Защита сети

  • Статья

Область применения:

Платформы

  • Windows
  • macOS
  • Linux

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрируйтесь для получения бесплатной пробной версии.

Общие сведения о защите сети

Защита сети помогает защитить устройства от интернет-событий. Защита сети — это возможность сокращения направлений атак. Это помогает предотвратить доступ сотрудников к опасным доменам через приложения. Домены, в которых размещаются фишинговые аферы, эксплойты и другое вредоносное содержимое в Интернете, считаются опасными. Защита сети расширяет область Microsoft Defender SmartScreen, чтобы заблокировать весь исходящий трафик HTTP(S), который пытается подключиться к источникам с низкой репутацией (на основе домена или имени узла).

Защита сети расширяет защиту в веб-защите до уровня операционной системы и является основным компонентом для фильтрации веб-содержимого (WCF). Он предоставляет функции веб-защиты, доступные в Microsoft Edge, для других поддерживаемых браузеров и приложений, не являющихся браузерами. Защита сети также обеспечивает видимость и блокировку индикаторов компрометации (IOC) при использовании с обнаружением и реагированием конечных точек. Например, защита сети работает с пользовательскими индикаторами , которые можно использовать для блокировки определенных доменов или имен узлов.

Покрытие защиты сети

В следующей таблице перечислены области покрытия защиты сети.

Функция Microsoft Edge Сторонние браузеры Процессы, не относящиеся к браузеру
(например, PowerShell)
Защита от веб-угроз Должен быть включен SmartScreen Защита сети должна находиться в режиме блокировки Защита сети должна находиться в режиме блокировки
Пользовательские индикаторы Должен быть включен SmartScreen Защита сети должна находиться в режиме блокировки Защита сети должна находиться в режиме блокировки
Фильтрация веб-содержимого Должен быть включен SmartScreen Защита сети должна находиться в режиме блокировки Не поддерживается

Примечание.

На Компьютерах Mac и Linux необходима защита сети в режиме блокировки, чтобы получить поддержку этих функций в Edge. В Windows защита сети не отслеживает Microsoft Edge. Для процессов, отличных от Microsoft Edge и Интернет-Обозреватель, сценарии веб-защиты используют защиту сети для проверки и принудительного применения.

  • IP-адрес поддерживается для всех трех протоколов (TCP, HTTP и HTTPS (TLS)).
  • В пользовательских индикаторах поддерживаются только отдельные IP-адреса (без блоков CIDR или диапазонов IP-адресов).
  • Зашифрованные URL-адреса (полный путь) можно заблокировать только в сторонних браузерах (Интернет-Обозреватель, Edge).
  • Зашифрованные URL-адреса (только полное доменное имя) можно заблокировать в сторонних браузерах (например, за исключением интернет-Обозреватель, Edge).
  • Для незашифрованных URL-адресов можно применить полные блоки URL-адресов.

Задержка может быть до 2 часов (обычно меньше) между временем выполнения действия и блокировкой URL-адреса и IP-адреса.

Просмотрите это видео, чтобы узнать, как защита сети помогает снизить риск атак на ваших устройствах от фишинга, эксплойтов и другого вредоносного содержимого.

Требования к защите сети

Для защиты сети требуется Windows 10 или 11 (Pro или Enterprise), Windows Server версии 1803 или более поздней, macOS версии 11 или более поздней, а также поддерживаемые в Defender версии Linux, а также Microsoft Defender антивирусная защита в режиме реального времени.

Версия Windows Антивирусная программа в Microsoft Defender
Windows 10 версии 1709 или более поздней, Windows 11, Windows Server 1803 или более поздней Убедитесь, что Microsoft Defender антивирусная защита в режиме реального времени, мониторинг поведения и облачная защита включены (активно).
Windows Server 2012 R2 и Windows Server 2016 с единым агентом Обновление платформы версии 4.18.2001.x.x или более поздней

Почему важна защита сети

Защита сети входит в группу решений по сокращению направлений атак в Microsoft Defender для конечной точки. Защита сети позволяет сетевому уровню блокировать URL-адреса и IP-адреса. Защита сети может блокировать доступ к URL-адресам с помощью определенных браузеров и стандартных сетевых подключений. По умолчанию защита сети защищает компьютеры от известных вредоносных URL-адресов с помощью веб-канала SmartScreen, который блокирует вредоносные URL-адреса таким образом, как SmartScreen в браузере Microsoft Edge. Функциональность защиты сети может быть расширена до следующих возможностей:

Защита сети является важной частью стека защиты и ответов Майкрософт.

