója | Microsoft Defender víruskereső |
---|---|
Windows 10 1709-es vagy újabb verzió, Windows 11, Windows Server 1803 vagy újabb | Győződjön meg arról, hogy a Microsoft Defender víruskereső valós idejű védelme, a viselkedésfigyelés és a felhőben nyújtott védelem engedélyezve van (aktív) |
R2 és Windows Server 2016 Windows Server 2012 az egyesített ügynökkel | Platformfrissítés 4.18.2001.x.x vagy újabb verzió |
Miért fontos a hálózatvédelem?
A hálózatvédelem a Végponthoz készült Microsoft Defender támadásifelület-csökkentési megoldáscsoportjának része. A hálózatvédelem lehetővé teszi, hogy a hálózati réteg blokkolja az URL-címeket és AZ IP-címeket. A hálózatvédelem bizonyos böngészők és standard hálózati kapcsolatok használatával megakadályozhatja az URL-címek elérését. Alapértelmezés szerint a hálózatvédelem védi a számítógépeket az ismert rosszindulatú URL-címektől a SmartScreen-hírcsatornával, amely a Microsoft Edge böngészőBen a SmartScreen-hez hasonló módon blokkolja a rosszindulatú URL-címeket. A hálózatvédelmi funkció a következőre terjeszthető ki:
- IP-/URL-címek letiltása a saját fenyegetésfelderítésből (jelzők)
- Nem engedélyezett szolgáltatások letiltása Microsoft Defender for Cloud Apps
- Webhelyekhez való böngészőhozzáférés letiltása kategória alapján (webes tartalomszűrés)
A hálózatvédelem a Microsoft védelmi és reagálási verem kritikus része.
Tipp
A Windows Server, Linux, MacOS és Mobile Threat Defense (MTD) hálózati védelmével kapcsolatos részletekért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.
Parancs- és vezérlési támadások letiltása
A parancs- és vezérlési (C2) kiszolgálói számítógépeket rosszindulatú felhasználók arra használják, hogy parancsokat küldjenek a kártevők által korábban feltört rendszereknek. A C2-támadások általában elrejtőznek a felhőalapú szolgáltatásokban, például a fájlmegosztási és webmail-szolgáltatásokban, így a C2-kiszolgálók elkerülhetik az észlelést a tipikus forgalommal való összeolvadással.
A C2-kiszolgálók a következő parancsok indítására használhatók:
- Adatok ellopás
- Feltört számítógépek vezérlése egy robothálózatban
- Jogszerű alkalmazások megzavarása
- Kártevők, például zsarolóprogramok terjesztése
A Végponthoz készült Defender hálózatvédelmi összetevője azonosítja és blokkolja az ember által üzemeltetett zsarolóprogram-támadásokban használt C2-infrastruktúrákhoz való csatlakozást olyan technikákkal, mint a gépi tanulás és az intelligens biztonsági rések (IoC) azonosítása.
Hálózatvédelem: C2 észlelés és szervizelés
Kezdeti formájában a zsarolóprogram egy kereskedelmi fenyegetés, előre programozva és korlátozott, specifikus eredményekre összpontosítva (például egy számítógép titkosítása). A zsarolóprogramok azonban kifinomult fenyegetéssé alakultak, amely emberközpontú, adaptív, és nagyobb léptékű és szélesebb körű eredményekre összpontosított, például egy teljes szervezet eszközeinek vagy adatainak tárolására váltságdíjért.
A parancs- és vezérlési kiszolgálók (C2) támogatása kulcsfontosságú része ennek a zsarolóprogram-fejlesztésnek, és ez teszi lehetővé, hogy ezek a támadások alkalmazkodjanak az általuk megcélzott környezethez. A parancs- és vezérlési infrastruktúrára mutató hivatkozás megszakadása leállítja a támadás következő szakaszára való előrehaladását. További információ a C2 észleléséről és szervizeléséről: Parancs- és vezérlési támadások észlelése és elhárítása a hálózati rétegen.
Hálózatvédelem: Új bejelentési értesítések
Új leképezés | Válaszkategória | Források |
---|---|---|
Adathalászat | Adathalászat | Smartscreen |
Rosszindulatú | Rosszindulatú | Smartscreen |
parancs és vezérlés | C2 | Smartscreen |
parancs és vezérlés | COCO | Smartscreen |
Rosszindulatú | Bizalmatlankodó | Smartscreen |
a rendszergazda által | CustomBlockList | |
a rendszergazda által | CustomPolicy |
Megjegyzés:
A customAllowList nem hoz létre értesítéseket a végpontokon.
