想要體驗適用於端點的 Microsoft Defender 嗎? 註冊免費試用。
網路保護概述
網路保護有助於保護裝置,防止與惡意或可疑網站的連線。 危險網域的例子包括承載釣魚詐騙、惡意下載、科技詐騙或其他惡意內容的網域。 網路保護擴大了 SmartScreen Microsoft Defender 的範圍,阻擋所有試圖連接基於網域或主機名稱) (聲譽不佳來源的 HTTP (S) 流量。
網路保護將 網頁保護 的保護擴展到作業系統層級,並且是 WCF) 網頁 內容過濾 (核心元件。 它為其他支援的瀏覽器及非瀏覽器應用程式提供 Microsoft Edge 中的網頁保護功能。 網路保護同時提供入侵指標的可見性與阻擋 (IOCs) 與 端點偵測與回應配合使用時。 例如,網路保護會搭配你的 自訂指示器 來封鎖特定網域或主機名稱。
觀看此影片,了解網路保護如何幫助減少裝置遭受釣魚詐騙、漏洞利用及其他惡意內容的攻擊面:
提示
要開啟網路保護,請參見 「開啟網路保護」。
必要條件
支援的作業系統
- Windows
- macOS
- Linux
網路保護覆蓋範圍
下表總結了網路保護覆蓋區域:
| 功能 | Microsoft Edge | 非 Microsoft 瀏覽器 | 非瀏覽器程序 (例如,PowerShell) |
|---|---|---|---|
| 網路威脅防護 | 必須啟用 SmartScreen | 網路保護必須處於區塊模式 | 網路保護必須處於區塊模式 |
| 自訂指示器 | 必須啟用 SmartScreen | 網路保護必須處於區塊模式 | 網路保護必須處於區塊模式 |
| 網頁內容過濾 | 必須啟用 SmartScreen | 網路保護必須處於區塊模式 | 不支援 |
要確保 Microsoft Edge 啟用 SmartScreen,請使用 Edge 政策:SmartScreen 啟用。
注意事項
在 Windows 上,網路保護不會監控 Microsoft Edge。 對於 Microsoft Edge 和 Internet Explorer 以外的流程,網路保護場景會利用網路保護進行檢查與執行。 在 Mac 和 Linux 上,Microsoft Edge 瀏覽器僅整合網路威脅防護(Web Threat Protection)。 必須在封鎖模式下啟用網路保護,以支援 Edge 及其他瀏覽器的自訂指示器和網頁內容過濾。
已知問題 & 限制
- 三種協定皆支援 IP 位址 (TCP、HTTP 和 HTTPS, (TLS) )
- 僅支援單一 IP 位址 (自訂指示器中不) CIDR 區塊或 IP 範圍
- HTTP URL 包含完整的 URL 路徑, () 可被任何瀏覽器或程序封鎖
- HTTPS 完全限定的網域名稱 (FQDN) 可在非Microsoft瀏覽器中被封鎖 (而指定完整 URL 路徑的指示只能在邊緣Microsoft被阻擋)
- 在非 Microsoft 瀏覽器中封鎖 FQDN,必須在這些瀏覽器中停用 QUIC 和加密用戶端 Hello
- 透過 HTTP2 連線合併載入的 FQDN 只能在 Microsoft Edge 中被阻擋
- 網路保護會阻擋所有埠口的連線 (不只是 80 和 443) 。
從新增指示器/政策到封鎖匹配的 URL/IP 之間,通常會有長達兩小時的延遲 () 較短。
網路保護的需求
網路保護需要裝置運行以下其中一個作業系統:
- Windows 10 或 11 (Pro 或 Enterprise) (請參閱支援的 Windows 版本)
- Windows Server 2012 R2、Windows Server 2016 或 Windows Server 1803 或更新版本 (請參閱支援的 Windows 版本)
- macOS 版本 12 (Monterey) 或更新版本 (Mac 適用於端點的 Microsoft Defender)
- 支援的 Linux 版本 (適用於端點的 Microsoft Defender on Linux)
網路防護還需要啟用即時防護的 Microsoft Defender 防毒軟體。
| Windows 版本 | Microsoft Defender 防毒軟體 |
|---|---|
