Używanie ochrony sieci w celu zapobiegania połączeniom ze złośliwymi lub podejrzanymi witrynami

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto bezpłatnej wersji próbnej.

Omówienie ochrony sieci

Ochrona sieci pomaga chronić urządzenia, uniemożliwiając nawiązywanie połączeń ze złośliwymi lub podejrzanymi witrynami. Przykładami niebezpiecznych domen są domeny, które hostują wyłudzanie informacji, złośliwe pliki do pobrania, oszustwa techniczne lub inną złośliwą zawartość. Ochrona sieci rozszerza zakres Microsoft Defender SmartScreen, aby zablokować cały wychodzący ruch HTTP(S), który próbuje nawiązać połączenie ze źródłami o niskiej reputacji (na podstawie domeny lub nazwy hosta).

Ochrona sieci rozszerza ochronę w sieci Web na poziom systemu operacyjnego i jest podstawowym składnikiem filtrowania zawartości sieci Web (WCF). Udostępnia ona funkcje ochrony sieci Web znajdujące się w przeglądarce Microsoft Edge innym obsługiwanym przeglądarom i aplikacjom niebrowserowym. Ochrona sieci zapewnia również widoczność i blokowanie wskaźników naruszenia zabezpieczeń (IOC) w przypadku użycia z wykrywaniem punktów końcowych i reagowaniem na nie. Na przykład ochrona sieci działa z niestandardowymi wskaźnikami w celu blokowania określonych domen lub nazw hostów.

Obejrzyj ten film wideo, aby dowiedzieć się, jak ochrona sieci pomaga ograniczyć obszar ataków urządzeń przed oszustwami wyłudzania informacji, lukami w zabezpieczeniach i inną złośliwą zawartością:

Wymagania wstępne

Obsługiwane systemy operacyjne

• System Windows
• macOS
• Linux

Pokrycie ochrony sieci

Poniższa tabela zawiera podsumowanie obszarów ochrony sieci w zakresie pokrycia:

Aby upewnić się, że filtr SmartScreen jest włączony dla przeglądarki Microsoft Edge, użyj zasad przeglądarki Edge: SmartScreen Enabled.

Znane problemy & ograniczeniami

• Adresy IP są obsługiwane dla wszystkich trzech protokołów (TCP, HTTP i HTTPS (TLS))
• W niestandardowych wskaźnikach są obsługiwane tylko pojedyncze adresy IP (brak bloków CIDR ani zakresów adresów IP)
• Adresy URL HTTP (w tym pełna ścieżka adresu URL) mogą być blokowane dla dowolnej przeglądarki lub procesu
• W pełni kwalifikowane nazwy domen HTTPS (FQDN) mogą być blokowane w przeglądarkach innych niż Microsoft (wskaźniki określające pełną ścieżkę adresu URL mogą być blokowane tylko w przeglądarce Microsoft Edge)
• Blokowanie nazw FQDN w przeglądarkach innych niż Microsoft wymaga wyłączenia funkcji QUIC i szyfrowanego powitania klienta w tych przeglądarkach
• Połączenia FQDN ładowane za pośrednictwem łączenia połączeń HTTP2 mogą być blokowane tylko w przeglądarce Microsoft Edge
• Usługa Network Protection zablokuje połączenia na wszystkich portach (nie tylko 80 i 443).

Między dodaniem wskaźnika/zasad a zablokowaniem pasującego adresu URL/adresu IP może wystąpić do dwóch godzin opóźnienia (zwykle mniej).

Wymagania dotyczące ochrony sieci

Ochrona sieci wymaga urządzeń z jednym z następujących systemów operacyjnych:

• Windows 10 lub 11 (Pro lub Enterprise) (zobacz Obsługiwane wersje systemu Windows)
• Windows Server 2012 R2, Windows Server 2016 lub Windows Server w wersji 1803 lub nowszej (zobacz Obsługiwane wersje systemu Windows)
• system macOS w wersji 12 (Monterey) lub nowszej (zobacz Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac)
• Obsługiwana wersja systemu Linux (zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux)

Ochrona sieci wymaga również programu antywirusowego Microsoft Defender z włączoną ochroną w czasie rzeczywistym.

