Proteggere la rete

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Panoramica della protezione di rete

La protezione di rete consente di proteggere i dispositivi dagli eventi basati su Internet. La protezione di rete è una funzionalità di riduzione della superficie di attacco. Consente di impedire ai dipendenti di accedere a domini pericolosi tramite applicazioni. I domini che ospitano tentativi di phishing, exploit e altri contenuti dannosi su Internet sono considerati pericolosi. Protezione di rete espande l'ambito di Microsoft Defender SmartScreen per bloccare tutto il traffico HTTP in uscita che tenta di connettersi a origini con reputazione scarsa (in base al dominio o al nome host).

La protezione di rete estende la protezione della protezione Web al livello del sistema operativo. Fornisce funzionalità di protezione Web in Edge ad altri browser supportati e applicazioni non browser. Inoltre, la protezione di rete fornisce visibilità e blocco degli indicatori di compromissione (I/O) se usati con il rilevamento e la risposta degli endpoint. Ad esempio, la protezione di rete funziona con gli indicatori personalizzati che puoi usare per bloccare domini o nomi host specifici.

Suggerimento

Per informazioni sul funzionamento della protezione di rete, vedere il sito di test di Microsoft Defender for Endpoint all'indirizzo demo.wd.microsoft.com informazioni sul funzionamento della protezione di rete.

Requisiti per la protezione di rete

La protezione di rete richiede Windows 10 Pro o Enterprise e Antivirus Microsoft Defender in tempo reale.



Versione di Windows Antivirus Microsoft Defender
Windows 10 versione 1709 o successiva

Windows 11

Windows Server 1803 o versione successiva

Antivirus Microsoft Defender la protezione in tempo reale e la protezione basata sul cloud devono essere abilitate

Dopo aver abilitato i servizi, potrebbe essere necessario configurare la rete o il firewall per consentire le connessioni tra i servizi e i dispositivi (denominati anche endpoint).

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Configurazione della protezione di rete

Per ulteriori informazioni su come abilitare la protezione di rete, vedere Enable network protection. Usa Criteri di gruppo, PowerShell o CSP MDM per abilitare e gestire la protezione di rete nella rete.

Visualizzazione degli eventi di protezione di rete

La protezione di rete funziona in modo ottimale con Microsoft Defender for Endpoint,che fornisce report dettagliati sugli eventi e i blocchi di protezione da exploit come parte degli scenari di analisi degli avvisi.

Quando la protezione di rete blocca una connessione, viene visualizzata una notifica dal Centro notifiche. Il team delle operazioni di sicurezza può personalizzare la notifica con i dettagli e le informazioni di contatto dell'organizzazione. Inoltre, le singole regole di riduzione della superficie di attacco possono essere abilitate e personalizzate in base a determinate tecniche da monitorare.

È inoltre possibile utilizzare la modalità di controllo per valutare l'impatto della protezione di rete sull'organizzazione se fosse abilitata.

Esaminare gli eventi di protezione di rete nel portale Microsoft 365 Defender rete

Microsoft Defender for Endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di analisi degli avvisi. È possibile visualizzare questi dettagli nel portale Microsoft 365 Defender ( ) nella coda degli avvisi o https://security.microsoft.com utilizzando la ricerca avanzata. Se usi la modalità dicontrollo, puoi usare la ricerca avanzata per vedere in che modo le impostazioni di protezione di rete influirebbero sull'ambiente se fossero abilitate.

Ecco una query di esempio per la ricerca avanzata:

DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')

Esaminare gli eventi di protezione di rete nel Visualizzatore Windows eventi

È possibile esaminare il Windows eventi per visualizzare gli eventi creati quando la protezione di rete blocca (o controlla) l'accesso a un IP o a un dominio dannoso:

  1. Copiare il codice XML direttamente.

  2. Selezionare OK.

Questa procedura crea una visualizzazione personalizzata che filtra in modo da visualizzare solo gli eventi seguenti correlati alla protezione di rete:



ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1125 Evento quando viene attivata la protezione di rete in modalità di controllo
1126 Evento quando viene attivata la protezione di rete in modalità blocco

Protezione di rete e handshake a tre senso TCP

Con la protezione di rete, la determinazione se consentire o bloccare l'accesso a un sito viene effettuata dopo il completamento dell'handshake a tre porte tramite TCP/IP. Pertanto, quando un sito viene bloccato dalla protezione di rete, è possibile che nel portale di Microsoft 365 Defender venga visualizzato un tipo di azione sotto, anche se il sito è stato ConnectionSuccess NetworkConnectionEvents effettivamente bloccato. NetworkConnectionEvents vengono segnalati dal livello TCP e non dalla protezione di rete. Al termine dell'handshake a tre, l'accesso al sito è consentito o bloccato dalla protezione di rete.

Ecco un esempio di come funziona:

  1. Si supponga che un utente tenti di accedere a un sito Web nel dispositivo. Il sito è ospitato in un dominio pericoloso e deve essere bloccato dalla protezione di rete.

  2. L'handshake a tre porte tramite TCP/IP inizia. Prima del completamento, viene NetworkConnectionEvents registrata un'azione e la relativa ActionType viene elencata come ConnectionSuccess . Tuttavia, non appena viene completato il processo di handshake a tre, la protezione di rete blocca l'accesso al sito. Tutto questo avviene molto rapidamente. Un processo simile si verifica con Microsoft Defender SmartScreen;è quando viene completato l'handshake a tre modalità che viene effettuata una determinazione e l'accesso a un sito è bloccato o consentito.

  3. Nel portale Microsoft 365 Defender viene elencato un avviso nella coda degli avvisi. I dettagli dell'avviso includono NetworkConnectionEvents sia e AlertEvents . Puoi vedere che il sito è stato bloccato, anche se hai anche un elemento con NetworkConnectionEvents ActionType di ConnectionSuccess .

Considerazioni per Windows desktop virtuale che esegue Windows 10 Enterprise multi-sessione

A causa della natura multi-utente Windows 10 Enterprise, tenere presente quanto segue:

  1. La protezione di rete è una funzionalità a livello di dispositivo e non può essere destinata a sessioni utente specifiche.

  2. Anche i criteri di filtro del contenuto Web sono a livello di dispositivo.

  3. Se è necessario distinguere i gruppi di utenti, prendere in considerazione la creazione di Windows pool host desktop virtuale e assegnazioni.

  4. Testare la protezione di rete in modalità di controllo per valutarne il comportamento prima dell'implementazione.

  5. È consigliabile ridimensionare la distribuzione se si dispone di un numero elevato di utenti o di un numero elevato di sessioni multi-utente.

Opzione alternativa per la protezione di rete

Ad Windows 10 Enterprise Multi-Session 1909 e up, usato in Windows Virtual Desktop in Azure, la protezione di rete per Microsoft Edge può essere abilitata usando il metodo seguente:

  1. Usa Attiva protezione di rete e segui le istruzioni per applicare i criteri.

  2. Eseguire il comando di PowerShell seguente: Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Risoluzione dei problemi di protezione di rete

A causa dell'ambiente in cui viene eseguita la protezione di rete, Microsoft potrebbe non essere in grado di rilevare le impostazioni proxy del sistema operativo. In alcuni casi, i client di protezione di rete non sono in grado di raggiungere il servizio cloud. Per risolvere il problema di connettività, i clienti con licenze E5 devono configurare una delle seguenti chiavi del Registro di sistema:

reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyServer /d "<proxy IP address: Port>" /f
reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyPacUrl /d "<Proxy PAC url>" /f

Vedere anche