網路保護 有助於防止員工使用任何應用程式存取可能在網際網路上託管網路釣魚詐騙、漏洞和其他惡意內容的危險網域。 您可以在測試環境中 稽核網路保護 ,以檢視在啟用網路保護之前會封鎖哪些應用程式。
必要條件
支援的作業系統
- Windows
- Linux (請參閱 Linux) 的網路保護
- macOS (請參閱 macOS) 的網路保護
啟用網路保護
若要啟用網路保護,您可以使用本文中所述的任何方法。
適用於端點的 Microsoft Defender 安全性設定管理
建立端點安全性原則
至少使用指派的安全性系統管理員角色登入 Microsoft Defender 入口網站。
移至 端點>設定管理>端點安全性原則,然後選取 建立 新原則。
在 [選取平臺] 底下,選取 [Windows 10]、[Windows 11] 和 [Windows Server]。
在 [選取範本] 底下,選取 [Microsoft Defender 防病毒軟體],然後選取 [建立原則]。
在 [基本] 頁面上,輸入新設定檔的名稱與描述,然後選擇 [下一步]。
在 [ 設定 ] 頁面上,展開每個設定群組,並設定您要使用此設定檔管理的設定。
Windows 用戶端上的網路保護:
描述 設定 啟用網路保護 選項:
- 啟用 (封鎖模式) 需要封鎖模式才能封鎖 IP 位址/URL 指示器和 Web 內容篩選。
- 已啟用 (稽核模式)
- 已停用 (預設)
- 未設定Windows Server 2012 R2 和 Windows Server 2016 上的網路保護,請使用下表中列出的其他原則:
描述 設定 允許網路保護下層 選項:
- 網路保護將啟用下層。
- 網路保護將在下層停用。 (Default)
- 未設定Windows 和 Windows Server 的選擇性網路保護設定:
警告
停用設定
Allow Datagram Processing On WinServer。 這對於產生大量 UDP 流量的任何角色都很重要,例如網域控制站、Windows DNS 伺服器、Windows 檔案伺服器、Microsoft SQL 伺服器、Microsoft Exchange 伺服器等。 在這些情況下啟用資料包處理可能會降低網路效能和可靠性。 停用它有助於保持網路穩定,並確保在高需求環境中更好地利用系統資源。描述 設定 允許在 Win Server 上進行數據包處理 - 已啟用 Windows Server 上的資料包處理。
- Windows Server上的資料包處理已停用 (預設,建議) 。
- 未配置停用 DNS over TCP 剖析 - DNS over TCP 剖析已停用。
- DNS over TCP 剖析 (預設) 啟用。
- 未配置停用 HTTP 剖析 - 已停用 HTTP 剖析。
- HTTP 剖析 (預設) 啟用。
- 未配置停用 SSH 剖析 - SSH 剖析已停用。
- SSH 剖析 (預設) 啟用。
- 未配置停用 TLS 剖析 - 已停用 TLS 剖析。
- TLS 剖 (啟用預設) 。
- 未配置[已棄用]啟用 DNS Sinkhole - DNS Sinkhole 已停用。
- DNS Sinkhole 已啟用。 (Default)
- 未配置
完成設定後,請選取 [下一步]。
在 [指派] 頁面上,選取將接收此設定檔的群組。 然後選取 [下一步]。
在檢閱 + 建立頁面上,檢閱資訊,然後選取儲存。
新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。
Microsoft Intune
適用於端點的 Microsoft Defender 基準方法
移至 端點安全性>安全性基準>適用於端點的 Microsoft Defender 基準。
選取 [ 建立設定檔],然後提供設定檔的名稱,然後選取 [下一步]。
在 [ 組態設定 ] 區段中,移至 [ 受攻擊面縮小規則> ] ,針對 [ 啟用網路保護 ] 設定 [封鎖]、[啟用] 或 [稽核]。 選取 [下一步]。
根據組織的要求,選取適當的 範圍標籤 和 指派 。
檢閱所有資訊,然後選取 [建立]。
防毒原則方法
移至 端點安全性>防毒軟體。
選取 [建立原則]。
在 [ 建立原則 ] 飛出視窗中,從 [ 平臺 ] 清單中選擇 [Windows 10]、[Windows 11] 和 [Windows Server]。
從 [配置檔] 清單中選擇 [Microsoft Defender 防病毒軟體],然後選擇 [建立]。
提供設定檔的名稱,然後選取 [ 下一步]。
在 [ 組態設定 ] 區段中,選取 [已停用]、[ 已啟用 (封鎖) 模式 ] 或 [啟用 (稽核模式 (Enabled audit mode) 針對 [啟用網路保護]) 選取 [ 下一步]。
根據組織的要求,選取適當的 指派 和 範圍標籤 。
檢閱所有資訊,然後選取 [建立]。
配置設定檔方法
登入 Microsoft Intune 系統管理中心 (https://intune.microsoft.com) 。
移至 裝置>組態設定檔 建立>設定檔。
在 [ 建立設定檔 ] 飛出視窗中,選取 [ 平臺 ],然後選擇 [ 設定檔類型 ] 作為 [範本]。
在 [範本名稱] 中,從範本清單中選擇 [端點保護 ],然後選取 [建立]。
移至 [端點保護>基本概念],提供設定檔的名稱,然後選取 [ 下一步]。
在 [ 組態設定 ] 區段中,移至 [ Microsoft Defender Exploit Guard>網路篩選>網路保護>啟用 ] 或 [ 稽核]。 選取 [下一步]。
根據組織的要求,選取適當的 範圍標籤、 指派和 適用性規則 。 管理員可以設定更多需求。
檢閱所有資訊,然後選取 [建立]。
行動裝置管理 (MDM)
