Beskytt nettverket

  • Artikkel

Gjelder for:

Plattformer

  • Windows
  • Macos
  • Linux

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveversjon.

Oversikt over nettverksbeskyttelse

Nettverksbeskyttelse bidrar til å beskytte enheter mot Internett-baserte hendelser. Nettverksbeskyttelse er en funksjon for reduksjon av angrepsoverflaten. Det bidrar til å hindre ansatte i å få tilgang til farlige domener gjennom programmer. Domener som er vert for phishing-svindel, utnyttelser og annet skadelig innhold på Internett, anses som farlige. Nettverksbeskyttelse utvider omfanget av Microsoft Defender SmartScreen for å blokkere all utgående HTTP(S)-trafikk som forsøker å koble til kilder med lavt omdømme (basert på domenet eller vertsnavnet).

Nettverksbeskyttelse utvider beskyttelsen i webbeskyttelsen til operativsystemnivå, og er en kjernekomponent for webinnholdsfiltrering (WCF). Den gir nettbeskyttelsesfunksjonaliteten som finnes i Microsoft Edge, til andre støttede nettlesere og programmer som ikke er nettlesere. Nettverksbeskyttelse gir også synlighet og blokkering av indikatorer for kompromisser (IOCer) når de brukes med gjenkjenning og respons for endepunkt. Nettverksbeskyttelse fungerer for eksempel med egendefinerte indikatorer som du kan bruke til å blokkere bestemte domener eller vertsnavn.

Nettverksbeskyttelsesdekning

Tabellen nedenfor oppsummerer dekningsområder for nettverksbeskyttelse.

Funksjon Microsoft Edge Tredjeparts nettlesere Prosesser som ikke er nettlesere
(f.eks. PowerShell)
Beskyttelse mot webtrusler SmartScreen må være aktivert Nettverksbeskyttelsen må være i blokkmodus Nettverksbeskyttelsen må være i blokkmodus
Egendefinerte indikatorer SmartScreen må være aktivert Nettverksbeskyttelsen må være i blokkmodus Nettverksbeskyttelsen må være i blokkmodus
Filtrering av nettinnhold SmartScreen må være aktivert Nettverksbeskyttelsen må være i blokkmodus Støttes ikke

Obs!

På Mac og Linux må du ha nettverksbeskyttelse i blokkmodus for å få støtte for disse funksjonene i Edge. I Windows overvåker ikke nettverksbeskyttelse Microsoft Edge. Når det gjelder andre prosesser enn Microsoft Edge og Internet Explorer, drar nettbeskyttelsesscenarioer nytte av nettverksbeskyttelse for inspeksjon og håndhevelse.

  • IP støttes for alle tre protokollene (TCP, HTTP og HTTPS (TLS)).
  • Bare enkle IP-adresser støttes (ingen CIDR-blokker eller IP-områder) i egendefinerte indikatorer.
  • Krypterte URL-adresser (fullstendig bane) kan bare blokkeres på førsteparts nettlesere (Internet Explorer, Edge).
  • Krypterte NETTADRESSEr (bare FQDN) kan blokkeres i tredjeparts nettlesere (det vil eksempelvis annet enn Internet Explorer, Edge).
  • Fullstendige baneblokker for URL-adresse kan brukes for ukrypterte URL-adresser.

Det kan være opptil to timers ventetid (vanligvis mindre) mellom tidspunktet handlingen utføres, og nettadressen og IP-adressen blokkeres.

Se denne videoen for å lære hvordan nettverksbeskyttelse bidrar til å redusere angrepsoverflaten på enhetene dine fra phishingsvindel, utnyttelser og annet skadelig innhold.

Krav til nettverksbeskyttelse

Nettverksbeskyttelse krever Windows 10 eller 11 (Pro eller Enterprise), Windows Server versjon 1803 eller nyere, macOS versjon 11 eller nyere, eller Defender-støttede Linux-versjoner, og Microsoft Defender Antivirus sanntidsbeskyttelse.