Совет

Дополнительные сведения о защите сети для Windows Server, Linux, MacOS и Mobile Threat Defense (MTD) см. в статье Упреждающая охота на угрозы с помощью расширенной охоты.

Блокировать атаки команд и управления

Серверные компьютеры команд и управления (C2) используются злоумышленниками для отправки команд в системы, ранее скомпрометированные вредоносными программами. Атаки C2 обычно скрываются в облачных службах, таких как службы общего доступа к файлам и веб-почты, что позволяет серверам C2 избежать обнаружения путем смешивания с обычным трафиком.

Серверы C2 можно использовать для запуска команд, которые могут:

  • Кража данных
  • Управление скомпрометированных компьютеров в ботнете
  • Нарушение работы допустимых приложений
  • Распространение вредоносных программ, например программ-шантажистов

Компонент защиты сети Defender для конечной точки идентифицирует и блокирует подключения к инфраструктурам C2, используемым при атаках с помощью программ-шантажистов, используя такие методы, как машинное обучение и интеллектуальная идентификация индикатора компрометации (IoC).

Защита сети: обнаружение и исправление C2

В своей первоначальной форме программа-шантажист — это товарная угроза, предварительно запрограммированная и ориентированная на ограниченные конкретные результаты (например, шифрование компьютера). Тем не менее, программы-шантажисты превратились в сложную угрозу, которая зависит от человека, адаптивна и ориентирована на более масштабные и более распространенные результаты, такие как хранение активов или данных всей организации для выкупа.

Поддержка серверов команд и управления (C2) является ключевой частью этой эволюции программ-шантажистов и позволяет этим атакам адаптироваться к среде, на которой они нацелены. Разрыв связи с инфраструктурой команд и управления останавливает переход атаки к следующему этапу. Дополнительные сведения об обнаружении и исправлении C2 см. в статье Обнаружение и устранение атак команд и управления на сетевом уровне.

Защита сети: новые всплывающие уведомления

Новое сопоставление Категория ответа Sources
фишинг Фишинг Smartscreen
Вредоносных Вредоносный Smartscreen
команда и управление C2 Smartscreen
команда и управление COCO Smartscreen
Вредоносных Ненадежных Smartscreen
ит-администратором CustomBlockList
ит-администратором CustomPolicy

Примечание.

customAllowList не создает уведомления на конечных точках.

Новые уведомления для определения защиты сети

Новая общедоступная возможность защиты сети использует функции SmartScreen для блокировки фишинговых действий с вредоносных сайтов команд и управления.

Когда пользователь пытается посетить веб-сайт в среде, в которой включена защита сети, возможны три сценария:

  • URL-адрес имеет известную репутацию . В этом случае пользователю разрешен доступ без препятствий, и на конечной точке не отображается всплывающее уведомление. Фактически для домена или URL-адреса задано значение Разрешено.
  • URL-адрес имеет неизвестную или неопределенную репутацию . Доступ пользователя блокируется, но с возможностью обхода (разблокировки) блокировки. Фактически домен или URL-адрес имеет значение Аудит.
  • URL-адрес имеет заведомую плохую (вредоносную) репутацию . Доступ к пользователю запрещен. Фактически для домена или URL-адреса задано значение Блокировать.

Взаимодействие с предупреждением

Пользователь посещает веб-сайт:

  • Если URL-адрес имеет неизвестную или неопределенную репутацию, всплывающее уведомление предоставит пользователю следующие параметры:

    • Ок . Всплывающее уведомление освобождается (удаляется), а попытка доступа к сайту завершается.

    • Разблокировать — пользователь будет иметь доступ к сайту в течение 24 часов; после чего блок будет повторно включено. Пользователь может продолжать использовать разблокировку для доступа к сайту до тех пор, пока администратор не запретит (заблокирует) сайт, тем самым удаляя параметр Разблокировать.

    • Обратная связь . Всплывающее уведомление предоставляет пользователю ссылку для отправки билета, который пользователь может использовать для отправки отзывов администратору в попытке оправдать доступ к сайту.

      Отображает уведомление о предупреждении о фишинговом содержимом для защиты сети.

    Примечание.

    Изображения, показанные здесь для предупреждения и блокировки (ниже), перечисляют "заблокированный URL-адрес" в качестве примера текста-заполнителя; в работающей среде будет указан фактический URL-адрес или домен.