Új értesítések a hálózatvédelem meghatározásához
A hálózatvédelem új, nyilvánosan elérhető funkciója a SmartScreen funkcióit használja a rosszindulatú parancs- és vezérlőhelyek adathalászati tevékenységeinek letiltására.
Amikor egy végfelhasználó olyan környezetben próbál meg felkeresni egy webhelyet, amelyben engedélyezve van a hálózatvédelem, három forgatókönyv lehetséges:
- Az URL-cím jó hírnevével rendelkezik – Ebben az esetben a felhasználó akadály nélkül férhet hozzá, és nem jelenik meg bejelentési értesítés a végponton. A tartomány vagy az URL-cím gyakorlatilag Engedélyezett értékre van állítva.
- Az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik – A felhasználó hozzáférése le van tiltva, de képes megkerülni (feloldani) a blokkot. A tartomány vagy az URL-cím valójában Naplózás értékre van állítva.
- Az URL-cím ismert rossz (rosszindulatú) hírnévvel rendelkezik – A felhasználó nem férhet hozzá. A tartomány vagy az URL-cím valójában Blokkolás értékre van állítva.
Figyelmeztetési felület
Egy felhasználó felkeres egy webhelyet:
Ha az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik, bejelentési értesítés jelenik meg a felhasználónak a következő lehetőségekkel:
Ok – A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.
Tiltás feloldása – A felhasználó 24 órán keresztül hozzáférhet a webhelyhez; ekkor a blokk újra engedélyezve lesz. A felhasználó továbbra is használhatja a Tiltás feloldása funkciót a webhely eléréséhez, amíg a rendszergazda nem tiltja (letiltja) a webhelyet, így eltávolítja a tiltás feloldásának lehetőségét.
Visszajelzés – A bejelentési értesítés egy hivatkozást jelenít meg a felhasználónak egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.
Megjegyzés:
Az itt látható képek a figyelmeztetési élmény és a blokkolási élmény érdekében (alább) a "letiltott URL-címet" jelenítik meg példahelyőrző szövegként; működő környezetben a tényleges URL-cím vagy tartomány szerepel a listán.
Felhasználói élmény letiltása
Egy felhasználó felkeres egy webhelyet:
- Ha az URL-cím rossz hírnevű, bejelentési értesítés jelenik meg a felhasználónak a következő lehetőségekkel:
Oké A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.
Visszajelzés A bejelentési értesítés egy hivatkozást jelenít meg a felhasználó számára egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.
SmartScreen – Tiltás feloldása
A Végponthoz készült Defender mutatóival a rendszergazdák engedélyezhetik a végfelhasználók számára, hogy megkerüljék az egyes URL-címekhez és IP-címekhez létrehozott figyelmeztetéseket. Az URL-cím letiltásának okától függően a SmartScreen-blokk észlelésekor akár 24 óráig is feloldhatja a webhely blokkolását. Ilyen esetekben megjelenik egy Windows biztonság bejelentési értesítés, amely lehetővé teszi, hogy a végfelhasználó feloldja az URL-cím vagy IP-cím blokkolását a megadott időtartamra.
Végponthoz készült Microsoft Defender rendszergazdák az IP-címekre, URL-címekre és tartományokra vonatkozó "engedélyezés" jelzővel konfigurálhatják a SmartScreen Blokkolás feloldása funkciót a Microsoft Defender portálon.
Lásd Létrehozás IP-címekre és URL-címekre/tartományokra vonatkozó mutatókat.
Hálózatvédelem használata
A hálózatvédelem eszközönként engedélyezve van, ami általában a felügyeleti infrastruktúrával történik. A támogatott módszerekről a Hálózatvédelem bekapcsolása című témakörben olvashat.
Megjegyzés:
Microsoft Defender víruskeresőnek aktívnak kell lennie a hálózatvédelem engedélyezéséhez.
A hálózatvédelmet naplózási vagy blokkolási módban engedélyezheti. Ha az IP-címek vagy URL-címek tényleges blokkolása előtt szeretné kiértékelni a hálózati védelem engedélyezésének hatását, a hálózatvédelmet naplózási módban időzítheti arra, hogy adatokat gyűjtsön arról, hogy mi lenne blokkolva. Naplózza a naplózási módot, ha a végfelhasználók olyan címhez vagy webhelyhez csatlakoztak, amelyet egyébként blokkolt volna a hálózatvédelem. Vegye figyelembe, hogy ahhoz, hogy a biztonsági rések (IoC) vagy a webes tartalomszűrés (WCF) működjenek, a hálózatvédelemnek "Letiltott" módban kell lennie
További információ a Linux és a macOS hálózati védelméről: Hálózati védelem Linuxhoz és Hálózati védelem macOS-hez.