Windows-versjon Microsoft Defender Antivirus
Windows 10 versjon 1709 eller nyere, Windows 11, Windows Server 1803 eller nyere Kontroller at Microsoft Defender antivirusbeskyttelse i sanntid, overvåking av virkemåte og skybasert beskyttelse er aktivert (aktiv)
Windows Server 2012 R2 og Windows Server 2016 med den enhetlige agenten Plattformoppdatering versjon 4.18.2001.x.x eller nyere

Hvorfor nettverksbeskyttelse er viktig

Nettverksbeskyttelse er en del av angrepsgruppen for overflatereduksjon i Microsoft Defender for endepunkt. Nettverksbeskyttelse gjør det mulig for nettverkslaget å blokkere nettadresser og IP-adresser. Nettverksbeskyttelse kan blokkere tilgang til nettadresser ved hjelp av bestemte nettlesere og standard nettverkstilkoblinger. Som standard beskytter nettverksbeskyttelse datamaskinene mot kjente skadelige nettadresser ved hjelp av SmartScreen-feeden, som blokkerer skadelige nettadresser på en måte som ligner på SmartScreen i Microsoft Edge-nettleseren. Nettverksbeskyttelsesfunksjonaliteten kan utvides til:

Nettverksbeskyttelse er en viktig del av Microsofts beskyttelses- og responsstakk.

Tips

Hvis du vil ha mer informasjon om nettverksbeskyttelse for Windows Server, Linux, MacOS og Mobile Threat Defense (MTD), kan du se Proaktivt jakt etter trusler med avansert jakt.

Blokker kommando- og kontrollangrep

Kommando- og kontrollserverdatamaskiner (C2) brukes av ondsinnede brukere til å sende kommandoer til systemer som tidligere var kompromittert av skadelig programvare. C2-angrep skjules vanligvis i skybaserte tjenester som fildeling og nettposttjenester, slik at C2-serverne kan unngå gjenkjenning ved å blande seg inn i vanlig trafikk.

C2-servere kan brukes til å starte kommandoer som kan:

  • Stjele data
  • Kontrollere kompromitterte datamaskiner i et botnet
  • Forstyrre legitime programmer
  • Spre skadelig programvare, for eksempel løsepengevirus

Nettverksbeskyttelseskomponenten i Defender for Endpoint identifiserer og blokkerer tilkoblinger til C2-infrastrukturer som brukes i menneskedrevne ransomware-angrep, ved hjelp av teknikker som maskinlæring og intelligent indikator-of-compromise (IoC)-identifikasjon.

Nettverksbeskyttelse: C2-gjenkjenning og utbedring

I sin første form, ransomware er en vare trussel, forhåndsprogrammert og fokusert på begrensede, spesifikke resultater (for eksempel kryptere en datamaskin). Løsepengevirus har imidlertid utviklet seg til en sofistikert trussel som er menneskedrevet, adaptiv og fokusert på større skala og mer utbredte resultater, som å holde en hel organisasjons eiendeler eller data for løsepenger.

Støtte for kommando- og kontrollservere (C2) er en viktig del av denne utviklingen av løsepengevirus, og er det som gjør at disse angrepene kan tilpasse seg miljøet de retter seg mot. Hvis du bryter koblingen til kommando- og kontrollinfrastrukturen, stoppes fremdriften av et angrep til neste fase. Hvis du vil ha mer informasjon om gjenkjenning og utbedring av C2, kan du se Oppdage og utbedre kommando- og kontrollangrep på nettverkslaget.

Nettverksbeskyttelse: Nye varsler

Ny tilordning Svarkategori Kilder
Phishing Phishing Smartscreen
Skadelig Skadelig Smartscreen
kommando og kontroll C2 Smartscreen
kommando og kontroll COCO Smartscreen
Skadelig Klarerte Smartscreen
av IT-administratoren CustomBlockList
av IT-administratoren CustomPolicy

Obs!

customAllowList genererer ikke varsler på endepunkter.

Nye varsler for fastsettelse av nettverksbeskyttelse

En ny, offentlig tilgjengelig funksjon i nettverksbeskyttelse bruker funksjoner i SmartScreen til å blokkere phishing-aktiviteter fra ondsinnede kommando- og kontrollområder.

Når en sluttbruker prøver å besøke et nettsted i et miljø der nettverksbeskyttelse er aktivert, er tre scenarioer mulig:

  • Nettadressen har et kjent godt rykte – i dette tilfellet får brukeren tilgang uten hindring, og det vises ingen varsel på endepunktet. I praksis er domenet eller NETTADRESSEn satt til Tillatt.
  • Nettadressen har et ukjent eller usikkert omdømme - Brukerens tilgang er blokkert, men med muligheten til å omgå (oppheve blokkeringen) av blokken. I praksis er domenet eller url-adressen satt til Overvåking.
  • Nettadressen har et kjent dårlig (ondsinnet) rykte – brukeren er forhindret fra å få tilgang. I praksis er domenet eller url-adressen satt til Blokker.