Dlaczego ochrona sieci jest ważna

Ochrona sieci jest częścią grupy redukcji obszaru ataków rozwiązań w Ochrona punktu końcowego w usłudze Microsoft Defender. Ochrona sieci umożliwia warstwie sieciowej blokowanie połączeń z domenami i adresami IP. Domyślnie ochrona sieci chroni komputery przed znanymi złośliwymi domenami przy użyciu kanału informacyjnego SmartScreen, który blokuje złośliwe adresy URL w sposób podobny do filtru SmartScreen w przeglądarce Microsoft Edge. Funkcje ochrony sieci można rozszerzyć na:

• Blokuj adresy IP/adresy URL z własnej analizy zagrożeń (wskaźniki)
• Blokuj niesankcjonowane usługi z Microsoft Defender for Cloud Apps
• Blokuj dostęp przeglądarki do witryn internetowych na podstawie kategorii (filtrowanie zawartości sieci Web)

Blokuj ataki poleceń i kontroli

Serwery poleceń i kontroli (C2) są używane do wysyłania poleceń do systemów, które zostały wcześniej naruszone przez złośliwe oprogramowanie.

Serwerów C2 można używać do inicjowania poleceń, które mogą:

• Kradzież danych
• Kontrolowanie komputerów z naruszonymi zabezpieczeniami w sieci botnet
• Zakłócanie legalnych aplikacji
• Rozprzestrzenianie złośliwego oprogramowania, takiego jak oprogramowanie wymuszające okup

Składnik ochrony sieci w usłudze Defender for Endpoint identyfikuje i blokuje połączenia z serwerami C2 używanymi w atakach ransomware obsługiwanych przez człowieka przy użyciu technik takich jak uczenie maszynowe i inteligentna identyfikacja wskaźnika naruszenia zabezpieczeń (IoC).

Ochrona sieci: wykrywanie i korygowanie C2

Oprogramowanie wymuszające okup przekształciło się w zaawansowane zagrożenie oparte na człowieku, adaptacyjne i skoncentrowane na wynikach na dużą skalę, takich jak przechowywanie zasobów lub danych całej organizacji dla okupu.

Obsługa serwerów poleceń i kontroli (C2) jest ważną częścią tej ewolucji oprogramowania wymuszającego okup i to właśnie umożliwia tym atakom dostosowanie się do środowiska docelowego. Przerwanie linku do infrastruktury dowodzenia i kontroli zatrzymuje postęp ataku do następnego etapu. Aby uzyskać więcej informacji na temat wykrywania i korygowania C2, zobacz Blog społeczności technicznej: Wykrywanie i korygowanie ataków poleceń i kontroli w warstwie sieciowej.

Ochrona sieci: nowe powiadomienia wyskakujące

Nowe powiadomienia dotyczące określania ochrony sieci

Gdy użytkownik końcowy próbuje odwiedzić witrynę internetową w środowisku, w którym włączono ochronę sieci, możliwe są trzy scenariusze, jak opisano w poniższej tabeli:

Ostrzeżenie o środowisku

Użytkownik odwiedza witrynę internetową. Jeśli adres URL ma nieznaną lub niepewną reputację, wyskakujące powiadomienie przedstawia użytkownikowi następujące opcje:

• Ok: powiadomienie wyskakujące jest zwalniane (usuwane), a próba uzyskania dostępu do witryny została zakończona.
• Odblokuj: użytkownik ma dostęp do witryny przez 24 godziny; w którym momencie blok jest ponownie włączony. Użytkownik może nadal używać funkcji Odblokuj , aby uzyskać dostęp do witryny do czasu, gdy administrator zabroni (blokuje) witryny, usuwając w ten sposób opcję Odblokuj.
• Opinia: wyskakujące powiadomienie przedstawia użytkownikowi link do przesłania biletu, którego użytkownik może użyć do przesłania opinii do administratora w celu uzasadnienia dostępu do witryny.

Włączanie za pomocą dostawcy CSP Convert warn verdict to block

Domyślnie werdykty filtru SmartScreen dla złośliwych witryn powodują przesłonięcia ostrzeżenia, które może zostać zastąpione przez użytkownika. Można ustawić zasady, aby przekonwertować ostrzeżenie na bloki, uniemożliwiając takie przesłonięcia.

W przypadku przeglądarek innych niż Edge zobacz Dostawca CSP usługi Defender: Konfiguracja/EnableConvertWarnToBlock.

W przypadku przeglądarek Edge zobacz Zasady przeglądarki Edge: Zapobieganie zastąpieniu monitu SmartScreen.

