Hálózati védelem használata a rosszindulatú vagy gyanús webhelyekhez való csatlakozás megakadályozásához

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. és 2. csomag
• Microsoft Defender XDR
• Microsoft Defender víruskereső

Platformok

• A Windows
• macOS
• Linux

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráljon az ingyenes próbaverzióra.

A hálózatvédelem áttekintése

A hálózatvédelem segít megvédeni az eszközöket bizonyos internetes eseményektől azáltal, hogy megakadályozza a rosszindulatú vagy gyanús webhelyekhez való kapcsolódást. A hálózatvédelem egy támadásifelület-csökkentési képesség, amely megakadályozza, hogy a szervezet tagjai hozzáférjenek az alkalmazások által veszélyesnek ítélt tartományokhoz. Veszélyes tartományok például olyan tartományok, amelyek adathalász csalásokat, biztonsági réseket és más kártékony tartalmakat tárolnak az interneten. A hálózatvédelem kibővíti a Microsoft Defender SmartScreen hatókörét, hogy letiltsa az összes kimenő HTTP-forgalmat, amely alacsony hírnevű forrásokhoz próbál csatlakozni (a tartomány vagy a gazdagépnév alapján).

A hálózatvédelem kiterjeszti a webes védelem védelmét az operációs rendszer szintjére, és a webes tartalomszűrés (WCF) alapvető összetevője. Ez biztosítja a Microsoft Edge-ben található webvédelmi funkciókat más támogatott böngészőknek és nemrowser alkalmazásoknak. A hálózatvédelem a biztonsági rések (IOK) jelzéseinek láthatóságát és blokkolását is biztosítja a végpontészlelés és -válasz használatakor. A hálózatvédelem például az egyéni jelzőkkel működik, amelyekkel bizonyos tartományokat vagy gazdagépneveket blokkolhat.

Hálózatvédelem lefedettsége

Az alábbi táblázat összefoglalja a lefedettség hálózatvédelmi területeit.

Kiemelés	Microsoft Edge	Nem Microsoft-böngészők	Nemrowser folyamatok (például PowerShell)
Webes veszélyforrások elleni védelem	A SmartScreen-t engedélyezni kell	A hálózatvédelemnek blokkmódban kell lennie	A hálózatvédelemnek blokkmódban kell lennie
Egyéni mutatók	A SmartScreen-t engedélyezni kell	A hálózatvédelemnek blokkmódban kell lennie	A hálózatvédelemnek blokkmódban kell lennie
Webes tartalomszűrés	A SmartScreen-t engedélyezni kell	A hálózatvédelemnek blokkmódban kell lennie	Nem támogatott

Ismert problémák & korlátozások

• Az IP-cím mindhárom protokollTCP (, , HTTPés HTTPS (TLS)) esetében támogatott.
• Egyéni jelzőkben csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
• A titkosított URL-címek (teljes elérési út) csak a Microsoft böngészőiben (Internet Explorer, Microsoft Edge) vannak letiltva.
• A titkosított URL-címek (csak FQDN) le vannak tiltva a nem Microsoft-böngészőkben.
• A HTTP-kapcsolat összesítésével betöltött URL-címek, például a modern CDN-ek által betöltött tartalmak csak a Microsoft böngészőiben (Internet Explorer, Microsoft Edge) vannak letiltva, kivéve, ha magát a CDN URL-címet nem adja hozzá a mutatólistához.
• A Hálózatvédelem a standard és a nem szabványos portokon is blokkolja a kapcsolatokat.
• A rendszer teljes URL-címblokkokat alkalmaz a titkosítatlan URL-címekre.

A művelet végrehajtása és az URL-cím/IP-cím letiltása között akár két órányi (általában kisebb) késés is lehet.

Ebből a videóból megtudhatja, hogyan csökkenti a hálózatvédelem az eszközök támadási felületét az adathalász csalások, biztonsági rések és egyéb kártékony tartalmak ellen:

A hálózatvédelem követelményei

A hálózatvédelemhez az alábbi operációs rendszerek egyikét futtató eszközök szükségesek:

• Windows 10 vagy 11 (Pro vagy Enterprise) (lásd: Támogatott Windows-verziók)
• Windows Server 1803-es vagy újabb verzió (lásd: Támogatott Windows-verziók)
• macOS 12-es verzió (Monterey) vagy újabb (lásd: Végponthoz készült Microsoft Defender Macen)
• Támogatott Linux-verzió (lásd: Végponthoz készült Microsoft Defender Linuxon)

A hálózatvédelemhez Microsoft Defender víruskereső is szükséges, amelyen engedélyezve van a valós idejű védelem.

Windows verziója	Microsoft Defender víruskereső
Windows 10 1709-es vagy újabb, Windows 11-es, Windows Server 1803-es vagy újabb verziója	Győződjön meg arról, hogy a Microsoft Defender víruskereső valós idejű védelme, a viselkedésfigyelés és a felhőben nyújtott védelem engedélyezve van (aktív)
Windows Server 2012 R2 és Windows Server 2016 a modern egyesített ügynök használatával	Platformfrissítési verzió 4.18.2001.x.x vagy újabb

Miért fontos a hálózatvédelem?