Блокировка интерфейса

Пользователь посещает веб-сайт:

  • Если URL-адрес имеет плохую репутацию, всплывающее уведомление предоставит пользователю следующие параметры:

    • Хорошо Всплывающее уведомление освобождается (удаляется), а попытка доступа к сайту завершается.

    • Обратной связи Всплывающее уведомление предоставляет пользователю ссылку для отправки билета, который пользователь может использовать для отправки отзывов администратору в попытке оправдать доступ к сайту.

      Отображает уведомление о блокировке фишингового содержимого для защиты сети.

Разблокировка SmartScreen

С помощью индикаторов в Defender для конечной точки администраторы могут разрешить конечным пользователям обходить предупреждения, созданные для некоторых URL-адресов и IP-адресов. В зависимости от того, почему URL-адрес был заблокирован, при обнаружении блокировки SmartScreen он может предложить возможность разблокировать сайт в течение 24 часов. В таких случаях появится всплывающее уведомление Безопасность Windows, позволяющее конечному пользователю разблокировать URL-адрес или IP-адрес в течение определенного периода времени.

Безопасность Windows уведомление о защите сети.

Microsoft Defender для конечной точки администраторы могут настроить функцию разблокировки SmartScreen на портале Microsoft Defender с помощью индикатора "разрешить" для IP-адресов, URL-адресов и доменов.

Защита сети SmartScreen: конфигурация ULR и IP-форма конфигурации блока SmartScreen.

См . статью Создание индикаторов для IP-адресов и URL-адресов и доменов.

Использование защиты сети

Защита сети включена для каждого устройства, что обычно выполняется с помощью инфраструктуры управления. Поддерживаемые методы см . в разделе Включение защиты сети.

Примечание.

Microsoft Defender антивирусная программа должна быть активной, чтобы включить защиту сети.

Вы можете включить защиту сети в режиме аудита или в режиме блокировки . Если вы хотите оценить влияние включения защиты сети перед фактической блокировкой IP-адресов или URL-адресов, вы можете включить защиту сети в режиме аудита, чтобы собрать данные о том, что будет заблокировано. Режим аудита регистрирует журналы, когда конечные пользователи подключились к адресу или сайту, которые в противном случае были бы заблокированы защитой сети. Обратите внимание, что для работы индикаторов компрометации (IoC) или фильтрации веб-содержимого (WCF) защита сети должна находиться в режиме блокировки.

Сведения о защите сети для Linux и macOS см. в статье Защита сети для Linux и Защита сети для macOS.

Расширенная охота

Если вы используете расширенную охоту для выявления событий аудита, вы будете иметь историю до 30 дней, доступную на консоли. См . раздел Расширенная охота.

События аудита можно найти в разделе Расширенный поиск на портале Defender для конечной точки (https://security.microsoft.com).

События аудита находятся в DeviceEvents с actionType .ExploitGuardNetworkProtectionAudited Блоки отображаются с типом ActionType .ExploitGuardNetworkProtectionBlocked

Ниже приведен пример запроса для просмотра событий защиты сети для сторонних браузеров:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Расширенная охота на аудит и выявление событий.

Совет

Эти записи содержат данные в столбце AdditionalFields , который предоставляет вам отличную информацию о действии. Если развернуть Дополнительные Поля , вы также сможете получить поля : IsAudit, ResponseCategory и DisplayName.

Вот еще один пример:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Категория Ответ указывает, что вызвало событие, например:

ResponseCategory Компонент, отвечающий за событие
CustomPolicy WCF
CustomBlockList Пользовательские индикаторы
CasbPolicy Defender for Cloud Apps
Вредоносный Веб-угрозы
Фишинг Веб-угрозы

Дополнительные сведения см. в статье Устранение неполадок с блоками конечных точек.

Обратите внимание, что Microsoft Defender события SmartScreen для браузера Microsoft Edge, требуется другой запрос:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Вы можете использовать результирующий список URL-адресов и IP-адресов, чтобы определить, что было бы заблокировано, если бы устройство находилось в режиме блокировки, и какая функция заблокировала их. Проверьте каждый элемент в списке, чтобы определить URL-адреса или IP-адреса, необходимые для вашей среды. Если вы нашли записи, которые были проверены, которые являются критически важными для вашей среды, создайте индикатор, чтобы разрешить их в сети. Индикаторы разрешенных URL-адресов и IP-адресов имеют приоритет над любым блоком.