Użyj zasady grupy, aby włączyć opcję Konwertuj werdykt ostrzeżenia, aby zablokować

Dzięki włączeniu tego ustawienia ochrona sieci blokuje ruch sieciowy zamiast wyświetlać ostrzeżenie.

1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy.

2. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

3. W edytorze zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera, a następnie wybierz pozycję Szablony administracyjne.

4. Rozwiń drzewo do składników> systemu Windows Microsoft Defendersystem inspekcji sieciantywirusowej>.

5. Kliknij dwukrotnie pozycję Konwertuj werdykt ostrzeżenia, aby zablokować i ustawić opcję Włączone.

6. Wybierz przycisk OK.

Zablokuj środowisko

Gdy użytkownik odwiedza witrynę internetową, której adres URL ma złą reputację, wyskakujące powiadomienie przedstawia użytkownikowi następujące opcje:

• Ok: powiadomienie wyskakujące jest zwalniane (usuwane), a próba uzyskania dostępu do witryny została zakończona.
• Opinia: wyskakujące powiadomienie przedstawia użytkownikowi link do przesłania biletu, którego użytkownik może użyć do przesłania opinii do administratora w celu uzasadnienia dostępu do witryny.

Twój zespół ds. operacji zabezpieczeń może dostosować powiadomienie wyświetlane dla zablokowanego połączenia ze szczegółami i informacjami kontaktowym organizacji.

Odblokuj filtr SmartScreen

Dzięki wskaźnikom w usłudze Defender for Endpoint administratorzy mogą zezwolić użytkownikom końcowym na pomijanie ostrzeżeń generowanych dla niektórych adresów URL i adresów IP. W zależności od tego, dlaczego adres URL jest zablokowany, napotkany blok SmartScreen może zaoferować użytkownikowi możliwość odblokowania witryny przez maksymalnie 24 godziny. W takich przypadkach zostanie wyświetlone wyskakujące powiadomienie Zabezpieczenia Windows umożliwiające użytkownikowi wybranie opcji Odblokuj. W takich przypadkach adres URL lub adres IP jest odblokowany przez określony okres czasu.

Ochrona punktu końcowego w usłudze Microsoft Defender administratorzy mogą odblokować dowolny adres URL w portalu Microsoft Defender przy użyciu wskaźnika zezwalania na adresy IP, adresy URL i domeny.

Zobacz Tworzenie wskaźników dla adresów IP i adresów URL/domen.

Korzystanie z ochrony sieci

Ochrona sieci jest włączona dla każdego urządzenia, co zwykle odbywa się przy użyciu infrastruktury zarządzania. Aby uzyskać obsługiwane metody, zobacz Włączanie ochrony sieci.

Ochronę sieci można włączyć w audit trybie lub block trybie. Jeśli chcesz ocenić wpływ włączenia ochrony sieci przed faktycznym zablokowaniem adresów IP lub adresów URL, możesz włączyć ochronę sieci w trybie inspekcji. Dzienniki trybu inspekcji zawsze, gdy użytkownicy końcowi łączą się z adresem lub lokacją, która w przeciwnym razie zostałaby zablokowana przez ochronę sieci. Aby wymusić blokowanie niestandardowych wskaźników lub kategorii filtrowania zawartości sieci Web, ochrona sieci musi być w block trybie.

Aby uzyskać informacje o ochronie sieci dla systemów Linux i macOS, zobacz następujące artykuły:

• Ochrona sieci dla systemu Linux
• Ochrona sieci dla systemu macOS

Zaawansowane wyszukiwanie zagrożeń

Jeśli używasz zaawansowanego wyszukiwania zagrożeń do identyfikowania zdarzeń inspekcji, masz do 30-dniową historię dostępną w konsoli programu . Zobacz Zaawansowane wyszukiwanie zagrożeń.

Zdarzenia inspekcji można znaleźć w obszarze Zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender for Endpoint (https://security.microsoft.com).

Zdarzenia inspekcji znajdują się w obszarze DeviceEvents z elementem ActionType .ExploitGuardNetworkProtectionAudited Bloki są wyświetlane z elementem ActionType z wartością ExploitGuardNetworkProtectionBlocked.

Oto przykładowe zapytanie dotyczące wyświetlania zdarzeń usługi Network Protection dla przeglądarek innych niż Microsoft:

DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Oto kolejny przykład:

DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Kategoria Odpowiedź informuje o przyczynach zdarzenia, jak w tym przykładzie:

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z blokami punktów końcowych.