| Windows 10 版本 1709 或更新版本,Windows 11、Windows Server 1803 或更新版本 | 確保Microsoft Defender防毒即時防護、行為監控及雲端防護已啟用 (主動) |
| 使用現代統一解決方案的 Windows Server 2012 R2 與 Windows Server 2016 | 平台更新版本或更新版本4.18.2001.x.x |
為什麼網路保護很重要
網路保護是 適用於端點的 Microsoft Defender 攻擊面縮小解決方案群組的一部分。 網路保護使網路層能阻擋與網域及 IP 位址的連線。 預設情況下,網路保護會透過 SmartScreen 串流保護你的電腦免受已知惡意網域的侵害,該串流會以類似 Microsoft Edge 瀏覽器 SmartScreen 的方式阻擋惡意網址。 網路保護功能可擴展至:
- 封鎖你自己的威脅情報 (指標 中的 IP/URL 位址)
- 從 Microsoft Defender for Cloud Apps 封鎖未經授權的服務
- 根據分類 (網頁 內容過濾) 封鎖瀏覽器對網站的存取
提示
關於 Windows Server、Linux、macOS 及行動威脅防禦(Mobile Threat Defense) (MTD) 的網路防護細節,請參見「主動搜尋進階獵殺」威脅。
阻擋指揮與控制攻擊
指揮與控制 (C2) 伺服器用於向先前被惡意軟體入侵的系統發送指令。
C2 伺服器可用來啟動指令,這些指令可以:
- 竊取資料
- 控制系統被入侵的電腦在殭屍網路中
- 干擾合法申請
- 傳播惡意軟體,例如勒索軟體
Defender for Endpoint 的網路防護元件會利用機器學習、智慧入侵指標 (IoC) 識別等技術,識別並阻擋用於人工勒索軟體攻擊的 C2 伺服器連線。
網路保護:C2偵測與修復
勒索軟體已演變成一種複雜的威脅,具備人力驅動、適應性強,並聚焦於大規模結果,例如扣押整個組織的資產或資料作為勒索。
對指揮與控制伺服器 (C2) 的支援是勒索軟體演進的重要部分,也是這些攻擊能適應目標環境的關鍵。 切斷與指揮控制基礎設施的連結,可以阻止攻擊進入下一階段。 欲了解更多關於 C2 偵測與修復的資訊,請參閱 Tech Community 部落格:偵測與修復網路層的指令與控制攻擊。
網路保護:新增吐司通知
| 新地圖 | 反應類別 | 來源 |
|---|---|---|
phishing |
Phishing |
SmartScreen |
malicious |
Malicious |
SmartScreen |
command and control |
C2 |
SmartScreen |
command and control |
COCO |
SmartScreen |
malicious |
Untrusted |
SmartScreen |
by your IT admin |
CustomBlockList |
|
by your IT admin |
CustomPolicy |
注意事項
customAllowList 不會在端點上產生通知。
網路保護判定的新通知
當終端使用者嘗試在啟用網路保護的環境中造訪網站時,可能有三種情境,詳見下表:
| 案例 | 發生的情況 |
|---|---|
| 該網址享有良好聲譽 | 使用者可以無阻礙地存取,且端點上不會顯示吐司通知。 實際上,網域或網址被設定為 「允許」。 |
| 該網址的聲譽不明或不確定 | 使用者的存取被封鎖,但可以繞過 (解除封鎖) 。 實際上,網域或網址被設定為 審計。 |
| 該網址有著已知的壞 (惡意) 聲譽 | 使用者被阻止存取。 實際上,網域或網址被設定為 封鎖。 |
警告經驗
使用者造訪一個網站。 若網址聲譽不明或不確定,吐司通知會向使用者呈現以下選項:
- 好:吐司通知已發布 (移除) ,網站存取嘗試結束。
- 解鎖:使用者可於 24 小時內存取網站;此時封鎖會重新啟用。 使用者可以繼續使用 解除封鎖 存取網站,直到管理員禁止 (封鎖) 網站,從而移除解除 封鎖的選項。
- 回饋:吐司通知會給使用者一個連結,讓使用者可以提交工單,使用者可以用來向管理員提交回饋,試圖證明自己能進入該網站的理由。
注意事項
本文
