概述
通过为 IP 和 URL 或域创建指示器,现在可以基于自己的威胁情报允许或阻止 IP、URL 或域。 还可以在用户打开有风险的应用时发出警告。 提示不会阻止他们使用应用;用户可以绕过警告,并根据需要继续使用应用。
若要阻止恶意 IP/URL,Defender for Endpoint 可以使用:
- 适用于Microsoft浏览器的 Windows Defender SmartScreen
- 非Microsoft浏览器和非浏览器进程的网络保护
用于阻止恶意 IP/URL 的默认威胁情报数据集由 Microsoft 管理。
可以通过配置“自定义网络指示器”来阻止其他恶意 IP/URL。
先决条件
在为 IP、URL 或域创建指标之前,请务必了解以下先决条件。
与 Microsoft 浏览器的集成由浏览器的 SmartScreen 设置控制。 对于其他浏览器和应用程序,你的组织必须具有:
Microsoft Defender在活动模式下配置的防病毒。
已启用行为监视。
基于云的保护 已启用。
反恶意软件客户端版本必须为
4.18.1906.x或更高版本。 请参阅 每月平台和引擎版本。
支持的操作系统
- Windows 11
- Windows 10版本 1709 或更高版本
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016运行 Defender for Endpoint 新式统一解决方案 (需要通过 MSI)
- Windows Server 2012运行 Defender for Endpoint 新式统一解决方案的 R2 (需要通过 MSI)
- Azure Stack HCI OS 版本 23H2 及更高版本
- macOS
- Linux
- iOS
- Android
网络保护要求
URL/IP 允许和阻止要求在块模式下启用Microsoft Defender for Endpoint组件网络保护。 有关网络保护和配置说明的详细信息,请参阅 启用网络保护。
自定义网络指示器要求
若要开始阻止 IP 地址和/或 URL,请在Microsoft Defender门户中启用“自定义网络指示器”功能。 此功能位于“设置终结点>常规>高级功能”>中。 有关详细信息,请参阅 高级功能。
有关 iOS 上的指示器支持,请参阅 iOS 上的Microsoft Defender for Endpoint。
有关 Android 上的指示器支持,请参阅 Android 上的Microsoft Defender for Endpoint。
指示器列表限制
只能将外部 IP 添加到指示器列表;无法为内部 IP 创建指示器。
非Microsoft Edge 和 Internet Explorer 进程
对于除 Microsoft Edge 和 Internet Explorer 以外的进程,Web 保护方案使用网络保护进行检查和执行:
- 所有三种协议都支持 IP 地址, (TCP、HTTP 和 HTTPS (TLS) )
- 仅支持单个 IP 地址, (自定义指示器中没有 CIDR 块或 IP 范围)
- 可以阻止任何浏览器或进程的 HTTP URL (包括完整 URL 路径)
- 可以在非Microsoft浏览器中阻止 (FQDN) 的 HTTPS 完全限定域名, (指定完整 URL 路径的指示器只能在 Microsoft Edge)
- 阻止非Microsoft浏览器中的 FQDN 要求在这些浏览器中禁用 QUIC 和加密客户端 Hello
- 只能通过Microsoft Edge 阻止通过 HTTP2 连接合并加载的 FQDN
- 如果存在冲突的 URL 指示器策略,则应用较长的路径。 例如,URL 指示器策略
https://support.microsoft.com/office优先于 URL 指示器策略https://support.microsoft.com。
网络保护实现
在非Microsoft Edge 进程中,网络保护通过检查 TCP/IP 握手后发生的 TLS 握手的内容来确定每个 HTTPS 连接的完全限定域名。 这要求 HTTPS 连接使用 TCP/IP (而不是 UDP/QUIC) 并且不加密 ClientHello 消息。 若要在 Google Chrome 中禁用 QUIC 和 Encrypted Client Hello,请参阅 QuicAllowed 和 EncryptedClientHelloEnabled。 对于 Mozilla Firefox,请参阅 Disable EncryptedClientHello and network.http.http3.enable。