Jeśli używasz przeglądarki Microsoft Edge, użyj tego zapytania do Microsoft Defender zdarzeń filtru SmartScreen:

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Możesz użyć wynikowej listy adresów URL i adresów IP, aby określić, co byłoby zablokowane, jeśli ochrona sieci jest ustawiona na tryb blokowania na urządzeniu. Możesz również zobaczyć, które funkcje blokują adresy URL i adresy IP. Przejrzyj listę, aby zidentyfikować adresy URL lub adresy IP, które są niezbędne dla danego środowiska. Następnie można utworzyć wskaźnik zezwalania dla tych adresów URL lub ADRESÓW IP. Zezwalaj na wskaźniki mają pierwszeństwo przed dowolnymi blokami. Zobacz Kolejność pierwszeństwa dla bloków ochrony sieci.

Po utworzeniu wskaźnika zezwalania na odblokowanie witryny można spróbować rozwiązać oryginalny blok w następujący sposób:

• SmartScreen: w razie potrzeby zgłoś wynik fałszywie dodatni
• Wskaźnik: modyfikowanie istniejącego wskaźnika
• MCA: przeglądanie niesankcjonowanych aplikacji
• WCF: ponowna kategoryzacja żądania

Aby uzyskać informacje o sposobie zgłaszania wyników fałszywie dodatnich w danych smartscreen, zobacz Raportowanie wyników fałszywie dodatnich.

Aby uzyskać szczegółowe informacje na temat tworzenia własnych raportów usługi Power BI, zobacz Tworzenie raportów niestandardowych przy użyciu usługi Power BI.

Konfigurowanie ochrony sieci

Aby uzyskać więcej informacji na temat włączania ochrony sieci, zobacz Włączanie ochrony sieci. Użyj zasady grupy, programu PowerShell lub dostawców CSP mdm, aby włączyć ochronę sieci w sieci i zarządzać nią.

Po włączeniu ochrony sieci może być konieczne skonfigurowanie sieci lub zapory w celu zezwolenia na połączenia między urządzeniami punktu końcowego i usługami internetowymi:

• .smartscreen.microsoft.com
• .smartscreen-prod.microsoft.com

Wymagana konfiguracja przeglądarki

W procesach innych niż Microsoft Edge usługa Network Protection określa w pełni kwalifikowaną nazwę domeny dla każdego połączenia HTTPS, sprawdzając zawartość uzgadniania protokołu TLS, które ma miejsce po uzgadnianiu protokołu TCP/IP. Wymaga to, aby połączenie HTTPS używało protokołu TCP/IP (nie UDP/QUIC) i aby komunikat ClientHello nie był szyfrowany. Aby wyłączyć funkcję QUIC i szyfrowaną funkcję Hello klienta w przeglądarce Google Chrome, zobacz QuicAllowed i EncryptedClientHelloEnabled. W przypadku przeglądarki Mozilla Firefox zobacz Disable EncryptedClientHello and network.http.http3.enable (Wyłączanie funkcji EncryptedClientHello i network.http.http3.enable).

Wyświetlanie zdarzeń ochrony sieci

Ochrona sieci działa najlepiej z Ochrona punktu końcowego w usłudze Microsoft Defender, co zapewnia szczegółowe raportowanie w ramach scenariuszy badania alertów.

Przeglądanie zdarzeń ochrony sieci w portalu Microsoft Defender

Usługa Defender for Endpoint udostępnia szczegółowe raporty dotyczące zdarzeń i bloków w ramach scenariuszy badania alertów. Te szczegóły można wyświetlić w portalu Microsoft Defender (https://security.microsoft.com) w kolejce alertów lub przy użyciu zaawansowanego wyszukiwania zagrożeń. Jeśli używasz trybu inspekcji, możesz użyć zaawansowanego wyszukiwania zagrożeń, aby zobaczyć, jak ustawienia ochrony sieci wpłyną na środowisko, jeśli zostaną włączone.