Varselopplevelse

En bruker besøker et nettsted:

  • Hvis nettadressen har et ukjent eller usikkert omdømme, vil et varsel gi brukeren følgende alternativer:

    • OK – varselet slippes (fjernes), og forsøket på å få tilgang til området avsluttes.

    • Opphev blokkeringen – brukeren har tilgang til området i 24 timer. Da kan blokken sendes på nytt. Brukeren kan fortsette å bruke Opphev blokkeringen for å få tilgang til nettstedet inntil administratoren forbyr (blokkerer) nettstedet, og dermed fjerner du alternativet for å oppheve blokkeringen.

    • Tilbakemelding – varselet presenterer brukeren med en kobling for å sende inn en billett, som brukeren kan bruke til å sende inn tilbakemelding til administratoren i et forsøk på å rettferdiggjøre tilgang til nettstedet.

      Viser varsel om varsling om phishing-innhold for nettverksbeskyttelse.

    Obs!

    Bildene som vises her for varselopplevelse og blokkeringsopplevelse (nedenfor) lister begge opp «blokkert nettadresse» som eksempelplassholdertekst. i et fungerende miljø vil den faktiske nettadressen eller domenet bli oppført.

Blokker opplevelse

En bruker besøker et nettsted:

  • Hvis nettadressen har et dårlig rykte, vil et varsel presentere brukeren med følgende alternativer:

    • Ok Varselet slippes (fjernes), og forsøket på å få tilgang til området avsluttes.

    • Tilbakemelding Toast-varselet presenterer brukeren med en kobling for å sende inn en billett, som brukeren kan bruke til å sende inn tilbakemelding til administratoren i et forsøk på å rettferdiggjøre tilgang til nettstedet.

      Viser et varsel om at phishing-innhold er blokkert av nettverksbeskyttelse.

Opphev blokkeringen av SmartScreen

Med indikatorer i Defender for endepunkt kan administratorer tillate sluttbrukere å hoppe over advarsler som genereres for enkelte nettadresser og IP-er. Avhengig av hvorfor nettadressen ble blokkert, kan det hende at det kan tilby muligheten til å oppheve blokkeringen av nettstedet i opptil 24 timer når det oppstår en SmartScreen-blokk. I slike tilfeller vises et Windows Sikkerhet varsel, slik at sluttbrukeren kan oppheve blokkeringen av nettadressen eller IP-adressen for den definerte tidsperioden.

Windows Sikkerhet varsel om nettverksbeskyttelse.

Microsoft Defender for endepunkt administratorer kan konfigurere Funksjonalitet for smartscreen-opphev blokkeringen i Microsoft Defender-portalen ved hjelp av en «tillat»-indikator for IP-er, nettadresser og domener.

Nettverksbeskyttelse SmartScreen-blokkkonfigurasjon ULR og IP-skjema.

Se Opprett indikatorer for IPer og nettadresser/domener.

Bruk av nettverksbeskyttelse

Nettverksbeskyttelse er aktivert per enhet, som vanligvis gjøres ved hjelp av administrasjonsinfrastrukturen. Hvis du vil ha informasjon om støttede metoder, kan du se Slå på nettverksbeskyttelse.

Obs!

Microsoft Defender Antivirus må være aktiv for å aktivere nettverksbeskyttelse.

Du kan aktivere nettverksbeskyttelse i overvåkingsmodus eller blokkeringsmodus . Hvis du vil evaluere virkningen av å aktivere nettverksbeskyttelse før du faktisk blokkerer IP-adresser eller nettadresser, kan du aktivere nettverksbeskyttelse i overvåkingsmodus for tid til å samle inn data om hva som ville blitt blokkert. Overvåkingsmodus logger når sluttbrukere har koblet til en adresse eller et område som ellers ville blitt blokkert av nettverksbeskyttelse. Vær oppmerksom på at for at indikatorer for kompromiss (IoC) eller nettinnholdsfiltrering (WCF) skal fungere, må nettverksbeskyttelsen være i «blokkmodus»

Hvis du vil ha informasjon om nettverksbeskyttelse for Linux og macOS, kan du se: Nettverksbeskyttelse for Linux og nettverksbeskyttelse for macOS.