После создания индикатора можно посмотреть на решение базовой проблемы:

  • SmartScreen — проверка запросов
  • Индикатор — изменение существующего индикатора
  • MCA — проверка несанкционированного приложения
  • WCF — перекатегоризация запроса

Используя эти данные, вы можете принять обоснованное решение о включении защиты сети в режиме блокировки. См. раздел Порядок приоритета для блоков защиты сети.

Примечание.

Так как это параметр для каждого устройства, если есть устройства, которые не могут перейти в режим блокировки, вы можете просто оставить их на аудите, пока вы не сможете устранить проблему, и вы по-прежнему будете получать события аудита.

Сведения о том, как сообщать о ложных срабатываниях, см. в разделе Отчет о ложноположительных срабатываниях.

Дополнительные сведения о создании собственных отчетов Power BI см. в статье Создание пользовательских отчетов с помощью Power BI.

Настройка защиты сети

Дополнительные сведения о включении защиты сети см. в разделе Включение защиты сети. Используйте групповая политика, PowerShell или поставщики СЛУЖБ MDM для включения защиты сети и управления ими.

После включения защиты сети может потребоваться настроить сеть или брандмауэр, чтобы разрешить подключения между устройствами конечных точек и веб-службами:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Просмотр событий защиты сети

Защита сети лучше всего работает с Microsoft Defender для конечной точки, которая предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках сценариев исследования оповещений.

Когда защита сети блокирует подключение, из центра уведомлений отображается уведомление. Ваша команда по обеспечению безопасности может настроить уведомление с помощью сведений о вашей организации и контактных данных. Кроме того, можно включить и настроить отдельные правила сокращения направлений атак в соответствии с определенными методами мониторинга.

Вы также можете использовать режим аудита , чтобы оценить, как защита сети повлияет на вашу организацию, если она была включена.

Просмотр событий защиты сети на портале Microsoft Defender

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений. Эти сведения можно просмотреть на портале Microsoft Defender (https://security.microsoft.com) в очереди оповещений или с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту, чтобы узнать, как параметры защиты сети повлияют на вашу среду, если они были включены.

Просмотр событий защиты сети в Windows Просмотр событий

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, которые создаются, когда защита сети блокирует (или выполняет аудит) доступ к вредоносному IP-адресу или домену:

  1. Скопируйте XML-код напрямую.

  2. Нажмите ОК.

Эта процедура создает пользовательское представление, которое фильтрует только следующие события, связанные с защитой сети:

Идентификатор события Описание
5007 Событие при изменении параметров
1125 Событие при срабатывании защиты сети в режиме аудита
1126 Событие при срабатывании сетевой защиты в режиме блокировки

Защита сети и трехстороннее подтверждение TCP

В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, если сайт заблокирован защитой сети, на портале Microsoft Defender может отображаться тип ConnectionSuccessDeviceNetworkEvents действия в разделе, даже если сайт был заблокирован. DeviceNetworkEvents отображаются на уровне TCP, а не из защиты сети. После завершения трехстороннего подтверждения доступ к сайту будет разрешен или заблокирован защитой сети.

Ниже приведен пример того, как это работает.

  1. Предположим, что пользователь пытается получить доступ к веб-сайту на своем устройстве. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.

  2. Начинается трехстороннее подтверждение через TCP/IP. Перед его завершением DeviceNetworkEvents действие регистрируется и отображается ActionType как ConnectionSuccess. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро. Аналогичный процесс происходит с Microsoft Defender SmartScreen. Это происходит, когда трехстороннее подтверждение завершается, что делается определение, а доступ к сайту либо заблокирован, либо разрешен.

  3. На портале Microsoft Defender в очереди оповещений отображается оповещение. Сведения об этом оповещении включают и DeviceNetworkEventsAlertEvidence. Вы видите, что сайт был заблокирован, даже если у вас также есть DeviceNetworkEvents элемент с ActionType .ConnectionSuccess

Рекомендации по работе с виртуальным рабочим столом Windows, работающим Windows 10 Корпоративная несколькими сеансами

Учитывая многопользовательскую природу Windows 10 Корпоративная, учитывайте следующие моменты:

  1. Защита сети — это функция на уровне всего устройства, которая не может быть ориентирована на определенные сеансы пользователя.

  2. Политики фильтрации веб-содержимого также применяются для всего устройства.