Przejrzyj zdarzenia ochrony sieci w systemie Windows Podgląd zdarzeń

Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia, które są tworzone, gdy ochrona sieci blokuje (lub przeprowadza inspekcje) dostęp do złośliwego adresu IP lub domeny:

1. Utwórz zapytanie XML.

2. Wybierz przycisk OK.

   Ta procedura tworzy widok niestandardowy, który filtruje tylko następujące zdarzenia związane z ochroną sieci:

   Identyfikator zdarzenia	Opis
   5007	Zdarzenie po zmianie ustawień
   1125	Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie inspekcji
   1126	Zdarzenie, gdy ochrona sieci jest uruchamiana w trybie bloku

Ochrona sieci i trójstopnie uzgadnianie protokołu TCP

W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy ochrona sieci blokuje lokację, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccessDeviceNetworkEvents akcji poniżej, mimo że witryna została zablokowana. DeviceNetworkEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania protokołu TCP/IP i uzgadnianiu protokołu TLS dostęp do lokacji jest dozwolony lub zablokowany przez ochronę sieci.

Oto przykład tego, jak to działa:

1. Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.

2. Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem DeviceNetworkEvents jest rejestrowana akcja, a jej ActionType nazwa jest wyświetlana jako ConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko.

3. W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno DeviceNetworkEvents i AlertEvidence. Widać, że witryna została zablokowana, mimo że masz DeviceNetworkEvents również element o typie ActionType .ConnectionSuccess

Zagadnienia dotyczące pulpitu wirtualnego systemu Windows uruchomionego Windows 10 Enterprise wielu sesjach

Ze względu na charakter wielu użytkowników Windows 10 Enterprise należy pamiętać o następujących kwestiach:

• Ochrona sieci jest funkcją dla całego urządzenia i nie może być przeznaczona dla określonych sesji użytkowników.
• Jeśli chcesz odróżnić grupy użytkowników, rozważ utworzenie oddzielnych pul hostów i przypisań usługi Windows Virtual Desktop.
• Przetestuj ochronę sieci w trybie inspekcji, aby ocenić jej zachowanie przed wdrożeniem.
• Rozważ zmiany rozmiaru wdrożenia, jeśli masz dużą liczbę użytkowników lub dużą liczbę sesji z wieloma użytkownikami.

Alternatywna opcja ochrony sieci

W przypadku Windows Server 2012 R2 i Windows Server 2016 przy użyciu nowoczesnego ujednoliconego rozwiązania Windows Server wersji 1803 lub nowszej oraz Windows 10 Enterprise multisesji 1909 i nowszych, używanych w programie Windows Virtual Desktop w Azure, ochronę sieci można włączyć przy użyciu następującej metody:

1. Użyj opcji Włącz ochronę sieci i postępuj zgodnie z instrukcjami, aby zastosować zasady.

2. Uruchom następujące polecenia programu PowerShell:

   Set-MpPreference -EnableNetworkProtection Enabled
   
   Set-MpPreference -AllowNetworkProtectionOnWinServer 1
   
   Set-MpPreference -AllowNetworkProtectionDownLevel 1
   
   Set-MpPreference -AllowDatagramProcessingOnWinServer 1
   

   Uwaga

   W zależności od infrastruktury, ilości ruchu i innych warunków Set-MpPreference -AllowDatagramProcessingOnWinServer 1 może mieć wpływ na wydajność sieci.

Ochrona sieci dla systemu Windows Server

Poniższe informacje są specyficzne dla systemu Windows Server.

Sprawdź, czy ochrona sieci jest włączona

Sprawdź, czy ochrona sieci jest włączona na urządzeniu lokalnym przy użyciu Edytora rejestru.

1. Wybierz przycisk Start na pasku zadań i wpisz regedit , aby otworzyć Edytor rejestru.

2. Wybierz pozycję HKEY_LOCAL_MACHINE z menu bocznego.

3. Przejdź przez zagnieżdżone menu doobszaru Zasady>oprogramowania>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

   Jeśli klucz nie jest obecny, przejdź do obszaru OPROGRAMOWANIE>Microsoft>Windows DefenderWindows Defender> Exploit Guard >Network Protection.

4. Wybierz pozycję EnableNetworkProtection , aby wyświetlić bieżący stan ochrony sieci na urządzeniu:

   • 0 = Wyłączone
   • 1 = Włączone (włączone)
   • 2 = Tryb inspekcji

Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci.

