Ağınızı koruyun

  • Makale

Şunlar için geçerlidir:

Platform

  • Windows
  • macOS
  • Linux

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Ağ korumasına genel bakış

Ağ koruması, cihazların İnternet tabanlı olaylardan korunmasına yardımcı olur. Ağ koruması bir saldırı yüzeyi azaltma özelliğidir. Çalışanların uygulamalar aracılığıyla tehlikeli etki alanlarına erişmesini önlemeye yardımcı olur. İnternette kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içerikleri barındıran etki alanları tehlikeli olarak kabul edilir. Ağ koruması, düşük saygınlık kaynaklarına bağlanmaya çalışan tüm giden HTTP(S) trafiğini engellemek için smartscreen Microsoft Defender kapsamını genişletir (etki alanı veya konak adına göre).

Ağ koruması , Web korumasındaki korumayı işletim sistemi düzeyine genişletir ve Web İçeriği Filtreleme (WCF) için temel bir bileşendir. Microsoft Edge'de bulunan web koruma işlevselliğini desteklenen diğer tarayıcılara ve tarayıcı olmayan uygulamalara sağlar. Ağ koruması ayrıca Uç nokta algılama ve yanıt ile kullanıldığında güvenliğin aşılmasına ilişkin göstergelerin (ICS) görünürlüğünü ve engellenmesini de sağlar. Örneğin, ağ koruması belirli etki alanlarını veya konak adlarını engellemek için kullanabileceğiniz özel göstergelerinizle birlikte çalışır.

Ağ koruma kapsamı

Aşağıdaki tabloda kapsamın ağ koruma alanları özetlemektedir.

Özellik Microsoft Edge Üçüncü taraf tarayıcılar Tarayıcı dışı işlemler
(örneğin, PowerShell)
Web Tehdit Koruması SmartScreen etkinleştirilmelidir Ağ koruması blok modunda olmalıdır Ağ koruması blok modunda olmalıdır
Özel Göstergeler SmartScreen etkinleştirilmelidir Ağ koruması blok modunda olmalıdır Ağ koruması blok modunda olmalıdır
Web İçeriği Filtreleme SmartScreen etkinleştirilmelidir Ağ koruması blok modunda olmalıdır Desteklenmiyor

Not

Mac ve Linux'ta, Edge'de bu özellikler için destek almak için blok modunda ağ korumasına sahip olmanız gerekir. Windows'da ağ koruması Microsoft Edge'i izlemez. Microsoft Edge ve Internet Explorer dışındaki işlemler için web koruma senaryoları, inceleme ve zorlama için ağ korumasından yararlanıyor.

  • IP, üç protokol için de desteklenir (TCP, HTTP ve HTTPS (TLS)).
  • Özel göstergelerde yalnızca tek IP adresleri desteklenir (CIDR blokları veya IP aralıkları yoktur).
  • Şifrelenmiş URL'ler (tam yol) yalnızca birinci taraf tarayıcılarda (Internet Explorer, Edge) engellenebilir.
  • Şifrelenmiş URL'ler (yalnızca FQDN) üçüncü taraf tarayıcılarda (internet explorer, Edge dışında) engellenebilir.
  • Şifrelenmemiş URL'ler için tam URL yol blokları uygulanabilir.

Eylemin gerçekleştirilişi ile URL ve IP'nin engellenmesi arasında 2 saate kadar gecikme süresi (genellikle daha az) olabilir.

Ağ korumasının cihazlarınızın saldırı yüzeyini kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içeriklerden nasıl azaltmaya yardımcı olduğunu öğrenmek için bu videoyu izleyin.

Ağ koruması gereksinimleri

Ağ koruması Windows 10 veya 11 (Pro veya Enterprise), Windows Server sürüm 1803 veya üzeri, macOS sürüm 11 veya üzeri ya da Defender Desteklenen Linux sürümleri ve Microsoft Defender Virüsten Koruma gerçek zamanlı koruma gerektirir.

Windows sürümü Microsoft Defender Virüsten Koruma
Windows 10 sürüm 1709 veya üzeri, Windows 11, Windows Server 1803 veya üzeri Microsoft Defender Virüsten Koruma gerçek zamanlı koruma, davranış izleme ve bulut tabanlı korumanın etkinleştirildiğinden emin olun (etkin)
Birleştirilmiş aracıyla R2 ve Windows Server 2016 Windows Server 2012 Platform Güncelleştirmesi sürüm 4.18.2001.x.x veya üzeri

Ağ koruması neden önemlidir?

Ağ koruması, Uç Nokta için Microsoft Defender'daki saldırı yüzeyi azaltma çözümleri grubunun bir parçasıdır. Ağ koruması, ağ katmanının URL'leri ve IP adreslerini engellemesini sağlar. Ağ koruması, belirli tarayıcılar ve standart ağ bağlantıları kullanılarak URL'lere erişilebileceğini engelleyebilir. Varsayılan olarak, ağ koruması, Microsoft Edge tarayıcısında SmartScreen'e benzer şekilde kötü amaçlı URL'leri engelleyen SmartScreen akışını kullanarak bilgisayarlarınızı bilinen kötü amaçlı URL'lerden korur. Ağ koruma işlevselliği şu şekilde genişletilebilir:

Ağ koruması, Microsoft koruması ve yanıt yığınının kritik bir parçasıdır.

İpucu

Windows Server, Linux, MacOS ve Mobile Threat Defense (MTD) için ağ koruması hakkında ayrıntılı bilgi için bkz. Gelişmiş tehdit avcılığı ile tehditleri proaktif olarak avlama.

Komut ve Denetim saldırılarını engelleme

Komut ve Denetim (C2) sunucu bilgisayarları, kötü amaçlı kullanıcılar tarafından daha önce kötü amaçlı yazılımlar tarafından ele geçirilen sistemlere komut göndermek için kullanılır. C2 saldırıları genellikle dosya paylaşımı ve web posta hizmetleri gibi bulut tabanlı hizmetlerde gizlenir ve C2 sunucularının tipik trafikle karışarak algılamayı önlemesini sağlar.

C2 sunucuları, şu komutları başlatmak için kullanılabilir:

  • Verileri çalma
  • Botnet'te güvenliği aşılmış bilgisayarları denetleme
  • Yasal uygulamaları kesintiye uğratma
  • Fidye yazılımı gibi kötü amaçlı yazılımları yayma

Uç Nokta için Defender'ın ağ koruma bileşeni, makine öğrenmesi ve akıllı risk göstergesi (IoC) belirleme gibi teknikleri kullanarak insan tarafından çalıştırılan fidye yazılımı saldırılarında kullanılan C2 altyapılarına yönelik bağlantıları tanımlar ve engeller.

Ağ koruması: C2 algılama ve düzeltme

İlk biçiminde fidye yazılımı, önceden programlanmış ve sınırlı, belirli sonuçlara (örneğin, bir bilgisayarı şifrelemeye) odaklanmış bir ticari tehdittir. Ancak fidye yazılımı, insan odaklı, uyarlamalı ve daha büyük ölçekli ve daha yaygın sonuçlara odaklanan gelişmiş bir tehdit haline geldi. Örneğin, tüm kuruluşun varlıklarını veya verilerini fidye için tutma.

Komut ve Denetim sunucuları (C2) desteği bu fidye yazılımı evriminin önemli bir parçasıdır ve bu saldırıların hedefledikleri ortama uyum sağlamasına olanak tanır. Komut ve denetim altyapısı bağlantısının kesilmesi, saldırının bir sonraki aşamasına ilerlemesini durdurur. C2 algılama ve düzeltme hakkında ek bilgi için bkz. Ağ katmanında komut ve denetim saldırılarını algılama ve düzeltme.

Ağ koruması: Yeni bildirim bildirimleri

Yeni eşleme Yanıt kategorisi Kaynak
Kimlik avı Kimlik Avı Smartscreen
Kötü amaçlı Kötü amaçlı Smartscreen
komut ve denetim C2 Smartscreen
komut ve denetim COCO Smartscreen
Kötü amaçlı Güvenilmeyen Smartscreen
BT yöneticiniz tarafından CustomBlockList
BT yöneticiniz tarafından CustomPolicy

Not

customAllowList uç noktalarda bildirim oluşturmaz.

Ağ koruması belirlemeye yönelik yeni bildirimler

Ağ korumasındaki genel kullanıma açık yeni bir özellik, kötü amaçlı komut ve denetim sitelerindeki kimlik avı etkinliklerini engellemek için SmartScreen'teki işlevleri kullanır.

Bir son kullanıcı, ağ korumasının etkinleştirildiği bir ortamda bir web sitesini ziyaret etmeye çalıştığında üç senaryo mümkündür:

  • URL'nin bilinen iyi bir üne sahip olması - Bu durumda kullanıcıya engelleme olmadan erişim izni verilir ve uç noktada bildirim sunulmaz. Etki alanı veya URL etkin olarak İzin Verildi olarak ayarlanır.
  • URL bilinmeyen veya belirsiz bir üne sahip - Kullanıcının erişimi engellenir, ancak engeli aşma (engellemesini kaldırma) özelliğiyle. Etkin olarak, etki alanı veya URL Denetim olarak ayarlanır.
  • URL'nin bilinen kötü (kötü amaçlı) bir itibarı var- Kullanıcının erişimi engellendi. Etkin olarak, etki alanı veya URL Engelle olarak ayarlanır.

Deneyimi uyar

Kullanıcı bir web sitesini ziyaret eder:

  • URL'nin bilinmeyen veya belirsiz bir itibarı varsa, kullanıcıya aşağıdaki seçenekleri içeren bir bildirim sunulur:

    • Tamam - Bildirim yayımlanır (kaldırılır) ve siteye erişim girişimi sona erer.

    • Engellemeyi kaldırma - Kullanıcı 24 saat boyunca siteye erişebilir; bu noktada bloğun yeniden kullanılabilir duruma gelir. Kullanıcı, yönetici siteyi yasaklayana (engelleyene) kadar siteye erişmek için Engellemeyi Kaldır'ı kullanmaya devam edebilir ve böylece Engellemeyi Kaldırma seçeneğini kaldırır.

    • Geri Bildirim - Bildirim, kullanıcıya, siteye erişimi gerekçelendirmek amacıyla yöneticiye geri bildirim göndermek için kullanabileceği bir bilet gönderme bağlantısı sunar.

      Ağ koruması kimlik avı içeriği uyarı bildirimini gösterir.

    Not

    Burada uyarı deneyimi ve engelleme deneyimi için gösterilen görüntüler (aşağıda) her ikisinde de örnek yer tutucu metin olarak "engellenen URL" listelenir; çalışma ortamında gerçek URL veya etki alanı listelenir.

Blok deneyimi

Kullanıcı bir web sitesini ziyaret eder:

  • URL'nin kötü bir ünü varsa, kullanıcıya aşağıdaki seçenekleri içeren bir bildirim sunulur:

    • Tamam Bildirim yayımlanır (kaldırılır) ve siteye erişim girişimi sona erer.

    • Geribildirim Bildirimde kullanıcıya, siteye erişimi gerekçelendirmek amacıyla yöneticiye geri bildirim göndermek için kullanabileceği bir bilet gönderme bağlantısı bulunur.

      Bilinen kimlik avı içeriği engellendi bildirimini gösteren ağ koruması.

SmartScreen Engellemesini Kaldır

Uç Nokta için Defender'daki göstergelerle, yöneticiler son kullanıcıların bazı URL'ler ve IP'ler için oluşturulan uyarıları atlamasına izin verebilir. URL'nin neden engellendiğine bağlı olarak, bir SmartScreen bloğuyla karşılaşıldığında sitenin engellemesini 24 saate kadar kaldırma özelliği sunabilir. Bu gibi durumlarda, son kullanıcının tanımlı süre boyunca URL veya IP engelini kaldırmasına izin verecek bir Windows Güvenliği bildirim görüntülenir.

Ağ koruması için Windows Güvenliği bildirimi.

Uç Nokta için Microsoft Defender yöneticileri IP'ler, URL'ler ve etki alanları için "izin ver" göstergesini kullanarak Microsoft Defender portalında SmartScreen Engellemesini Kaldırma işlevini yapılandırabilir.

Ağ koruması SmartScreen blok yapılandırması ULR ve IP formu.

Bkz. IP'ler ve URL'ler/etki alanları için İçerik Oluşturucu göstergeleri.

Ağ korumasını kullanma

Ağ koruması cihaz başına etkinleştirilir ve bu genellikle yönetim altyapınız kullanılarak gerçekleştirilir. Desteklenen yöntemler için bkz . Ağ korumasını açma.

Not

Microsoft Defender Virüsten Koruma'nın ağ korumasını etkinleştirmek için etkin olması gerekir.

Ağ korumasını Denetim modunda veya Blok modunda etkinleştirebilirsiniz. IP adreslerini veya URL'leri engellemeden önce ağ korumasını etkinleştirmenin etkisini değerlendirmek istiyorsanız, ağ korumasını denetim modunda etkinleştirerek engellenecek veriler hakkında veri toplayabilirsiniz. Son kullanıcılar ağ koruması tarafından engellenecek bir adrese veya siteye bağlandığında denetim modu günlükleri. Risk (IoC) veya Web içeriği filtreleme (WCF) göstergelerinin çalışması için ağ korumasının "Blok modunda" olması gerektiğini unutmayın

Linux ve macOS için ağ koruması hakkında bilgi için bkz. Linux için ağ koruması ve macOS için ağ koruması.

Gelişmiş avcılık örneği

Denetim olaylarını tanımlamak için gelişmiş avcılık kullanıyorsanız konsoldan 30 güne kadar geçmişe sahip olursunuz. Bkz . Gelişmiş avcılık.

Denetim olaylarını Uç Nokta için Defender portalında (https://security.microsoft.com) Gelişmiş avcılık bölümünde bulabilirsiniz.

Denetim olayları, Bir ActionType ile DeviceEvents içindedir ExploitGuardNetworkProtectionAudited. Bloklar, actionType ile ExploitGuardNetworkProtectionBlockedgösterilir.

Üçüncü taraf tarayıcılar için Ağ Koruması olaylarını görüntülemeye yönelik örnek bir sorgu aşağıda verilmiştir:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Olayları denetlemek ve tanımlamak için gelişmiş avcılık.

İpucu

Bu girdilerin AdditionalFields sütunundaki veriler, eylemle ilgili harika bilgiler sağlar. AdditionalFields'i genişletirseniz IsAudit, ResponseCategory ve DisplayName alanlarını da alabilirsiniz.

İşte başka bir örnek:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Yanıt kategorisi, olaya neyin neden olduğunu söyler, örneğin:

ResponseCategory Olaydan sorumlu özellik
CustomPolicy WCF
CustomBlockList Özel göstergeler
CasbPolicy Bulut Uygulamaları için Defender
Kötü amaçlı Web tehditleri
Kimlik Avı Web tehditleri

Daha fazla bilgi için bkz. Uç nokta blokları sorunlarını giderme.

Microsoft Edge tarayıcısı için Microsoft Defender SmartScreen olaylarının farklı bir sorguya ihtiyacı olduğunu unutmayın:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Cihazın blok modunda olması durumunda nelerin engelleneceğini ve hangi özelliğin engellendiğini belirlemek için url'lerin ve IP'lerin elde edilen listesini kullanabilirsiniz. Ortamınız için gerekli olup olmadığını belirlemek için listedeki her öğeyi gözden geçirin. Denetlenen ve ortamınız için kritik olan girdiler bulursanız, ağınızda bunlara izin vermek için bir Gösterge oluşturun. URL/IP göstergelerine izin ver, herhangi bir blok üzerinde önceliklidir.

Bir gösterge oluşturduktan sonra, temel alınan sorunu çözmeye bakabilirsiniz:

  • SmartScreen – gözden geçirme isteği
  • Gösterge – var olan göstergeyi değiştirme
  • MCA – tasdik edilmemiş UYGULAMAYı gözden geçirme
  • WCF – yeniden kategorilere ayırma isteği

Bu verileri kullanarak, Ağ korumasını Engelleme modunda etkinleştirme konusunda bilinçli bir karar vekleyebilirsiniz. Bkz . Ağ koruma blokları için öncelik sırası.

Not

Bu cihaz başına bir ayar olduğundan, Engelleme moduna geçemeyen cihazlar varsa, sınamayı düzeltene ve denetim olaylarını almaya devam edene kadar bunları denetimde bırakabilirsiniz.

Hatalı pozitifleri bildirme hakkında bilgi için bkz. Hatalı pozitifleri raporlama.

Kendi Power BI raporlarınızı oluşturma hakkında ayrıntılı bilgi için bkz. Power BI kullanarak özel raporlar İçerik Oluşturucu.

Ağ korumasını yapılandırma

Ağ korumasını etkinleştirme hakkında daha fazla bilgi için bkz. Ağ korumasını etkinleştirme. Ağınızda ağ korumasını etkinleştirmek ve yönetmek için grup ilkesi, PowerShell veya MDM CSP'lerini kullanın.

Ağ korumasını etkinleştirdikten sonra, uç nokta cihazlarınızla web hizmetleri arasındaki bağlantılara izin vermek için ağınızı veya güvenlik duvarınızı yapılandırmanız gerekebilir:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Ağ koruma olaylarını görüntüleme

Ağ koruması en iyi Uç Nokta için Microsoft Defender ile çalışır ve bu da uyarı araştırma senaryolarının bir parçası olarak açıklardan yararlanma koruma olayları ve blokları hakkında ayrıntılı raporlama sağlar.

Ağ koruması bir bağlantıyı engellediğinde, İşlem Merkezi'nden bir bildirim görüntülenir. Güvenlik operasyonları ekibiniz, kuruluşunuzun ayrıntıları ve iletişim bilgileriyle bildirimi özelleştirebilir . Ayrıca, tek tek saldırı yüzeyi azaltma kuralları etkinleştirilebilir ve izlemek için belirli tekniklere uyacak şekilde özelleştirilebilir.

Ağ korumasının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirmek için denetim modunu da kullanabilirsiniz.

Microsoft Defender portalında ağ koruma olaylarını gözden geçirme

Uç Nokta için Defender , uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar. Bu ayrıntıları uyarı kuyruğundaki Microsoft Defender portalında (https://security.microsoft.com) veya gelişmiş avcılığı kullanarak görüntüleyebilirsiniz. Denetim modunu kullanıyorsanız, ağ koruma ayarlarının etkinleştirildiğinde ortamınızı nasıl etkileyeceğini görmek için gelişmiş avcılığı kullanabilirsiniz.

Windows Olay Görüntüleyicisi'de ağ koruma olaylarını gözden geçirme

Ağ koruması kötü amaçlı bir IP'ye veya etki alanına erişimi engellediğinde (veya denetlediğinde) oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:

  1. XML'yi doğrudan kopyalayın.

  2. Tamam'ı seçin.

Bu yordam, yalnızca ağ korumasıyla ilgili aşağıdaki olayları gösterecek şekilde filtreleyen özel bir görünüm oluşturur:

Olay Kimliği Açıklama
5007 Ayarlar değiştirildiğinde gerçekleşen olay
1125 Ağ koruması denetim modunda tetiklendiğinde gerçekleşen olay
1126 Ağ koruması blok modunda tetiklendiğinde gerçekleşen olay

Ağ koruması ve TCP üç yönlü el sıkışması

Ağ koruması ile, TCP/IP aracılığıyla üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilip verilmeyeceğinin veya engellenip engellenmeyeceğinin belirlenmesi yapılır. Bu nedenle, bir site ağ koruması tarafından engellendiğinde, site engellenmiş olsa bile Microsoft Defender portalında altında DeviceNetworkEvents bir eylem türü ConnectionSuccess görebilirsiniz. DeviceNetworkEvents ağ korumasından değil TCP katmanından bildirilir. Üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilir veya ağ koruması tarafından engellenir.

Bunun nasıl çalıştığına dair bir örnek aşağıda verilmişti:

  1. Bir kullanıcının cihazında bir web sitesine erişmeye çalıştığı varsayılmaktadır. Site tehlikeli bir etki alanında barındırılacak ve ağ koruması tarafından engellenmelidir.

  2. TCP/IP aracılığıyla üç yönlü el sıkışması başlar. İşlem tamamlanmadan önce bir DeviceNetworkEvents eylem günlüğe kaydedilir ve eylemi ActionType olarak ConnectionSuccesslistelenir. Ancak, üç yönlü el sıkışma işlemi tamamlandığında ağ koruması siteye erişimi engeller. Tüm bunlar hızlı bir şekilde gerçekleşir. Benzer bir işlem Microsoft Defender SmartScreen ile gerçekleşir; üç yönlü el sıkışması tamamlandığında belirleme yapılır ve siteye erişim engellenir veya izin verilir.

  3. Microsoft Defender portalında, uyarılar kuyruğunda bir uyarı listelenir. Bu uyarının ayrıntıları hem hem AlertEvidencede DeviceNetworkEvents içerir. ActionType içeren bir DeviceNetworkEvents öğeniz de olsa, sitenin ConnectionSuccessengellendiğini görebilirsiniz.

Çoklu Oturum Windows 10 Enterprise çalışan Windows sanal masaüstü için dikkat edilmesi gerekenler

Windows 10 Enterprise çok kullanıcılı yapısı nedeniyle aşağıdaki noktaları göz önünde bulundurun:

  1. Ağ koruması cihaz genelindeki bir özelliktir ve belirli kullanıcı oturumlarına hedeflenemez.

  2. Web içeriği filtreleme ilkeleri de cihaz genelindedir.

  3. Kullanıcı grupları arasında ayrım yapmanız gerekiyorsa, ayrı Windows Sanal Masaüstü konak havuzları ve atamaları oluşturmayı göz önünde bulundurun.

  4. Dağıtımdan önce davranışını değerlendirmek için ağ korumasını denetim modunda test edin.

  5. Çok fazla sayıda kullanıcınız veya çok sayıda çok kullanıcılı oturumunuz varsa dağıtımınızı yeniden boyutlandırmayı göz önünde bulundurun.

Ağ koruması için alternatif seçenek

Azure'da Windows Sanal Masaüstü'nde kullanılan Windows Server 2012R2/2016 birleşik MDE istemcisi, Windows Server sürüm 1803 veya üzeri, Windows Server 2019 veya üzeri ve Windows 10 Enterprise Çoklu Oturum 1909 ve üzeri için aşağıdaki yöntem kullanılarak Microsoft Edge için ağ koruması etkinleştirilebilir:

  1. Ağ korumasını aç'ı kullanın ve ilkenizi uygulamak için yönergeleri izleyin.

  2. Aşağıdaki PowerShell komutlarını yürütür:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Not

Bazı durumlarda altyapınıza, trafik hacminize ve diğer koşullara Set-MpPreference -AllowDatagramProcessingOnWinServer 1 bağlı olarak ağ performansı üzerinde bir etkisi olabilir.

Windows Sunucuları için ağ koruması

Aşağıda Windows Sunucularına özgü bilgiler yer alır.

Ağ korumasının etkinleştirildiğini doğrulama

Registry Düzenleyici kullanarak yerel bir cihazda ağ korumasının etkinleştirilip etkinleştirilmediğini doğrulayın.

  1. Görev çubuğunda başlangıç düğmesini seçin ve kayıt defteri Düzenleyici açmak için regedit yazın.

  2. Yan menüden HKEY_LOCAL_MACHINE'ı seçin.

  3. İç içe menülerde MICROSOFTWindows defender>Windows Defender Exploit Guard>Ağ KorumasıYAZıLıM>İlkeleri'ne>> gidin.

    (Anahtar yoksa YAZILIM'a> gidinMicrosoft>> Windows Defender Windows Defender Exploit Guard>Ağ Koruması)

  4. Cihazdaki ağ korumasının geçerli durumunu görmek için EnableNetworkProtection öğesini seçin:

    • 0 = Kapalı
    • 1 = Açık (etkin)
    • 2 = Denetim modu

Ek bilgi için bkz. Ağ korumasını açma

Ağ koruması önerisi

Windows Server 2012R2/2016 birleşik MDE istemcisi, Windows Server sürüm 1803 veya üzeri, Windows Server 2019 veya üzeri ve Windows 10 Enterprise Çoklu Oturum 1909 ve üzeri (Azure'da Windows Sanal Masaüstü'nde kullanılır) için etkinleştirilmesi gereken ek kayıt defteri anahtarları vardır:

HKEY_LOCAL_MACHINE\YAZILIM\Microsoft\\ Windows Defender Windows Defender Exploit Guard\Ağ Koruması

  • AllowNetworkProtectionOnWinServer (dword) 1 (onaltılık)
  • EnableNetworkProtection (dword) 1 (onaltılık)
  • AllowNetworkProtectionDownLevel (dword) 1 (onaltılık) - Yalnızca Windows Server 2012R2 ve Windows Server 2016

Not

Altyapınıza, trafik hacminize ve diğer koşullara bağlı olarak,\ MICROSOFT Windows Defender \NIS\Tüketicileri\IPS - AllowDatagramProcessingOnWinServer (dword) 1 (onaltılık)yazılım\ilkeleri\\ HKEY_LOCAL_MACHINE ağ performansı üzerinde bir etkisi olabilir.

Ek bilgi için bkz. Ağ korumasını açma

Windows Sunucuları ve Windows Çoklu oturum yapılandırması için PowerShell gerekir

Windows Sunucuları ve Windows Multi-session için, PowerShell cmdlet'lerini kullanarak etkinleştirmeniz gereken ek öğeler vardır. Windows Server 2012R2/2016 birleşik MDE istemcisi, Windows Server sürüm 1803 veya üzeri, Windows Server 2019 veya üzeri ve Azure'daki Windows Sanal Masaüstü'nde kullanılan Çok Oturumlu 1909 ve üzeri Windows 10 Enterprise için.

  1. Set-MpPreference -EnableNetworkProtection Etkin
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Not

Bazı durumlarda altyapınıza, trafik hacminize ve diğer koşullara bağlı olarak Set-MpPreference -AllowDatagramProcessingOnWinServer 1 ağ performansı üzerinde bir etkiye sahip olabilir.

Ağ koruması sorunlarını giderme

Ağ korumasının çalıştığı ortam nedeniyle, özellik işletim sistemi proxy ayarlarını algılayamayabilir. Bazı durumlarda ağ koruma istemcileri bulut hizmetine erişemez. Bağlantı sorununu çözmek için Microsoft Defender Virüsten Koruma için statik bir ara sunucu yapılandırın.

Ağ koruma performansını iyileştirme

Ağ koruması artık Blok modunun uzun süreli bağlantıları zaman uyumsuz olarak incelemeye başlamasını sağlayan bir performans iyileştirmesine sahiptir. Bu da performans iyileştirmesi sağlayabilir ve uygulama uyumluluk sorunlarına yardımcı olabilir. Bu iyileştirme özelliği varsayılan olarak açıktır. Aşağıdaki PowerShell cmdlet'ini kullanarak bu özelliği kapatabilirsiniz:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.