  3. Если необходимо различать группы пользователей, рассмотрите возможность создания отдельных пулов узлов и назначений Виртуального рабочего стола Windows.

  4. Протестируйте защиту сети в режиме аудита, чтобы оценить ее поведение перед развертыванием.

  5. Рассмотрите возможность изменения размера развертывания, если у вас есть большое количество пользователей или большое количество многопользовательских сеансов.

Альтернативный вариант защиты сети

Для единого клиента MDE Windows Server 2012R2/2016, Windows Server версии 1803 или более поздней, Windows Server 2019 или более поздних версий, а также Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий, используемых в Виртуальном рабочем столе Windows в Azure, защиту сети для Microsoft Edge можно включить следующим способом:

  1. Включите защиту сети и следуйте инструкциям, чтобы применить политику.

  2. Выполните следующие команды PowerShell:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Примечание.

В некоторых случаях, в зависимости от инфраструктуры, объема трафика и других условий, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 может влиять на производительность сети.

Защита сети для серверов Windows

Ниже приведены сведения, относящиеся к Серверам Windows.

Убедитесь, что защита сети включена

Проверьте, включена ли защита сети на локальном устройстве с помощью Редактор реестра.

  1. Нажмите кнопку Пуск на панели задач и введите regedit, чтобы открыть Редактор реестра.

  2. Выберите HKEY_LOCAL_MACHINE в боковом меню.

  3. Перейдите через вложенные меню в разделПолитики>ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ>Microsoft>Windows Defender>Защитник Windows Защита сети Exploit Guard>.

    (Если ключ отсутствует, перейдите в раздел ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ>.Microsoft>> защитасети Защитник Windows Защитник Windows Exploit Guard>)

  4. Выберите EnableNetworkProtection , чтобы просмотреть текущее состояние защиты сети на устройстве:

    • 0 = выкл.
    • 1 = включено (включено)
    • 2 = режим аудита

Дополнительные сведения см. в статье Включение защиты сети.

Предложение по защите сети

Для единого клиента MDE Windows Server 2012R2/2016, Windows Server версии 1803 или более поздней, Windows Server 2019 или более поздней версии и Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий (используется в Виртуальном рабочем столе Windows в Azure), необходимо включить дополнительные разделы реестра:

HKEY_LOCAL_MACHINE\ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ\Microsoft\\ защитасети Защитник Windows Защитник Windows Exploit Guard\

  • AllowNetworkProtectionOnWinServer (dword) 1 (шестнадцатеричный)
  • EnableNetworkProtection (dword) 1 (шестнадцатеричный)
  • AllowNetworkProtectionDownLevel (dword) 1 (шестнадцатеричный) — Только Windows Server 2012R2 и Windows Server 2016

Примечание.

В зависимости от инфраструктуры, объема трафика и других условий HKEY_LOCAL_MACHINE\политики\ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ\Microsoft\Защитник Windows \NIS-потребители\\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (шестнадцатеричный) могут влиять на производительность сети.

Дополнительные сведения см. в статье Включение защиты сети.

Для windows Server и конфигурации windows multi-session требуется PowerShell

Для Windows Server и Windows Multi-session существуют дополнительные элементы, которые необходимо включить с помощью командлетов PowerShell. Для единого MDE клиента Windows Server 2012R2/2016, Windows Server версии 1803 или более поздней, Windows Server 2019 или более поздней версии, а также Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий, используемых в Виртуальном рабочем столе Windows в Azure.

  1. Set-MpPreference —EnableNetworkProtection enabled
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Примечание.

В некоторых случаях, в зависимости от инфраструктуры, объема трафика и других условий , Set-MpPreference -AllowDatagramProcessingOnWinServer 1 может влиять на производительность сети.

Устранение неполадок с защитой сети

Из-за среды, в которой выполняется защита сети, компонент может не обнаружить параметры прокси-сервера операционной системы. В некоторых случаях клиентам защиты сети не удается связаться с облачной службой. Чтобы устранить проблему с подключением, настройте статический прокси-сервер для Microsoft Defender антивирусной программы.

Оптимизация производительности защиты сети

Защита сети теперь имеет оптимизацию производительности, которая позволяет блокировать режим асинхронно проверять долгоживущие подключения, что может повысить производительность, а также помочь с проблемами совместимости приложений. Эта возможность оптимизации включена по умолчанию. Эту возможность можно отключить с помощью следующего командлета PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $false

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.