Klucze rejestru ochrony sieci

W przypadku Windows Server 2012 R2 i Windows Server 2016 przy użyciu nowoczesnego ujednoliconego rozwiązania Windows Server wersji 1803 lub nowszej oraz Windows 10 Enterprise multisesji 1909 i nowszych (używanych w programie Windows Virtual Desktop w Azure), włącz inne klucze rejestru w następujący sposób:

1. Przejdź do HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

2. Skonfiguruj następujące klucze:

   • AllowNetworkProtectionOnWinServer (DWORD) ustawiono na 1 (szesnastkowa)
   • EnableNetworkProtection (DWORD) ustawiono na 1 (szesnastkowa)
   • (Tylko w Windows Server 2012 R2 i Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) ustawiono na 1 (szesnastkowa)

   Uwaga

   W zależności od infrastruktury, natężenia ruchu i innych warunków HKEY_LOCAL_MACHINE>zasad>oprogramowania>Microsoft>Windows Defender> NISConsumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (szesnastkowa>) może mieć wpływ na wydajność sieci.

   Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci.

Konfiguracja systemu Windows Server i wielu sesji systemu Windows wymaga programu PowerShell

W przypadku systemów Windows Server i Windows Multi-session istnieją inne elementy, które należy włączyć przy użyciu poleceń cmdlet programu PowerShell. W przypadku Windows Server 2012 R2 i Windows Server 2016 przy użyciu nowoczesnego ujednoliconego rozwiązania Windows Server wersji 1803 lub nowszej oraz Windows 10 Enterprise multisesji 1909 i nowszych, używanych w programie Windows Virtual Desktop w Azureuruchom następujące polecenia programu PowerShell:

Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Rozwiązywanie problemów z ochroną sieci

Ze względu na środowisko, w którym działa ochrona sieci, funkcja może nie być w stanie wykryć ustawień serwera proxy systemu operacyjnego. W niektórych przypadkach klienci ochrony sieci nie mogą uzyskać dostępu do usługi w chmurze. Aby rozwiązać problem z łącznością, skonfiguruj statyczny serwer proxy dla programu antywirusowego Microsoft Defender.

Aby wyłączyć funkcję QUIC we wszystkich klientach, możesz zablokować ruch QUIC za pośrednictwem Zapory systemu Windows.

Wyłącz funkcję QUIC w zaporze systemu Windows

Ta metoda ma wpływ na wszystkie aplikacje, w tym przeglądarki i aplikacje klienckie (takie jak Microsoft Office). W programie New-NetFirewallRule PowerShell uruchom polecenie cmdlet, aby dodać nową regułę zapory, która wyłącza funkcję QUIC, blokując cały ruch wychodzący UDP do portu 443:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Optymalizowanie wydajności ochrony sieci

Ochrona sieci obejmuje optymalizację wydajności, która umożliwia block trybowi asynchroniczne sprawdzanie długotrwałych połączeń, co może zapewnić poprawę wydajności. Ta optymalizacja może również pomóc w rozwiązywaniu problemów ze zgodnością aplikacji. Ta funkcja jest domyślnie włączona.

Włączanie funkcji AllowSwitchToAsyncInspection przy użyciu dostawcy CSP

Dostawca CSP usługi Defender: Configuration/AllowSwitchToAsyncInspection

Włączanie inspekcji asynchronicznej za pomocą zasady grupy

Ta procedura umożliwia ochronę sieci w celu zwiększenia wydajności przez przejście z inspekcji w czasie rzeczywistym na inspekcję asynchroniczną.

1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy.

2. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

3. W edytorze zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera, a następnie wybierz pozycję Szablony administracyjne.

4. Rozwiń drzewo do składników> systemu Windows Microsoft Defendersystem inspekcji sieciantywirusowej>.

5. Kliknij dwukrotnie pozycję Włącz inspekcję asynchroniczną, a następnie ustaw opcję Włączone.

6. Wybierz przycisk OK.

Włączanie inspekcji asynchronicznej za pomocą programu antywirusowego Microsoft Defender PowerShell

Tę funkcję można włączyć za pomocą następującego polecenia programu PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $true

Zobacz też

• Ocena ochrony sieci | Podejmij się szybkiego scenariusza, który pokazuje, jak działa funkcja i jakie zdarzenia są zwykle tworzone.
• Włączanie ochrony sieci | Użyj zasady grupy, programu PowerShell lub dostawców CSP mdm, aby włączyć ochronę sieci w sieci i zarządzać nią.
• Konfigurowanie możliwości zmniejszania obszaru ataków w Microsoft Intune
• Ochrona sieci dla systemu Linux | Aby dowiedzieć się więcej na temat korzystania z ochrony sieci firmy Microsoft dla urządzeń z systemem Linux.
• Ochrona sieci dla systemu macOS | Aby dowiedzieć się więcej na temat ochrony sieci firmy Microsoft dla systemu macOS