使用 EnableNetworkProtection 組態服務提供者 (CSP) 來開啟或關閉網路保護,或啟用稽核模式。
在開啟或關閉網路保護之前,請先將 Microsoft Defender 反惡意代碼平臺更新至最新版本。
群組原則
使用下列程序,在已加入網域的電腦或獨立電腦上啟用網路保護。
在獨立電腦上,移至 [ 開始] ,然後輸入並選取 [編輯群組原則]。
-或-
在已加入網域的群組原則管理電腦上,開啟群組原則管理主控台。 以滑鼠右鍵按一下您要設定的群組原則物件,然後選取 [編輯]。
在 [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]。
將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>Microsoft Defender Exploit Guard>網路保護。
在舊版 Windows 上,群組原則路徑可能具有 Windows Defender 防毒軟體,而不是 Microsoft Defender 防毒軟體。
按兩下防止 使用者和應用程式存取危險網站設定 ,並將選項設定為 已啟用。 在選項區段中,您必須指定下列其中一個選項:
- 封鎖 - 使用者無法存取惡意 IP 位址和網域。
- 停用 (預設) - 網路保護功能將無法運作。 不會阻止使用者存取惡意網域。
- 稽核模式 - 如果使用者造訪惡意 IP 位址或網域,則會在 Windows 事件記錄檔中記錄事件。 不過,不會封鎖使用者造訪該地址。
重要事項
若要完全啟用網路保護,您必須將群組原則選項設定為已啟用,並在選項下拉式功能表中選取封鎖。
(此步驟是選擇性的。) 請遵循檢查是否已啟用網路保護中的步驟,以確認您的群組原則設定正確無誤。
Microsoft Configuration Manager
開啟組態管理員主控台。
移至 [資產和合規性>端點保護>]Windows Defender 惡意探索防護。
從功能區選取 [ 建立惡意探索防護原則 ] 以建立新的原則。
若要編輯現有的原則,請選取原則,然後從功能區或滑鼠右鍵功能表中選取 [屬性 ]。 從 [網路保護] 索引標籤中編輯 [設定網路保護] 選項。
在 [ 一般 ] 頁面上,指定新原則的名稱,並確認 [ 網路保護 ] 選項已啟用。
在 [ 網路保護 ] 頁面上,針對 [ 設定網路保護 ] 選項選取下列其中一個設定:
- 封鎖
- 稽核
- Disabled
完成其餘步驟,並儲存原則。
從功能區中,選取 [部署] 以將原則部署至集合。
PowerShell
在您的 Windows 裝置上,按一下 [開始],輸入
powershell,以滑鼠右鍵按一下 Windows PowerShell,然後選取 [以系統管理員身分執行]。執行下列 Cmdlet:
Set-MpPreference -EnableNetworkProtection Enabled針對 Windows Server,請使用下表中列出的其他命令:
Windows Server 版本 命令 Windows Server 2019 和更新版本 set-mpPreference -AllowNetworkProtectionOnWinServer $trueWindows Server 2016
Windows Server 2012 R2 與 適用於端點的 Microsoft Defender 的統一代理set-MpPreference -AllowNetworkProtectionDownLevel $true
set-MpPreference -AllowNetworkProtectionOnWinServer $true
重要事項
停用「AllowDatagramProcessingOnWinServer」設定。 這對於產生大量 UDP 流量的任何角色都很重要,例如網域控制站、Windows DNS 伺服器、Windows 檔案伺服器、Microsoft SQL 伺服器、Microsoft Exchange 伺服器等。 在這些情況下啟用資料包處理可能會降低網路效能和可靠性。 停用它有助於保持網路穩定,並確保在高需求環境中更好地利用系統資源。
(此步驟是選擇性的。) 若要將網路保護設定為稽核模式,請使用下列 Cmdlet:
Set-MpPreference -EnableNetworkProtection AuditMode若要關閉網路保護,請使用
Disabled參數而不是AuditMode或Enabled。
檢查是否啟用了網路保護
您可以使用登錄編輯器檢查網路保護的狀態。
選取工作列中的 [開始] 按鈕,然後輸入
regedit。 在結果清單中,選取 [登錄編輯器] 以開啟它。從側邊功能表中選擇 HKEY_LOCAL_MACHINE 。
瀏覽巢狀功能表至 [軟體>原則>]Microsoft>Windows Defender>原則管理員。
如果金鑰遺失,請導覽至 軟體>Microsoft>Windows Defender>Windows Defender Exploit Guard>網路保護。
選取 [ EnableNetworkProtection ] 以查看裝置上網路保護的目前狀態:
- 0 或 關閉
- 1 或 On
- 2,或 稽核 模式
從裝置移除 Exploit Guard 設定的重要資訊
當您使用 Configuration Manager 部署惡意探索防護原則時,即使您稍後移除部署,設定仍會保留在用戶端上。 如果移除部署,則檔案中ExploitGuardHandler.log不支援用戶端記錄Delete。
在內容中使用 SYSTEM 下列 PowerShell 腳本來正確移除 Exploit Guard 設定:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。