Avansert jakt

Hvis du bruker avansert jakt til å identifisere overvåkingshendelser, har du opptil 30 dagers logg tilgjengelig fra konsollen. Se avansert jakt.

Du finner overvåkingshendelsene i Avansert jakt i Defender for Endpoint-portalen (https://security.microsoft.com).

Overvåkingshendelser er i DeviceEvents med en ActionType av ExploitGuardNetworkProtectionAudited. Blokker vises med en Handlingstype av ExploitGuardNetworkProtectionBlocked.

Her er en eksempelspørring for å vise nettverksbeskyttelseshendelser for tredjeparts nettlesere:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Avansert jakt etter revisjon og identifisering av hendelser.

Tips

Disse oppføringene inneholder data i AdditionalFields-kolonnen som gir deg god informasjon om handlingen. Hvis du utvider AdditionalFields , kan du også hente feltene IsAudit, ResponseCategory og DisplayName.

Her er et annet eksempel:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Svarkategorien forteller deg hva som forårsaket hendelsen, for eksempel:

ResponseCategory Funksjon som er ansvarlig for arrangementet
CustomPolicy WCF
CustomBlockList Egendefinerte indikatorer
CasbPolicy Defender for skyapper
Skadelig Netttrusler
Phishing Netttrusler

Hvis du vil ha mer informasjon, kan du se Feilsøke endepunktblokker.

Vær oppmerksom på at Microsoft Defender SmartScreen-hendelser for Microsoft Edge-nettleseren spesifikt trenger en annen spørring:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Du kan bruke den resulterende listen over nettadresser og IP-er til å finne ut hva som ville ha blitt blokkert hvis enheten var i blokkmodus, og hvilken funksjon som blokkerte dem. Se gjennom hvert element i listen for å identifisere URL-adresser eller IP-er, uansett om det er nødvendig for miljøet ditt. Hvis du finner oppføringer som er overvåket, som er kritiske for miljøet ditt, kan du opprette en indikator for å tillate dem i nettverket. Tillat url-adresse / IP-indikatorer har forrang over en hvilken som helst blokk.

Når du har opprettet en indikator, kan du se på hvordan du løser det underliggende problemet:

  • SmartScreen – be om gjennomgang
  • Indikator – endre eksisterende indikator
  • MCA – se gjennom app som ikke er helliggjort
  • WCF – be om rekategorisering

Ved hjelp av disse dataene kan du ta en informert beslutning om å aktivere nettverksbeskyttelse i blokkmodus. Se Prioritetsrekkefølgen for nettverksbeskyttelsesblokker.

Obs!

Siden dette er en innstilling per enhet, kan du bare la dem være på revisjon hvis det finnes enheter som ikke kan flytte til blokkmodus, før du kan rette opp utfordringen, og du vil fortsatt motta overvåkingshendelsene.

Hvis du vil ha informasjon om hvordan du rapporterer falske positiver, kan du se Rapporter falske positiver.

Hvis du vil ha mer informasjon om hvordan du oppretter dine egne Power BI-rapporter, kan du se Opprett egendefinerte rapporter ved hjelp av Power BI.

Konfigurere nettverksbeskyttelse

Hvis du vil ha mer informasjon om hvordan du aktiverer nettverksbeskyttelse, kan du se Aktivere nettverksbeskyttelse. Bruk gruppepolicy, PowerShell eller MDM-CSPer til å aktivere og administrere nettverksbeskyttelse i nettverket.

Når du har aktivert nettverksbeskyttelse, må du kanskje konfigurere nettverket eller brannmuren til å tillate tilkoblinger mellom endepunktenhetene og nettjenestene:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Vise nettverksbeskyttelseshendelser

Nettverksbeskyttelse fungerer best med Microsoft Defender for endepunkt, som gir deg detaljert rapportering av beskyttelseshendelser og -blokker som en del av scenarioer for varslingsundersøkelser.

Når nettverksbeskyttelse blokkerer en tilkobling, vises et varsel fra handlingssenteret. Sikkerhetsoperasjonsteamet kan tilpasse varselet med organisasjonens detaljer og kontaktinformasjon. I tillegg kan individuelle regler for reduksjon av angrepsoverflater aktiveres og tilpasses for å passe til bestemte teknikker som skal overvåkes.

