Skydda ditt nätverk

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Översikt över nätverksskydd

Nätverksskydd skyddar enheter från Internetbaserade händelser. Nätverksskydd är en funktion för att minska attackytan. Det förhindrar anställda från att komma åt skadliga domäner via program. Domäner som är värdar för nätfiskebedrägerier, sårbarheter och annat skadligt innehåll på Internet anses vara farligt. Nätverksskydd utökar omfattningen av Microsoft Defender SmartScreen för att blockera all utgående HTTP-trafik som försöker ansluta till berykande källor (baserat på domän eller värdnamn).

Nätverksskydd utökar skyddet i webbskyddet till operativsystemets nivå. Den ger webbskyddsfunktioner i Microsoft Edge till andra webbläsare och program som inte är webbläsarbaserade. Dessutom tillhandahåller nätverksskydd synlighet och blockering av indikatorer på intrång (IOCs) när de används med identifiering och svar av slutpunkter. Till exempel fungerar nätverksskydd med anpassade indikatorer som du kan använda för att blockera specifika domäner eller värdnamn.

Tips

Se testfältwebbplatsen Microsoft Defender för slutpunkt på demo.wd.microsoft.com om du vill se hur nätverksskyddet fungerar.

Krav för nätverksskydd

Nätverksskydd kräver Windows 10 Pro företag och Microsoft Defender Antivirus realtidsskydd.



Windows version Microsoft Defender Antivirus
Windows 10 version 1709 eller senare

Windows 11

Windows Server 1803 eller senare

Microsoft Defender Antivirus realtidsskydd och moln levererat skydd måste vara aktiverat

När du har aktiverat tjänsterna kan du behöva konfigurera nätverket eller brandväggen så att anslutningarna mellan tjänsterna och dina enheter tillåts (kallas även slutpunkter).

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Konfigurera nätverksskydd

Mer information om hur du aktiverar nätverksskydd finns i Aktivera nätverksskydd. Använd grupprinciper, PowerShell och MDM-CSP:er för att aktivera och hantera nätverksskydd i nätverket.

Visa nätverksskyddshändelser

Nätverksskyddet fungerar bäst med Microsoft Defender för Endpoint, vilket ger dig detaljerad rapportering om sårbarhetsskyddshändelser och -block som en del av scenarier för aviseringsundersökning.

När nätverksskydd blockerar en anslutning visas ett meddelande från Åtgärdscenter. Ditt säkerhetsteam kan anpassa meddelandet med organisationens information och kontaktinformation. Dessutom kan regler för att minska attackytan aktiveras och anpassas så att de passar vissa tekniker att övervaka.

Du kan också använda granskningsläge för att utvärdera hur nätverksskydd skulle påverka organisationen om det var aktiverat.

Granska nätverksskyddshändelser i Microsoft 365 Defender portalen

Microsoft Defender för Endpoint tillhandahåller detaljerad rapportering om händelser och block som en del av dess scenarier för aviseringsundersökning. Du kan visa den här informationen i Microsoft 365 Defender (https://security.microsoft.com) i varningskön eller med avancerad sökning. Om du använder granskningsläge kan du använda avancerad sökning för att se hur inställningarna för nätverksskydd skulle påverka din miljö om de var aktiverade.

Här är en exempelfråga för avancerad sökning:

DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')

Granska nätverksskyddshändelser i Windows Loggboken

Du kan granska Windows händelseloggen för att se händelser som skapas när nätverksskydd blockerar (eller granskar) åtkomst till en skadlig IP eller domän:

  1. Kopiera XML-koden direkt.

  2. Välj OK.

Den här proceduren skapar en anpassad vy som filtrerar för att bara visa följande händelser relaterade till nätverksskydd:



Händelse-ID Beskrivning
5007 Händelse när inställningar ändras
1125 Händelse när nätverksskydd aktiveras i granskningsläge
1126 Händelse när nätverksskyddet utbrandar i blockläge

Nätverksskydd och TCP-trevägshandskakning

Med nätverksskydd görs avgörandet av om åtkomst till en webbplats ska tillåtas eller blockeras när trevägshandskakningen är slutförd via TCP/IP. När en webbplats blockeras av ConnectionSuccess nätverksskydd kan det därför hända att du ser åtgärdstypen under NetworkConnectionEvents i Microsoft 365 Defender-portalen även om webbplatsen faktiskt blockerades. NetworkConnectionEvents rapporteras från TCP-lagret och inte från nätverksskyddet. När trevägshandskakningen är klar tillåts eller blockeras åtkomsten till webbplatsen av nätverksskydd.

Här är ett exempel på hur det fungerar:

  1. Anta att en användare försöker komma åt en webbplats på sin enhet. Webbplatsen råkar vara värd för en farligt domän, och den bör blockeras av nätverksskydd.

  2. Trevägshandskakningen via TCP/IP påbörjar. Innan den har slutförts loggas NetworkConnectionEvents en åtgärd och den listas ActionType som ConnectionSuccess. Men så snart trevägshandskakningsprocessen är klar blockerar nätverket åtkomsten till webbplatsen. Allt detta sker mycket snabbt. En liknande process inträffar med Microsoft Defender SmartScreen; det är när trevägshandskakningen slutförs som ett avgörande görs och åtkomsten till en webbplats blockeras eller tillåts.

  3. I Microsoft 365 Defender-portalen visas en avisering i aviseringskön. Information om varningen omfattar både NetworkConnectionEvents och AlertEvents. Du kan se att webbplatsen blockerades, även om du också har ett NetworkConnectionEvents objekt med ActionType av ConnectionSuccess.

Att tänka på Windows av virtuellt skrivbord Windows 10 Enterprise flersession

Tänk på Windows 10 Enterprise användarnivå:

  1. Nätverksskydd är en funktion för hela enheten och kan inte riktas till specifika användarsessioner.

  2. Principer för filtrering av webbinnehåll är också enhetsomfattande.

  3. Om du behöver skilja mellan användargrupper kan du skapa separata pooler och tilldelningar Windows virtuellt skrivbord.

  4. Testa nätverksskydd i granskningsläge för att bedöma dess beteende innan det lanseras.

  5. Överväg att ändra distributionen om du har ett stort antal användare eller ett stort antal sessioner för flera användare.

Alternativt alternativ för nätverksskydd

För Windows 10 Enterprise Multi-Session 1909 och uppåt, som används i Windows Virtual Desktop i Azure, kan nätverksskydd för Microsoft Edge aktiveras med följande metod:

  1. Använd Aktivera nätverksskydd och följ instruktionerna för att tillämpa principen.

  2. Utför följande PowerShell-kommando: Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Felsökning av nätverksskydd

På grund av miljön där nätverksskyddet körs kanske Microsoft inte kan identifiera proxyinställningar för operativsystemet. I vissa fall kan inte nätverksskyddsklienter nå molntjänsten. För att lösa anslutningsproblem bör kunder med E5-licenser konfigurera någon av följande registernycklar:

reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyServer /d "<proxy IP address: Port>" /f
reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyPacUrl /d "<Proxy PAC url>" /f

Se även