warn展示的體驗block與體驗圖片均使用「blocked url」作為佔位文字範例。 在運作良好的環境中,實際的網址或網域會被列出。要接收此吐司通知,請在病毒 & 威脅防護通知中設定相應登錄檔金鑰,確保「檔案或活動被封鎖」選項已啟用:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Defender Security Center\Virus and threat protection\FilesBlockedNotificationDisabled = 0欲了解更多資訊,請參閱 Windows 安全性應用程式設定。
使用 CSP 來啟用 Convert warn verdict to block
預設情況下,惡意網站的 SmartScreen 判定會顯示警告,使用者可覆蓋此警告。 可以設定策略將警告轉換為封鎖,防止此類覆蓋。
非 Edge 瀏覽器請參見 Defender CSP: Configuration/EnableConvertWarnToBlock。
關於 Edge 瀏覽器,請參見 Edge 政策:防止 SmartScreen 提示覆寫。
使用群組原則來啟用「轉換警告判定」為封鎖
啟用此設定後,網路保護會阻擋網路流量,而非顯示警告。
在您的群組原則管理電腦,開啟 群組原則管理主控台。
右鍵點選你想設定的群組原則物件,然後選擇編輯。
在群組原則管理編輯器中,點選電腦設定,然後選擇管理範本。
將樹擴展為 Windows 元件>Microsoft Defender 防毒>網路檢查系統。
雙擊「 轉換警告判定」以封鎖 ,並將選項設為 啟用。
選取 [確定]。
區塊體驗
當使用者造訪網址聲譽不佳的網站時,吐司通知會向使用者呈現以下選項:
- 好:吐司通知已發布 (移除) ,網站存取嘗試結束。
- 回饋:吐司通知會給使用者一個連結,讓使用者可以提交工單,使用者可以用來向管理員提交回饋,試圖證明自己能進入該網站的理由。
您的安全營運團隊可以自訂顯示的 通知 ,包含您組織的詳細資訊和聯絡資訊。
智慧螢幕解除封鎖
透過 Defender for Endpoint 中的指示器,管理員可以允許終端使用者繞過某些 URL 和 IP 產生的警告。 根據 URL 被封鎖的原因,當遇到 SmartScreen 封鎖時,使用者可能有能力解除網站封鎖,長達 24 小時。 此時會顯示 Windows 安全性吐司通知,允許使用者選擇解除封鎖。 在這種情況下,該 URL 或 IP 會在指定期間內解除封鎖。
適用於端點的 Microsoft Defender 管理員可透過允許 IP 的 IP、URL 與網域指示器,解除 Microsoft Defender 入口中任何 URL 的封鎖。
請參見 「建立 IP 及 URL/網域指標」。
使用網路保護
網路保護是針對裝置啟用的,通常透過你的管理基礎設施來完成。 關於支援的方法,請參見 開啟網路保護。
注意事項
Microsoft Defender 防毒軟體必須處於主動模式才能啟用網路保護。
你可以啟用網路保護,選擇模式 audit 或 block 模式。 如果你想在實際封鎖 IP 位址或 URL 之前評估啟用網路保護的影響,可以在 稽核模式下啟用網路保護。 審計模式會在終端使用者連接到原本會被網路保護封鎖的地址或網站時進行日誌記錄。 要強制封鎖自訂指標或網頁內容過濾類別,必須開啟 block 網路保護模式。
關於 Linux 和 macOS 網路保護的資訊,請參閱以下文章:
進階搜捕
如果你用進階搜尋來識別稽核事件,控制台最多可以取得 30 天的歷史紀錄。 參見進階狩獵。
您可以在 Defender for Endpoint 入口網站的 Advanced Hunting (https://security.microsoft.com) 中找到稽核事件。
審計事件位於 DeviceEvents 中,ActionType 為 ExploitGuardNetworkProtectionAudited。 區塊以 ActionType ExploitGuardNetworkProtectionBlocked顯示。
以下是一個用於查看非 Microsoft 瀏覽器網路保護事件的範例查詢:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
提示
這些條目在 AdditionalFields 欄位中提供更多相關資訊,包括 IsAudit、 ResponseCategory 和 DisplayName 等欄位。
這裡還有另一個例子:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
反應類別告訴你事件的成因,如同這個例子所示:
| 回應類別 | 負責此事件的特色 |
|---|---|
CustomPolicy |
WCF |
CustomBlockList |
自訂指示器 |
CasbPolicy |
Defender for Cloud Apps |
Malicious |
網路威脅 |
Phishing |
網路威脅 |
欲了解更多資訊,請參閱 故障排除端點區塊。
如果你使用 Microsoft Edge 瀏覽器,請使用以下查詢來查詢 Microsoft Defender SmartScreen 事件:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
你可以利用這些 URL 和 IP 清單來判斷,如果裝置上的網路保護設定為封鎖模式,哪些會被封鎖。 你也可以看到哪些功能會阻擋 URL 和 IP。 檢視清單,找出對你的環境必要的 URL 或 IP。 接著你可以為這些 URL 或 IP 位址建立允許指示器。 允許指示器優先於任何區塊。 請參閱 網路保護區塊的優先順序。
建立允許指示器以解除封鎖網站後,您可以嘗試以下方式解決原始封鎖:
- SmartScreen:如適當,請回報誤報
- 指示器:修改現有指示器
- MCA:審核未經授權的申請
- WCF:請求重新分類
關於如何在 SmartScreen 資料中報告誤報的資訊,請參見「報告誤報」。
關於如何建立自己的 Power BI 報表詳情,請參見 「使用 Power BI 建立自訂報表」。
網路保護配置
欲了解更多如何啟用網路保護的資訊,請參閱 啟用網路保護。 使用群組原則、PowerShell 或 MDM CSP 來啟用並管理網路保護。
啟用網路保護後,您可能需要設定網路或防火牆,允許終端裝置與網路服務之間的連線:
.smartscreen.microsoft.com.smartscreen-prod.microsoft.com
所需瀏覽器設定
在非 Microsoft Edge 流程中,網路保護會透過檢查 TCP/IP 握手後發生的 TLS 握手內容,判定每個 HTTPS 連線的完整資格網域名稱。 這需要 HTTPS 連線使用 TCP/IP (而非 UDP/QUIC) ,且 ClientHello 訊息不得加密。 要在 Google Chrome 中停用 QUIC 和 Encrypted Client Hello,請參見 QuicAllowed 和 EncryptedClientHelloEnabled。 關於 Mozilla Firefox,請參見 Disable EncryptedClientHello 和 network.http.http3.enable。
觀看網路保護事件
網路保護在 適用於端點的 Microsoft Defender 上運作最佳,該系統在警報調查情境中提供詳細報告。
檢視 Microsoft Defender 入口網站中的網路保護事件
Defender for Endpoint 在其 警示調查情境中,提供事件與區塊的詳細報告。 你可以在Microsoft Defender入口網站查看這些細節 () https://security.microsoft.com 警報佇列,或使用進階狩獵功能。 如果你使用 審計模式,可以用進階搜尋來查看如果啟用網路保護設定會如何影響你的環境。
在 Windows 事件檢視器中檢閱網路保護事件
你可以查看 Windows 事件日誌,看看當網路防護阻擋 (或稽核) 惡意 IP 或網域存取時所產生的事件:
選取 [確定]。
此程序建立一個自訂檢視,篩選出僅顯示與網路保護相關的以下事件:
事件識別碼 描述 5007變更設定時的事件 1125當網路保護在稽核模式下觸發時的事件 1126當網路保護在區塊模式下觸發時的事件
網路保護與 TCP 三方握手
在網路保護下,決定是否允許或阻擋對網站的存取,是在 透過 TCP/IP 完成三方握手後進行的。 因此,當網路保護封鎖網站時,即使網站已被封鎖,你仍可能在 Microsoft Defender 入口網站看到一個動作類型ConnectionSuccessDeviceNetworkEvents。
DeviceNetworkEvents 這些數據來自 TCP 層,而非來自網路保護。 TCP/IP 握手完成後,或透過網路保護封鎖,存取網站將被允許或封鎖。
這裡有一個運作的範例:
假設使用者嘗試存取一個網站。 該網站恰巧托管在一個危險的網域上,應該透過網路保護來封鎖。
透過 TCP/IP 進行三方握手。 在完成前,會記錄一個
DeviceNetworkEvents動作,並ActionType被列為ConnectionSuccess。 然而,一旦三方握手程序完成,網路保護就會封鎖對該站點的存取。 這一切都發生得很快。在 Microsoft Defender 入口網站中,警示佇列中會列出一個警示。 該警報的詳細資訊包括
DeviceNetworkEvents和AlertEvidence。 你可以看到該網站被封鎖了,儘管你也有DeviceNetworkEvents一個 ActionType 是ConnectionSuccess的項目。
針對運行 Windows 10 企業版多會話的 Windows 虛擬桌面的考量
由於 Windows 10 企業版具備多使用者特性,請留意以下幾點:
- 網路保護是裝置範圍的功能,無法針對特定使用者會話進行。
- 如果你需要區分使用者群組,可以考慮建立獨立的 Windows Virtual Desktop 主機池和指派。
- 在部署前,請以稽核模式測試網路保護,以評估其行為。
- 如果你有大量使用者或多使用者會話,考慮調整部署規模。
網路保護的替代選項
針對使用 Windows Server 2012 R2 及 Windows Server 2016,使用現代統一解決方案的 Windows Server 1803 或更新版本,以及 Windows 10 企業版多重工作階段 1909 及以後版本,這些版本用於 Azure 上的 Windows 虛擬桌面,網路保護可透過以下方法啟用:
請使用 「開啟網路保護 」,並依指示套用您的保單。
執行以下 PowerShell 指令:
Set-MpPreference -EnableNetworkProtection Enabled Set-MpPreference -AllowNetworkProtectionOnWinServer 1 Set-MpPreference -AllowNetworkProtectionDownLevel 1 Set-MpPreference -AllowDatagramProcessingOnWinServer 1注意事項
根據你的基礎設施、流量量及其他條件,
Set-MpPreference -AllowDatagramProcessingOnWinServer 1都會影響網路效能。
Windows 伺服器的網路保護
以下資訊僅限於 Windows 伺服器。
確認網路保護是否已啟用
使用登錄檔編輯器確認本地裝置是否啟用了網路保護。
在工作列中選擇 開始 按鈕,輸入
regedit以開啟登錄檔編輯器。從側邊選單選擇 HKEY_LOCAL_MACHINE 。
透過巢狀選單前往>軟體政策>、Microsoft>、Windows Defender>、Windows Defender Exploit Guard>網路保護。
如果沒有金鑰,請前往 軟體>Microsoft>Windows Defender>Windows Defender Exploit Guard>網路保護。
選擇 EnableNetworkProtection 以查看裝置目前的網路保護狀態:
-
0= 關掉 -
1= 啟用 () -
2= 審計模式
-
欲了解更多資訊,請參閱 開啟網路保護。
網路保護登錄金鑰
對於使用 Windows Server 2012 R2 和 Windows Server 2016,使用現代統一解決方案的 Windows Server 1803 或更新版本,以及 Windows Virtual Desktop Windows 10 企業版 1909 及以後版本的多會話 (Azure) ,啟用其他登錄檔金鑰,如下:
前往Windows Defender>Microsoft>HKEY_LOCAL_MACHINE>> 軟體Exploit Guard>網路保護。
請設定以下金鑰:
-
AllowNetworkProtectionOnWinServer(DWORD) 設定為1(十六進位) -
EnableNetworkProtection(DWORD) 設定為1(十六進位) - (在Windows Server 2012 R2 和 Windows Server 2016 上,只有)
AllowNetworkProtectionDownLevel(DWORD) 設定為1(十六進位)
注意事項
根據你的基礎設施、流量量及其他條件,HKEY_LOCAL_MACHINE>Windows Defender>NIS>消費者>IPS - 允許資料報處理 (dword) 1 (十六進位) Microsoft> 的軟體>政策>會影響網路效能。
欲了解更多資訊,請參閱 開啟網路保護。
-
Windows 伺服器與 Windows 多重工作階段設定需要 PowerShell
對於 Windows 伺服器和 Windows 多重工作階段,還有其他功能必須透過使用 PowerShell 指令列啟用。 對於使用 Windows Server 2012 R2 和 Windows Server 2016(使用現代統一解決方案、Windows Server 1803 或更新版本)以及 Windows 10 企業版多重工作階段 1909 及以後版本(用於 Azure 上的 Windows 虛擬桌面)的 Windows 10 企業版 1909 及以後版本,執行以下程序PowerShell 指令:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注意事項
根據你的基礎設施、流量量及其他條件, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 都可能影響網路效能。
網路保護故障排除
由於網路保護所運作的環境,此功能可能無法偵測作業系統代理設定。 在某些情況下,網路保護用戶端無法連接雲端服務。 要解決連線問題,請為 Microsoft Defender 防毒軟體設定一個靜態代理。
注意事項
加密用戶端 Hello 與 QUIC 協定不支援網路保護功能。 請確保這些協定在瀏覽器中依上述 「必要瀏覽器設定 」所描述被停用。
要在所有用戶端停用 QUIC,可以透過 Windows 防火牆阻擋 QUIC 流量。
在 Windows 防火牆中停用 QUIC
此方法影響所有應用程式,包括瀏覽器及用戶端應用程式 (如 Microsoft Office) 。 在 PowerShell 中執行 New-NetFirewallRule cmdlet,新增一條防火牆規則,透過阻擋所有 UDP 流量到 443 埠來停用 QUIC:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
優化網路保護效能
網路保護包含效能優化,允許 block 模式非同步檢查長壽命連線,這可能帶來效能提升。 這種優化也能幫助解決應用程式相容性問題。 此功能預設開啟。
使用 CSP 啟用 AllowSwitchToAsyncInspection
使用群組原則來啟用「開啟非同步檢查」
此程序使網路保護能透過從即時檢查轉換為非同步檢查來提升效能。
在您的群組原則管理電腦,開啟 群組原則管理主控台。
右鍵點選你想設定的群組原則物件,然後選擇編輯。
在群組原則管理編輯器中,點選電腦設定,然後選擇管理範本。
將樹擴展為 Windows 元件>Microsoft Defender 防毒>網路檢查系統。
雙擊 「開啟非同步檢查」,然後將選項設為 啟用。
選取 [確定]。
使用 Microsoft Defender 防毒軟體 Powershell 來啟用非同步檢查
您可以使用以下 PowerShell 指令開啟此功能:
Set-MpPreference -AllowSwitchToAsyncInspection $true
另請參閱
- 評估網路保護 |請進行一個快速情境,示範該功能如何運作,以及通常會產生哪些事件。
- 啟用網路保護 |使用群組原則、PowerShell 或 MDM CSP 來啟用並管理網路保護。
- 在 Microsoft Intune 中配置攻擊面減少功能
- Linux 網路保護 |了解如何使用 Microsoft 網路保護來保護 Linux 裝置。
- macOS 網路保護 |想了解更多關於 Microsoft 網路保護的 macOS 資訊
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。