Speciális veszélyforrás-keresés
Ha speciális veszélyforrás-kereséssel azonosítja a naplózási eseményeket, legfeljebb 30 nap előzményei lesznek elérhetők a konzolról. Lásd: Speciális veszélyforrás-keresés.
A naplózási eseményeket a Speciális veszélyforrás-keresés a Végponthoz készült Defender portálon (https://security.microsoft.com) találja.
A naplózási események a DeviceEvents eseményeiben találhatók, amelynek ActionType értéke ExploitGuardNetworkProtectionAudited
. A blokkok az ActionType tulajdonságával ExploitGuardNetworkProtectionBlocked
jelennek meg.
Íme egy példa lekérdezés a hálózatvédelmi események külső böngészőkhöz való megtekintéséhez:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
Tipp
Ezek a bejegyzések adatokat tartalmaznak az AdditionalFields oszlopban, amely nagyszerű információt nyújt a műveletről. Ha kibontja az AdditionalFields elemet, a következő mezőket is lekérheti: IsAudit, ResponseCategory és DisplayName.
Íme egy másik példa:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
A Válasz kategória jelzi, hogy mi okozta az eseményt, például:
ResponseCategory | Az eseményért felelős funkció |
---|---|
CustomPolicy | WCF |
CustomBlockList | Egyéni mutatók |
CasbPolicy | Defender for Cloud Apps |
Rosszindulatú | Webes fenyegetések |
Adathalászat | Webes fenyegetések |
További információ: Végpontblokkok hibaelhárítása.
Vegye figyelembe, hogy Microsoft Defender Microsoft Edge böngésző SmartScreen-eseményeihez más lekérdezésre van szükség:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
Az eredményként kapott URL-címek és IP-címek listájával megállapíthatja, hogy mi lett volna blokkolva, ha az eszköz letiltott módban lett volna, és melyik funkció tiltotta le őket. Tekintse át a lista egyes elemeit, és azonosítsa az URL-címeket vagy IP-címeket, hogy szükségesek-e a környezetéhez. Ha olyan naplózott bejegyzéseket talál, amelyek kritikus fontosságúak a környezetben, hozzon létre egy mutatót, amely engedélyezi azokat a hálózatban. Az URL-/IP-jelzők engedélyezése minden blokknál elsőbbséget élvez.
Miután létrehozott egy mutatót, áttekintheti a mögöttes probléma megoldását:
- SmartScreen – kérelem áttekintése
- Mutató – meglévő mutató módosítása
- MCA – nem engedélyezett alkalmazás áttekintése
- WCF – kérések újraaktiválása
Ezen adatok felhasználásával megalapozott döntést hozhat a hálózatvédelem letiltott módban történő engedélyezéséről. Lásd: A hálózatvédelmi blokkok elsőbbségi sorrendje.
Megjegyzés:
Mivel ez egy eszközönkénti beállítás, ha vannak olyan eszközök, amelyek nem tudnak blokk módba lépni, egyszerűen hagyja őket naplózásban, amíg ki nem tudja javítani a kihívást, és továbbra is megkapja a naplózási eseményeket.
A téves pozitívok jelentéséről további információt a Téves pozitív jelentések című témakörben talál.
A saját Power BI-jelentések létrehozásával kapcsolatos részletekért lásd: egyéni jelentések Létrehozás a Power BI használatával.
A hálózatvédelem konfigurálása
A hálózatvédelem engedélyezésével kapcsolatos további információkért lásd: Hálózatvédelem engedélyezése. A hálózat védelmének engedélyezéséhez és kezeléséhez Csoportházirend, PowerShell- vagy MDM-CSP-ket használhat.
A hálózatvédelem engedélyezése után előfordulhat, hogy úgy kell konfigurálnia a hálózatot vagy a tűzfalat, hogy engedélyezze a végponteszközök és a webszolgáltatások közötti kapcsolatokat:
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
Hálózatvédelmi események megtekintése
A hálózatvédelem Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a biztonsági rés kiaknázása elleni védelmi eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként.
Ha a hálózatvédelem blokkolja a kapcsolatot, a műveletközpontban értesítés jelenik meg. A biztonsági üzemeltetési csapat testre szabhatja az értesítést a szervezet adataival és kapcsolattartási adataival. Emellett az egyes támadásifelület-csökkentési szabályok engedélyezhetők és testre szabhatók, hogy megfeleljenek bizonyos figyelési technikáknak.
A naplózási móddal azt is kiértékelheti, hogy a hálózatvédelem milyen hatással lenne a szervezetre, ha engedélyezve lenne.
Hálózatvédelmi események áttekintése a Microsoft Defender portálon
A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztási vizsgálati forgatókönyvek részeként. Ezeket az adatokat a riasztások várólistáján található Microsoft Defender portálon (https://security.microsoft.com) vagy speciális veszélyforrás-kereséssel tekintheti meg. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a hálózatvédelmi beállítások milyen hatással lennének a környezetre, ha engedélyezve lennének.
Hálózatvédelmi események áttekintése a Windows eseménymegtekintő-ben
A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a hálózatvédelem blokkolja (vagy naplózza) a rosszindulatú IP-címhez vagy tartományhoz való hozzáférést:
Kattintson az OK gombra.
Ez az eljárás létrehoz egy egyéni nézetet, amely a hálózatvédelemmel kapcsolatos alábbi események megjelenítésére szűr:
Eseményazonosító | Leírás |
---|---|
5007 | A beállítások módosításának eseménye |
1125 | Esemény, amikor a hálózatvédelem naplózási módban aktiválódik |
1126 | Esemény, amikor a hálózatvédelem blokk módban aktiválódik |
Hálózatvédelem és a TCP háromutas kézfogása
A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha egy hely hálózati védelemmel van letiltva, a Microsoft Defender portálon egy művelettípus ConnectionSuccess
DeviceNetworkEvents
jelenhet meg, annak ellenére, hogy a hely le lett tiltva. DeviceNetworkEvents
A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.
Íme egy példa ennek működésére:
Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.
Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása
DeviceNetworkEvents
előtt a rendszer naplózza a műveletet, ésActionType
a következőképpen jelenik megConnectionSuccess
: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és
AlertEvidence
a isDeviceNetworkEvents
. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik aDeviceNetworkEvents
ActionTypeConnectionSuccess
elemével is.
Megfontolandó szempontok Windows 10 Enterprise több munkamenetet futtató Windows rendszerű virtuális asztalhoz
A Windows 10 Enterprise többfelhasználós jellege miatt tartsa szem előtt a következő szempontokat:
A hálózatvédelem egy eszközszintű szolgáltatás, amely nem célozható meg adott felhasználói munkamenetekre.
A webes tartalomszűrési szabályzatok szintén eszközszintűek.
Ha meg kell különböztetnie a felhasználói csoportokat, fontolja meg külön Windows Virtual Desktop-gazdagépkészletek és -hozzárendelések létrehozását.
Tesztelje a hálózatvédelmet naplózási módban, hogy felmérje annak viselkedését a bevezetés előtt.
Fontolja meg az üzemelő példány átméretezését, ha nagy számú felhasználóval vagy nagy számú többfelhasználós munkamenetekkel rendelkezik.
A hálózatvédelem alternatív lehetősége
A Windows Server 2012R2/2016 egyesített MDE-ügyfél, a Windows Server 1803-at vagy újabb verzióját, a Windows Server 2019-es vagy újabb verzióját, valamint az Azure-beli Windows Virtual Desktopban használt Windows 10 Enterprise Több munkamenetes 1909-es vagy újabb verzióját, a Microsoft Edge hálózati védelme az alábbi módszerrel engedélyezhető:
Használja a Hálózatvédelem bekapcsolása lehetőséget, és kövesse az utasításokat a szabályzat alkalmazásához.
Hajtsa végre a következő PowerShell-parancsokat:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Megjegyzés:
Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől Set-MpPreference -AllowDatagramProcessingOnWinServer 1
függően hatással lehet a hálózati teljesítményre.
Hálózatvédelem Windows-kiszolgálókhoz
Az alábbiakban a Windows-kiszolgálókra vonatkozó információk találhatók.
Ellenőrizze, hogy a hálózatvédelem engedélyezve van-e
Ellenőrizze, hogy engedélyezve van-e a hálózatvédelem egy helyi eszközön a Beállításjegyzék Szerkesztő használatával.
Kattintson a Start gombra a tálcán, és írja be a regedit parancsot a Beállításjegyzék Szerkesztő megnyitásához.
Válassza HKEY_LOCAL_MACHINE lehetőséget az oldalsó menüből.
A beágyazott menükben navigáljon aMicrosoft>Windows Defender>szoftveres>házirendjeihez>Windows Defender a Exploit Guard>Network Protectionhöz.
