Skydda ditt nätverk
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Översikt över nätverksskydd
Nätverksskydd skyddar enheter från Internetbaserade händelser. Nätverksskydd är en funktion för att minska attackytan. Det förhindrar anställda från att komma åt skadliga domäner via program. Domäner som är värdar för nätfiskebedrägerier, sårbarheter och annat skadligt innehåll på Internet anses vara farligt. Nätverksskydd utökar omfattningen av Microsoft Defender SmartScreen för att blockera all utgående HTTP-trafik som försöker ansluta till berykande källor (baserat på domän eller värdnamn).
Nätverksskydd utökar skyddet i webbskyddet till operativsystemets nivå. Den ger webbskyddsfunktioner i Microsoft Edge till andra webbläsare och program som inte är webbläsarbaserade. Dessutom tillhandahåller nätverksskydd synlighet och blockering av indikatorer på intrång (IOCs) när de används med identifiering och svar av slutpunkter. Till exempel fungerar nätverksskydd med anpassade indikatorer som du kan använda för att blockera specifika domäner eller värdnamn.
Tips
Se testfältwebbplatsen Microsoft Defender för slutpunkt på demo.wd.microsoft.com om du vill se hur nätverksskyddet fungerar.
Krav för nätverksskydd
Nätverksskydd kräver Windows 10 Pro företag och Microsoft Defender Antivirus realtidsskydd.
| Windows version | Microsoft Defender Antivirus |
|---|---|
| Windows 10 version 1709 eller senare Windows 11 Windows Server 1803 eller senare |
Microsoft Defender Antivirus realtidsskydd och moln levererat skydd måste vara aktiverat |
När du har aktiverat tjänsterna kan du behöva konfigurera nätverket eller brandväggen så att anslutningarna mellan tjänsterna och dina enheter tillåts (kallas även slutpunkter).
.smartscreen.microsoft.com.smartscreen-prod.microsoft.com
Konfigurera nätverksskydd
Mer information om hur du aktiverar nätverksskydd finns i Aktivera nätverksskydd. Använd grupprinciper, PowerShell och MDM-CSP:er för att aktivera och hantera nätverksskydd i nätverket.
Visa nätverksskyddshändelser
Nätverksskyddet fungerar bäst med Microsoft Defender för Endpoint, vilket ger dig detaljerad rapportering om sårbarhetsskyddshändelser och -block som en del av scenarier för aviseringsundersökning.
När nätverksskydd blockerar en anslutning visas ett meddelande från Åtgärdscenter. Ditt säkerhetsteam kan anpassa meddelandet med organisationens information och kontaktinformation. Dessutom kan regler för att minska attackytan aktiveras och anpassas så att de passar vissa tekniker att övervaka.
Du kan också använda granskningsläge för att utvärdera hur nätverksskydd skulle påverka organisationen om det var aktiverat.
Granska nätverksskyddshändelser i Microsoft 365 Defender portalen
Microsoft Defender för Endpoint tillhandahåller detaljerad rapportering om händelser och block som en del av dess scenarier för aviseringsundersökning. Du kan visa den här informationen i Microsoft 365 Defender (https://security.microsoft.com) i varningskön eller med avancerad sökning. Om du använder granskningsläge kan du använda avancerad sökning för att se hur inställningarna för nätverksskydd skulle påverka din miljö om de var aktiverade.
Här är en exempelfråga för avancerad sökning:
DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')
Granska nätverksskyddshändelser i Windows Loggboken
Du kan granska Windows händelseloggen för att se händelser som skapas när nätverksskydd blockerar (eller granskar) åtkomst till en skadlig IP eller domän:
Välj OK.
Den här proceduren skapar en anpassad vy som filtrerar för att bara visa följande händelser relaterade till nätverksskydd:
| Händelse-ID | Beskrivning |
|---|---|
| 5007 | Händelse när inställningar ändras |
| 1125 | Händelse när nätverksskydd aktiveras i granskningsläge |
| 1126 | Händelse när nätverksskyddet utbrandar i blockläge |
Nätverksskydd och TCP-trevägshandskakning
Med nätverksskydd görs avgörandet av om åtkomst till en webbplats ska tillåtas eller blockeras när trevägshandskakningen är slutförd via TCP/IP. När en webbplats blockeras av ConnectionSuccess nätverksskydd kan det därför hända att du ser åtgärdstypen under NetworkConnectionEvents i Microsoft 365 Defender-portalen även om webbplatsen faktiskt blockerades. NetworkConnectionEvents rapporteras från TCP-lagret och inte från nätverksskyddet. När trevägshandskakningen är klar tillåts eller blockeras åtkomsten till webbplatsen av nätverksskydd.
Här är ett exempel på hur det fungerar:
Anta att en användare försöker komma åt en webbplats på sin enhet. Webbplatsen råkar vara värd för en farligt domän, och den bör blockeras av nätverksskydd.
Trevägshandskakningen via TCP/IP påbörjar. Innan den har slutförts loggas
NetworkConnectionEventsen åtgärd och den listasActionTypesomConnectionSuccess. Men så snart trevägshandskakningsprocessen är klar blockerar nätverket åtkomsten till webbplatsen. Allt detta sker mycket snabbt. En liknande process inträffar med Microsoft Defender SmartScreen; det är när trevägshandskakningen slutförs som ett avgörande görs och åtkomsten till en webbplats blockeras eller tillåts.I Microsoft 365 Defender-portalen visas en avisering i aviseringskön. Information om varningen omfattar både
NetworkConnectionEventsochAlertEvents. Du kan se att webbplatsen blockerades, även om du också har ettNetworkConnectionEventsobjekt med ActionType avConnectionSuccess.
Att tänka på Windows av virtuellt skrivbord Windows 10 Enterprise flersession
Tänk på Windows 10 Enterprise användarnivå:
Nätverksskydd är en funktion för hela enheten och kan inte riktas till specifika användarsessioner.
Principer för filtrering av webbinnehåll är också enhetsomfattande.
Om du behöver skilja mellan användargrupper kan du skapa separata pooler och tilldelningar Windows virtuellt skrivbord.
Testa nätverksskydd i granskningsläge för att bedöma dess beteende innan det lanseras.
Överväg att ändra distributionen om du har ett stort antal användare eller ett stort antal sessioner för flera användare.
Alternativt alternativ för nätverksskydd
För Windows 10 Enterprise Multi-Session 1909 och uppåt, som används i Windows Virtual Desktop i Azure, kan nätverksskydd för Microsoft Edge aktiveras med följande metod:
Använd Aktivera nätverksskydd och följ instruktionerna för att tillämpa principen.
Utför följande PowerShell-kommando:
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Felsökning av nätverksskydd
På grund av miljön där nätverksskyddet körs kanske Microsoft inte kan identifiera proxyinställningar för operativsystemet. I vissa fall kan inte nätverksskyddsklienter nå molntjänsten. För att lösa anslutningsproblem bör kunder med E5-licenser konfigurera någon av följande registernycklar:
reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyServer /d "<proxy IP address: Port>" /f
reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyPacUrl /d "<Proxy PAC url>" /f
Se även
- Utvärdera | Utför ett snabbt scenario som visar hur funktionen fungerar och vilka händelser som normalt skulle skapas.
- Aktivera | Använd grupprinciper, PowerShell och MDM-CSP:er för att aktivera och hantera nätverksskydd i nätverket.
- Konfigurera funktioner för att minska attackytan i Microsoft Intune