在通过 TCP/IP 和任何 TLS 握手完成三向握手后,确定是允许还是阻止对站点的访问。 因此,当站点被网络保护阻止时,你可能会在Microsoft Defender门户中看到作类型ConnectionSuccessNetworkConnectionEvents,即使站点被阻止也是如此。
NetworkConnectionEvents 从 TCP 层而不是网络保护进行报告。 三向握手完成后,网络保护将允许或阻止对站点的访问。
下面是其工作原理的示例:
假设用户尝试访问其设备上的网站。 站点恰好托管在危险域中,应受到网络保护的阻止。
TCP/IP 握手开始。 在作完成之前,将记录作
NetworkConnectionEvents,并将其ActionType列为ConnectionSuccess。 但是,一旦 TCP/IP 握手过程完成,网络保护就会阻止对站点的访问。 这一切发生得很快。 Microsoft Defender SmartScreen 也发生了类似的过程;握手完成后,会做出确定,并阻止或允许访问站点。在Microsoft Defender门户中,警报队列中列出了一个警报。 该警报的详细信息包括
NetworkConnectionEvents和AlertEvents。 可以看到站点被阻止,即使你还有一个NetworkConnectionEventsActionType 为 的ConnectionSuccess项。
警告模式控件
使用警告模式时,可以配置以下控件:
旁路功能
- Microsoft Edge 中的“允许”按钮
- toast (非Microsoft浏览器上的“允许”按钮)
- 指示器上的绕过持续时间参数
- 绕过跨Microsoft和非Microsoft浏览器强制实施
重定向 URL
- 指示器上的重定向 URL 参数
- Microsoft Edge 中的重定向 URL
- 将 toast (非Microsoft浏览器上的重定向 URL)
有关详细信息,请参阅治理Microsoft Defender for Endpoint发现的应用。
指示 IP URL 和域策略冲突处理顺序
域/URL/IP 地址的策略冲突处理不同于证书的策略冲突处理。
例如,在同一指示器上设置了多个不同的作类型 (三个具有作类型的 Microsoft.com 指标 阻止、 警告和 允许) ,这些作类型的生效顺序为:
允许
警告
阻止
“Allow”替代“warn”,后者替代“block”,如下所示:AllowBlock>Warn>。 因此,在前面的示例中, Microsoft.com 将允许使用 。
Defender for Cloud Apps指示器
如果组织已启用 Defender for Endpoint 与 Defender for Cloud Apps 之间的集成,则会在 Defender for Endpoint 中为所有未批准的云应用程序创建阻止指示器。 如果应用程序处于监视模式,则会为与应用程序关联的 URL 创建警告指示器 (可绕过的阻止) 。 不会为批准的应用程序自动创建允许指示器。 由 Defender for Cloud Apps创建的指示器遵循上一部分所述的相同策略冲突处理。
策略优先级
Microsoft Defender for Endpoint策略优先于Microsoft Defender防病毒策略。 如果 Defender for Endpoint 设置为 Allow,但Microsoft Defender防病毒设置为 Block,则结果为 Allow。
多个活动策略的优先级
将多个不同的 Web 内容筛选策略应用于同一设备会导致对每个类别应用更严格的策略。 请考虑以下情况:
- 策略 1 阻止类别 1 和 2,并审核其余的
- 策略 2 阻止类别 3 和 4,并审核其余类别
结果是类别 1-4 全部被阻止。 下图演示了此方案。
从设置页为 IP、URL 或域创建指示器
在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。
选择 “IP 地址或 URL/域 ”选项卡。
选择 “添加项”。
指定以下详细信息:
- 指示器:指定实体详细信息并定义指示器的过期时间。
- 作:指定要执行的作并提供说明。
- 范围:指定应强制执行指示器的计算机组 () 。
查看“ 摘要 ”选项卡中的详细信息,然后选择“ 保存”。
重要
创建策略后,最长可能需要 48 小时才能在设备上阻止 URL 或 IP 地址。 在大多数情况下,块在两小时内生效。
相关文章
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。