(Ha a kulcs nincs jelen, lépjen a SZOFTVER>Microsoft>> Windows Defender Windows Defender Exploit Guard>Network Protection)
Válassza az EnableNetworkProtection lehetőséget az eszköz hálózati védelmének aktuális állapotának megtekintéséhez:
- 0 = Kikapcsolva
- 1 = Bekapcsolva (engedélyezve)
- 2 = Naplózási mód
További információ: A hálózatvédelem bekapcsolása
Hálózatvédelmi javaslat
A Windows Server 2012R2/2016 egyesített MDE-ügyfél, a Windows Server 1803-at vagy újabb verzióját, a Windows Server 2019-es vagy újabb verzióját, valamint a több munkamenetes 1909-es és újabb Windows 10 Enterprise (az Azure-beli Windows Virtual Desktopban használatos) további beállításkulcsokat kell engedélyezni:
HKEY_LOCAL_MACHINE\SZOFTVER\Microsoft\\ Windows Defender Windows Defender Exploit Guard\hálózatvédelem
- AllowNetworkProtectionOnWinServer (dword) 1 (hexadecimális)
- EnableNetworkProtection (dword) 1 (hexadecimális)
- AllowNetworkProtectionDownLevel (dword) 1 (hexadecimális) – Csak Windows Server 2012R2 és Windows Server 2016
Megjegyzés:
Az infrastruktúrától, a forgalom mennyiségétől és egyéb feltételektől függően HKEY_LOCAL_MACHINE a Microsoft\\Windows Defender \NIS-fogyasztók\\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hexadecimális)szoftverházirendjei\\ hatással lehetnek a hálózati teljesítményre.
További információ: A hálózatvédelem bekapcsolása
A Windows-kiszolgálók és a Windows több munkamenetes konfigurációja a PowerShellt igényli
Windows-kiszolgálók és Több munkamenetes Windows esetén további elemeket kell engedélyeznie a PowerShell-parancsmagok használatával. A Windows Server 2012R2/2016 egyesített MDE-ügyfél, a Windows Server 1803-at vagy újabb verzióját, a Windows Server 2019-es vagy újabb verzióját, valamint Windows 10 Enterprise Multi-Session 1909-es és újabb verzióit, amelyeket az Azure-beli Windows Virtual Desktopban használnak.
- Set-MpPreference -EnableNetworkProtection engedélyezve
- Set-MpPreference -AllowNetworkProtectionOnWinServer 1
- Set-MpPreference -AllowNetworkProtectionDownLevel 1
- Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Megjegyzés:
Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől függően a Set-MpPreference -AllowDatagramProcessingOnWinServer 1 hatással lehet a hálózati teljesítményre.
Hálózatvédelem hibaelhárítása
A hálózatvédelmet futtató környezet miatt előfordulhat, hogy a szolgáltatás nem tudja észlelni az operációsrendszer-proxy beállításait. Bizonyos esetekben a hálózatvédelmi ügyfelek nem tudják elérni a felhőszolgáltatást. A csatlakozási probléma megoldásához konfiguráljon statikus proxyt Microsoft Defender víruskeresőhöz.
A hálózatvédelmi teljesítmény optimalizálása
A hálózatvédelem most már rendelkezik egy teljesítményoptimalizálással, amely lehetővé teszi, hogy a letiltási mód aszinkron módon vizsgálja meg a hosszú élettartamú kapcsolatokat, ami javíthat a teljesítményen, és segíthet az alkalmazáskompatibilitási problémák megoldásában is. Ez az optimalizálási képesség alapértelmezés szerint be van kapcsolva. Ezt a képességet a következő PowerShell-parancsmaggal kapcsolhatja ki:
Set-MpPreference -AllowSwitchToAsyncInspection $false
Lásd még
- Hálózatvédelem kiértékelése | Vállaljon egy gyors forgatókönyvet, amely bemutatja, hogyan működik a funkció, és milyen események jönnek létre általában.
- Hálózatvédelem engedélyezése | A hálózat védelmének engedélyezéséhez és kezeléséhez Csoportházirend, PowerShell- vagy MDM-CSP-ket használhat.
- Támadásifelület-csökkentési képességek konfigurálása a Microsoft Intune
- Hálózatvédelem Linuxhoz | További információ a Microsoft Network Protection linuxos eszközökhöz való használatáról.
- Hálózati védelem macOS rendszerhez | További információ a macOS-hez készült Microsoft Network-védelemről
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: