適用於企業的 Microsoft Defender 中的防火牆
商務用Defender包含透過防火牆 Windows Defender 防火牆的防火牆功能。 防火牆保護藉由建立規則來決定允許哪些網路流量流向裝置,以協助保護裝置。
您可以使用防火牆保護來指定是否允許或封鎖不同位置裝置上的連線。 例如,您的防火牆設定可以在連線到公司內部網路的裝置上允許輸入連線,但是當裝置位於具有不受信任裝置的網路時,會防止連線。
本文說明:
檢視或編輯防火牆原則和自定義規則
根據您是使用 Microsoft Defender 入口網站或 Intune 來管理防火牆保護,請使用下列其中一個程式。
| 入口網站 | 程序 |
|---|---|
| Microsoft Defender 入口網站 (https://security.microsoft.com) | 1.移至 Microsoft Defender 入口網站 (https://security.microsoft.com) ,然後登入。 2. 在瀏覽窗格中,選擇 [裝置設定]。 系統會根據作業系統和原則類型來組織原則。 3. 選取作業系統索引標籤 (例如 Windows 用戶端)。 4.展開 [防火牆 ] 以檢視原則清單。 5.選取原則以檢視詳細數據。 若要進行變更或深入了解原則設定,請參閱下列文章: - 檢視或編輯裝置原則 - 防火牆設定 - 管理防火牆原則的自定義規則 |
| Microsoft Intune 系統管理中心 (https://intune.microsoft.com) | 1. 移至 https://intune.microsoft.com 並登入。 您現在位於 Intune 系統管理中心。 2. 選取 端點安全性。 3.選取 [防火牆 ] 以檢視該類別中的原則。 針對防火牆保護所定義的自定義規則會列為個別的原則。 如需在 Intune 中管理安全性設定的說明,請從管理 Microsoft Intune 中的端點安全性開始。 |
在適用於企業的 Microsoft Defender 中管理您的防火牆原則的自訂規則
您可以使用自訂規則來定義防火牆原則的例外。 意即,您可以使用自訂規則來封鎖或允許特定連結。
為防火牆原則建立自訂規則
移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
前往端點>裝置設定,並查看原則清單。
在 防火牆 部分,選取現有的原則,或新增新原則。
在 [組態設定] 步驟中,檢查設定。 對 [網域網路]、[公用網路],以及 [私人網路] 進行任何有必要的變更。
若要建立自訂規則,請執行下列步驟:
- 在 [自訂規則]下,選擇 [+ 新增規則]。 (您最多能具有 150 個自訂規則。)
- 在 [建立新規則] 飛出視窗中,指定規則的名稱和描述。
- 選取設定檔。 (您的選項包括 [網域網路]、[公用網路],或 [私人網路]。)
- 在 [遠端網址類型] 清單中,選取 [IP] 或 [應用程式檔案路徑]。
- 在 [值] 方塊中,指定適當的值。 根據您在步驟 6d 中選取的內容,您可以指定 IP 位址、IP 位址範圍或應用程式檔案路徑。 (請參閱 [防火牆設定]。)
- 在 [建立新規則] 飛出視窗中,選取 [建立規則]。
在 [組態設定] 畫面上,選擇 [下一步]。
在 [檢查您的原則] 畫面上,查看對防火牆原則設定所進行的變更。 進行任何必要的變更,然後選擇 [建立原則]。
為防火牆原則編輯自訂規則
移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
前往端點>裝置設定,並查看原則清單。
在 防火牆 部分,選取現有的原則,或新增新原則。
在 [自訂規則]下,查看規則清單。
選取規則,然後選擇 [編輯]。 其飛出視窗將隨即開啟。
若要編輯您的自訂規則,請執行下列步驟:
- 在 [編輯規則] 飛出視窗中,查看及編輯規則的名稱和描述。
- 請進行審閱,且如有必要,請編輯規則的設定檔。 (您的選項包括 [網域網路]、[公用網路],或 [私人網路]。)
- 在 [遠端網址類型] 清單中,選取 [IP] 或 [應用程式檔案路徑]。
- 在 [值] 方塊中,指定適當的值。 根據您在步驟 6c 中選取的內容,您可以指定 IP 位址、IP 位址範圍或應用程式檔案路徑。 (請參閱 [防火牆設定]。)
- 設定 [啟用規則] 為 [啟用],讓規則處於作用中狀態。 或者,若要停用此規則,則將開關切換為 [關閉]。
- 在 [編輯規則] 飛出視窗中,選取 [更新規則]。
在 [組態設定] 畫面上,選擇 [下一步]。
在 [檢查您的原則] 畫面上,查看對防火牆原則設定所進行的變更。 進行任何必要的變更,然後選擇 [建立原則]。
刪除自訂規則
移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
前往端點>裝置設定,並查看原則清單。
在 防火牆 部分,選取現有的原則,或新增新原則。
在 [自訂規則]下,查看規則清單。
選取規則,然後選擇 [刪除]。 其飛出視窗將隨即開啟。
在確認螢幕中,選擇 [刪除]。
適用於企業的 Defender 的預設防火牆設定
商務用Defender包含預設防火牆原則和設定,可協助您從第一天起保護公司的裝置。 一旦貴公司的裝置上線至商務用Defender,預設防火牆原則的運作方式如下:
- 根據預設,無論位置如何,都會允許來自裝置外的連出連接。
- 當裝置連線至到貴公司的網路時,預設會封鎖所有連入連線。
- 當裝置連接到公用網路或私人網路時,預設會封鎖所有連入連接。
在商務用Defender中,您可以定義例外狀況來封鎖或允許連入連線。 您可以建立 自定義規則來定義這些例外狀況。
您可以在適用於企業的 Defender 中設定的防火牆設定
商務用Defender包含透過防火牆 Windows Defender 防火牆的防火牆保護。 下表列出可在商務用Defender中設定的設定。
| 設定 | 描述 |
|---|---|
| 網域網路 | 網域網路設定檔適用于貴公司的網路。 網域網路的防火牆設定適用於在相同網路上其他裝置上起始的輸入連線。 根據預設,傳入聯機會設定為 [全部封鎖]。 |
| 公用網路 | 公用網路配置檔適用於您可以在公用位置中使用的網路,例如咖啡廳或機場。 公用網路的防火牆設定適用於在相同網路上其他裝置上起始的輸入連線。 由於公用網路可以包含您不知道或不信任的裝置,因此傳入連線預設會設定為 [全部封鎖 ]。 |
| 私人網路 | 專用網配置檔適用於私人位置中的網路,例如您的住家。 專用網的防火牆設定適用於在相同網路上其他裝置上起始的輸入連線。 一般而言,在私人網路上,會假設相同網路上所有其他裝置都是受信任的裝置。 不過,根據預設,傳入聯機會設定為 [全部封鎖]。 |
| 自訂規則 | 自訂規則 可讓您封鎖或允許特定連線。 例如,假設您想要封鎖連線到專用網之裝置上的所有連入連線,但透過裝置上特定應用程式的連線除外。 在此情況下,您會將 [專用網 ] 設定為封鎖所有連入連線,然後新增自定義規則來定義例外狀況。 您可以使用自訂規則來定義特定檔案或應用程式的例外情狀、網際網路通訊協定 (IP) 位址或 IP 位址範圍。 根據您要建立的自訂規則類型,以下是一些您可以使用的值範例: |
後續步驟
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: