概觀
透過建立 IP 和 URL 或網域的指標,您現在可以根據自己的威脅情報允許或封鎖 IP、URL 或網域。 您也可以在使用者開啟有風險的應用程式時發出警告。 提示不會阻止他們使用該應用程序;用戶可以繞過警告並根據需要繼續使用該應用程序。
若要封鎖惡意 IP/URL,適用於端點的 Defender 可以使用:
- 適用於 Microsoft 瀏覽器的 Windows Defender SmartScreen
- 非 Microsoft 瀏覽器和非瀏覽器進程的網路保護
封鎖惡意 IP/URL 的預設威脅情報資料集是由 Microsoft 管理。
您可以透過設定「自訂網路指標」來封鎖其他惡意 IP/URL。
必要條件
在建立 IP、URL 或網域的指標之前,請務必瞭解下列必要條件。
與 Microsoft 瀏覽器的整合是由瀏覽器的 SmartScreen 設定所控制。 對於其他瀏覽器和應用程式,您的組織必須具備:
以作用中模式設定的 Microsoft Defender 防病毒軟體。
已啟用行為監控。
雲端式保護已開啟。
反惡意程式碼用戶端版本必須是或
4.18.1906.x更新版本。 請參閱 每月平台和引擎版本。
支援的作業系統
- Windows 11
- Windows 10 版本 1709 或更新版本。
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016執行適用於端點的 Defender 新式統一解決方案 (需要透過 MSI) 安裝
- Windows Server 2012執行適用於端點的 Defender 新式統一解決方案的 R2 (需要透過 MSI) 安裝
- Azure Stack HCI OS 版本 23H2 和更新版本
- macOS
- Linux
- iOS
- Android
網路保護需求
URL/IP 允許和封鎖需要在封鎖模式中啟用適用於端點的 Microsoft Defender 元件網路保護。 如需網路保護和設定指示的詳細資訊,請參閱 啟用網路保護。
自訂網路指標需求
若要開始封鎖 IP 位址和/或 URL,請在 Microsoft Defender 入口網站中開啟「自訂網路指標」功能。 此功能可在 設定>端點>一般>進階功能中找到。 如需詳細資訊,請參閱 進階功能。
如需 iOS 上指標的支援,請參閱 iOS 上的適用於端點的 Microsoft Defender。
如需 Android 上指標的支援,請參閱 Android 上的適用於端點的 適用於端點的 Microsoft Defender。
指標清單限制
指標清單只能新增外部IP;無法為內部 IP 建立指標。
非 Microsoft Edge 和 Internet Explorer 進程
針對 Microsoft Edge 和 Internet Explorer 以外的程式,Web 保護案例會使用網路保護進行檢查和強制執行:
- TCP、HTTP 和 HTTPS (TLS) ) 的所有三種通訊協定都支援 IP 位址 (
- 僅支援單一 IP 位址 (自訂指標中沒有 CIDR 區塊或 IP 範圍)
- HTTP URL (包含完整 URL 路徑) 可以針對任何瀏覽器或進程封鎖
- 可以在非 Microsoft 瀏覽器中封鎖 (FQDN) 的 HTTPS 完整網域名稱 (指定完整 URL 路徑的指示器只能在 Microsoft Edge) 中封鎖
- 在非 Microsoft 瀏覽器中封鎖 FQDN 需要在這些瀏覽器中停用 QUIC 和加密用戶端 Hello
- 透過 HTTP2 連線合併載入的 FQDN 只能在 Microsoft Edge 中封鎖
- 如果存在衝突的 URL 指標原則,則會套用較長的路徑。 例如,URL 指標原則
https://support.microsoft.com/office優先於 URL 指標原則https://support.microsoft.com。
網路保護實作
在非 Microsoft Edge 程式中,網路保護會檢查 TCP/IP 交握之後發生的 TLS 交握內容,以判斷每個 HTTPS 連線的完整網域名稱。 這需要HTTPS連線使用TCP/IP (而不是UDP/QUIC) ,並且ClientHello訊息未加密。 若要在 Google Chrome 中停用 QUIC 和加密用戶端 Hello,請參閱 QuicAllowed 和 EncryptedClientHelloEnabled。 對於 Mozilla Firefox,請參閱 停用 EncryptedClientHello 和 network.http.http3.enable。
在 透過 TCP/IP 及任何 TLS 握手完成三向握手 之後,會決定是否容許或封鎖對網站的存取。 因此,當網站遭到網路保護封鎖時,即使網站已封鎖,您仍可能會在 Microsoft Defender 入口網站中看到動作類型 ConnectionSuccess underNetworkConnectionEvents。
NetworkConnectionEvents 從 TCP 層報告,而不是從網路保護報告。 三向握手完成後,網路保護允許或阻止對網站的存取。
以下是其運作方式的範例:
假設使用者嘗試在其裝置上存取網站。 該網站恰好託管在一個危險域上,應該通過網絡保護來阻止它。
TCP/IP 握手開始。 在完成之前,會記錄動作
NetworkConnectionEvents,並將其ActionType列為ConnectionSuccess。 不過,一旦 TCP/IP 交握程序完成,網路保護就會封鎖對網站的存取。 所有這些都發生得很快。 Microsoft Defender SmartScreen 也會發生類似的程式;握手完成後,會做出判斷,並封鎖或允許存取網站。在 Microsoft Defender 入口網站中,警示佇列中會列出警示。 該警報的詳細信息包括
NetworkConnectionEvents和AlertEvents。 您可以看到網站已被封鎖,即使您也有NetworkConnectionEventsActionType 為ConnectionSuccess的項目。
警告模式控制項
使用警告模式時,您可以設定下列控制項:
繞過能力
- Microsoft Edge 中的允許按鈕
- 快顯通知上的允許按鈕 (非Microsoft瀏覽器)
- 指標上的旁路持續時間參數
- 略過跨 Microsoft 和非 Microsoft 瀏覽器的強制執行
重新導向網址
- 指標上的重新導向URL參數
- 在 Microsoft Edge 中重新導向 URL
- Toast 上的重新導向 URL (非Microsoft瀏覽器)
如需詳細資訊,請參閱 控管適用於端點的 Microsoft Defender探索到的應用程式。
指標IP URL和網域原則衝突處理順序
網域/URL/IP 位址的原則衝突處理與憑證的原則衝突處理不同。
例如,如果在同一 (個指標上設定了多個不同的動作類型,例如,三個指標用於 Microsoft.com 動作類型 block、 warn 和 allow) ,則這些動作類型的生效順序為:
允許
誡
封鎖
“允許”會覆寫“warn”,而“warn”會覆寫“block”,如下所示: AllowBlock>Warn>。 因此,在上一個範例中,會允許。 Microsoft.com
Defender for Cloud Apps指標
如果您的組織已啟用適用於端點的 Defender 與 Defender for Cloud Apps 之間的整合,則會在適用於端點的 Defender 中針對所有未經核准的雲端應用程式建立封鎖指標。 如果應用程式處於監視模式,則會針對與應用程式相關聯的 URL 建立警告指示器 (可略過的區塊) 。 不會為核准的應用程式自動建立允許指標。 Defender for Cloud Apps 所建立的指標會遵循上一節所述的相同原則衝突處理。
原則優先順序
適用於端點的 Microsoft Defender 原則優先於 Microsoft Defender 防病毒軟體原則。 在適用於端點的 Defender 設定為 Allow,但 Microsoft Defender 防病毒軟體設定為 Block的情況下,結果是 Allow。
多個作用中原則的優先順序
將多個不同的 Web 內容過濾策略應用於同一裝置會導致對每個類別應用的策略更具限制性。 請試想下列案例:
- 原則 1 會封鎖類別 1 和類別 2,並稽核其餘部分
- 原則 2 會封鎖類別 3 和 4,並稽核其餘部分
結果是類別 1-4 全部被封鎖。 此案例如下圖所示。
從設定頁面建立 IP、URL 或網域的指標
在導覽窗格中,選取 [規則) ] 底下的 [設定>][端點]>[指標 (]。
選取 IP 位址或 URL/網域 索引標籤。
選取 [新增專案]。
指定下列詳細資料:
- 指標:指定實體詳細資料,並定義指標的到期時間。
- 動作:指定要採取的動作並提供說明。
- 範圍:指定應強制執行指示器的電腦群組 () 。
檢閱 [摘要] 索引標籤中的詳細資料,然後選取 [ 儲存]。
重要事項
建立原則之後,最多可能需要 48 小時才能在裝置上封鎖 URL 或 IP 位址。 在大多數情況下,區塊會在兩小時內生效。
相關文章
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。