Du kan også bruke overvåkingsmodus til å evaluere hvordan nettverksbeskyttelse ville påvirke organisasjonen hvis den ble aktivert.

Se gjennom nettverksbeskyttelseshendelser i Microsoft Defender-portalen

Defender for Endpoint gir detaljert rapportering av hendelser og blokker som en del av scenarioene for varslingsundersøkelser. Du kan vise disse detaljene i Microsoft Defender-portalen (https://security.microsoft.com) i varslerkøen eller ved hjelp av avansert jakt. Hvis du bruker overvåkingsmodus, kan du bruke avansert jakt for å se hvordan innstillingene for nettverksbeskyttelse ville påvirke miljøet ditt hvis de ble aktivert.

Se gjennom nettverksbeskyttelseshendelser i Windows Hendelsesliste

Du kan se gjennom hendelsesloggen i Windows for å se hendelser som opprettes når nettverksbeskyttelsesblokker (eller revisjoner) får tilgang til en skadelig IP-adresse eller et domene:

  1. Kopier XML-filen direkte.

  2. Velg OK.

Denne prosedyren oppretter en egendefinert visning som filtrerer for å bare vise følgende hendelser relatert til nettverksbeskyttelse:

Hendelses-ID Beskrivelse
5007 Hendelse når innstillingene endres
1125 Hendelse når nettverksbeskyttelse utløses i overvåkingsmodus
1126 Hendelse når nettverksbeskyttelse utløses i blokkmodus

Nettverksbeskyttelse og TCP-treveis håndtrykk

Med nettverksbeskyttelse bestemmes det om tilgang til et område skal tillates eller blokkeres etter fullføring av treveis håndtrykk via TCP/IP. Når et nettsted blokkeres av nettverksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under DeviceNetworkEvents i Microsoft Defender-portalen, selv om området ble blokkert. DeviceNetworkEvents rapporteres fra TCP-laget, og ikke fra nettverksbeskyttelse. Når det treveis håndtrykket er fullført, tillates eller blokkeres tilgang til nettstedet av nettverksbeskyttelse.

Her er et eksempel på hvordan dette fungerer:

  1. La oss si at en bruker prøver å få tilgang til et nettsted på enheten sin. Nettstedet driftes tilfeldigvis på et farlig domene, og det bør blokkeres av nettverksbeskyttelse.

  2. Det treveis håndtrykket via TCP/IP starter. Før den fullføres, logges en DeviceNetworkEvents handling, og ActionType den er oppført som ConnectionSuccess. Men så snart treveis håndtrykkprosessen er fullført, blokkerer nettverksbeskyttelsen tilgangen til nettstedet. Alt dette skjer raskt. En lignende prosess oppstår med Microsoft Defender SmartScreen. Det er når det treveis håndtrykket fullfører at en bestemmelse er gjort, og tilgang til et nettsted er enten blokkert eller tillatt.

  3. I Microsoft Defender-portalen vises et varsel i varslingskøen. Detaljer om dette varselet omfatter både DeviceNetworkEvents og AlertEvidence. Du kan se at området ble blokkert, selv om du også har et DeviceNetworkEvents element med Handlingstype for ConnectionSuccess.

Viktige faktorer for windows virtuelt skrivebord som kjører Windows 10 Enterprise flerøkt

På grunn av multibrukerkarakteren til Windows 10 Enterprise, må du huske på følgende punkter:

  1. Nettverksbeskyttelse er en funksjon for hele enheten og kan ikke rettes mot bestemte brukerøkter.

  2. Policyer for filtrering av nettinnhold er også enhetsomfattende.

  3. Hvis du trenger å skille mellom brukergrupper, bør du vurdere å opprette separate vertsutvalg og oppgaver for Windows Virtual Desktop.

  4. Test nettverksbeskyttelse i overvåkingsmodus for å vurdere virkemåten før den rulles ut.

  5. Vurder å endre størrelsen på distribusjonen hvis du har et stort antall brukere eller et stort antall økter med flere brukere.

Alternativ for nettverksbeskyttelse

For Windows Server 2012R2/2016 enhetlig MDE klient, Windows Server versjon 1803 eller nyere, Windows Server 2019 eller nyere, og Windows 10 Enterprise Multi-Session 1909 og nyere, som brukes i Windows Virtual Desktop på Azure, kan nettverksbeskyttelse for Microsoft Edge aktiveres ved hjelp av følgende metode:

  1. Bruk Aktiver nettverksbeskyttelse , og følg instruksjonene for å bruke policyen.

  2. Utfør følgende PowerShell-kommandoer:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Obs!

I noen tilfeller, avhengig av infrastruktur, trafikkvolum og andre forhold, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 kan det ha innvirkning på nettverksytelsen.

Nettverksbeskyttelse for Windows Servers

Følgende er informasjon som er spesifikk for Windows-servere.

Kontroller at nettverksbeskyttelse er aktivert

Kontroller om nettverksbeskyttelse er aktivert på en lokal enhet ved hjelp av Registry Redaktør.

  1. Velg Start-knappen på oppgavelinjen, og skriv regedit for å åpne registeret Redaktør.

  2. Velg HKEY_LOCAL_MACHINE fra sidemenyen.

  3. Naviger gjennom de nestede menyene tilPROGRAMVAREpolicyer>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Hvis nøkkelen ikke finnes, går du til PROGRAMVARE>Microsoft>> Windows Defender Windows Defender Exploit Guard>Network Protection)

  4. Velg EnableNetworkProtection for å se gjeldende tilstand for nettverksbeskyttelse på enheten:

    • 0 = Av
    • 1 = På (aktivert)
    • 2 = overvåkingsmodus

Hvis du vil ha mer informasjon, kan du se: Aktivere nettverksbeskyttelse

Forslag til nettverksbeskyttelse

For Windows Server 2012R2/2016 enhetlig MDE klient, Windows Server versjon 1803 eller nyere, Windows Server 2019 eller nyere, og Windows 10 Enterprise Multi-Session 1909 og nyere (brukes i Windows Virtual Desktop på Azure), finnes det flere registernøkler som må være aktivert:

HKEY_LOCAL_MACHINE\PROGRAMVARE\Microsoft\\ Windows Defender Windows Defender Exploit Guard\Network Protection

  • AllowNetworkProtectionOnWinServer (dword) 1 (heksadesimal)
  • EnableNetworkProtection (dword) 1 (hex)
  • AllowNetworkProtectionDownLevel (dword) 1 (hex) – bare Windows Server 2012R2 og Windows Server 2016

Obs!

Avhengig av infrastruktur, trafikkvolum og andre forhold, kan HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender \NIS\Consumers\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) ha innvirkning på nettverksytelsen.

Hvis du vil ha mer informasjon, kan du se: Aktivere nettverksbeskyttelse

Konfigurasjon av Windows Servers og Windows Multi-session krever PowerShell

For Windows Servers og Windows Multi-session finnes det flere elementer du må aktivere ved hjelp av PowerShell-cmdleter. For Windows Server 2012R2/2016 samlet MDE klient, Windows Server versjon 1803 eller nyere, Windows Server 2019 eller nyere, og Windows 10 Enterprise Multi-Session 1909 og nyere, brukt i Windows Virtual Desktop på Azure.

  1. Set-MpPreference -EnableNetworkProtection aktivert
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference –AllowDatagramProcessingOnWinServer 1

Obs!

I noen tilfeller kan Set-MpPreference -AllowDatagramProcessingOnWinServer 1 ha en effekt på nettverksytelsen, avhengig av infrastruktur, trafikkvolum og andre forhold.

Feilsøking av nettverksbeskyttelse

På grunn av miljøet der nettverksbeskyttelsen kjører, kan det hende at funksjonen ikke kan oppdage proxy-innstillinger for operativsystemet. I noen tilfeller kan ikke klienter for nettverksbeskyttelse nå skytjenesten. Hvis du vil løse tilkoblingsproblemet, konfigurerer du en statisk proxy for Microsoft Defender Antivirus.

Optimalisering av nettverksbeskyttelsesytelse

Nettverksbeskyttelse har nå en ytelsesoptimalisering som gjør at blokkmodus kan starte asynkront å undersøke langvarige tilkoblinger, noe som kan gi en ytelsesforbedring og kan også hjelpe med appkompatibilitetsproblemer. Denne optimaliseringsfunksjonen er aktivert som standard. Du kan deaktivere denne funksjonen ved hjelp av følgende PowerShell-cmdlet:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.