A hálózatvédelem a Végponthoz készült Microsoft Defender támadásifelület-csökkentési megoldáscsoportjának része. A hálózatvédelem lehetővé teszi, hogy a hálózati réteg blokkolja az URL-címeket és AZ IP-címeket. A hálózatvédelem bizonyos böngészők és standard hálózati kapcsolatok használatával megakadályozhatja az URL-címek elérését. Alapértelmezés szerint a hálózatvédelem védi a számítógépeket az ismert rosszindulatú URL-címektől a SmartScreen-hírcsatornával, amely a Microsoft Edge böngészőBen a SmartScreen-hez hasonló módon blokkolja a rosszindulatú URL-címeket. A hálózatvédelmi funkció a következőre terjeszthető ki:

• IP-/URL-címek letiltása a saját fenyegetésfelderítésből (jelzők)
• Nem engedélyezett szolgáltatások letiltása Microsoft Defender for Cloud Apps
• Webhelyekhez való böngészőhozzáférés letiltása kategória alapján (webes tartalomszűrés)

A hálózatvédelem a Microsoft védelmi és reagálási verem kritikus része.

Parancs- és vezérlési támadások letiltása

A parancs- és vezérlési (C2) kiszolgálói számítógépeket rosszindulatú felhasználók arra használják, hogy parancsokat küldjenek a kártevők által korábban feltört rendszereknek. A C2-támadások általában elrejtőznek a felhőalapú szolgáltatásokban, például a fájlmegosztási és webmail-szolgáltatásokban, így a C2-kiszolgálók elkerülhetik az észlelést a tipikus forgalommal való összeolvadással.

A C2-kiszolgálók a következő parancsok indítására használhatók:

• Adatok ellopás
• Feltört számítógépek vezérlése egy robothálózatban
• Jogszerű alkalmazások megzavarása
• Kártevők, például zsarolóprogramok terjesztése

A Végponthoz készült Defender hálózatvédelmi összetevője azonosítja és blokkolja az ember által üzemeltetett zsarolóprogram-támadásokban használt C2-infrastruktúrákhoz való csatlakozást olyan technikákkal, mint a gépi tanulás és az intelligens biztonsági rések (IoC) azonosítása.

Hálózatvédelem: C2 észlelés és szervizelés

Kezdeti formájában a zsarolóprogram egy olyan kereskedelmi fenyegetés, amely előre be van programozva, és korlátozott, specifikus eredményekre összpontosít (például egy számítógép titkosítására). A zsarolóprogramok azonban kifinomult fenyegetéssé alakultak, amely emberközpontú, adaptív, és nagyobb léptékű és szélesebb körű eredményekre összpontosított, például egy teljes szervezet eszközeinek vagy adatainak tárolására váltságdíjért.

A parancs- és vezérlési kiszolgálók (C2) támogatása fontos része ennek a zsarolóprogram-fejlesztésnek, és ez teszi lehetővé, hogy ezek a támadások alkalmazkodjanak az általuk megcélzott környezethez. A parancs- és vezérlési infrastruktúrára mutató hivatkozás megszakadása leállítja a támadás következő szakaszára való előrehaladását. További információ a C2 észleléséről és szervizeléséről: Parancs- és vezérlési támadások észlelése és elhárítása a hálózati rétegben.

Hálózatvédelem: Új bejelentési értesítések

Új leképezés	Válaszkategória	Források
phishing	Phishing	SmartScreen
malicious	Malicious	SmartScreen
command and control	C2	SmartScreen
command and control	COCO	SmartScreen
malicious	Untrusted	SmartScreen
by your IT admin	CustomBlockList
by your IT admin	CustomPolicy

Új értesítések a hálózatvédelem meghatározásához

A hálózatvédelem új képességei a SmartScreen funkcióit használják a rosszindulatú parancs- és vezérlőhelyek adathalász tevékenységeinek letiltására. Amikor egy végfelhasználó olyan környezetben próbál meg felkeresni egy webhelyet, amelyben engedélyezve van a hálózatvédelem, három forgatókönyv lehetséges, az alábbi táblázatban leírtak szerint:

Forgatókönyv	Eredmény
Az URL-cím ismert jó hírnévvel rendelkezik	A felhasználó akadálymentes hozzáféréssel rendelkezik, és nem jelenik meg bejelentési értesítés a végponton. A tartomány vagy az URL-cím gyakorlatilag Engedélyezett értékre van állítva.
Az URL-cím ismeretlen vagy bizonytalan hírnévre tett szert	A felhasználó hozzáférése le van tiltva, de képes megkerülni (feloldani) a blokkot. A tartomány vagy az URL-cím valójában Naplózás értékre van állítva.
Az URL-cím ismert rossz (rosszindulatú) hírnévvel rendelkezik	A felhasználó nem férhet hozzá. A tartomány vagy az URL-cím valójában Blokkolás értékre van állítva.

Figyelmeztetési felület

Egy felhasználó felkeres egy webhelyet. Ha az URL-cím ismeretlen vagy bizonytalan hírnévvel rendelkezik, bejelentési értesítés jelenik meg a felhasználó számára a következő lehetőségekkel:

• Ok: A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.
• Tiltás feloldása: A felhasználó 24 órán át rendelkezik hozzáféréssel a webhelyhez; ekkor a blokk újra engedélyezve lesz. A felhasználó továbbra is használhatja a Tiltás feloldása funkciót a webhely eléréséhez, amíg a rendszergazda nem tiltja (letiltja) a webhelyet, így eltávolítja a tiltás feloldásának lehetőségét.
• Visszajelzés: A bejelentési értesítés egy hivatkozást jelenít meg a felhasználó számára egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.

CsP használata az engedélyezéshez Convert warn verdict to block

/windows/client-management/mdm/defender-csp

A figyelmeztetési ítélet blokkolásra konvertálása Csoportházirend használatával

A beállítás engedélyezésével a hálózatvédelem figyelmeztetés helyett letiltja a hálózati forgalmat.

1. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt.

2. Kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.

3. A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja, majd a Felügyeleti sablonok elemre.

4. Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender víruskereső>hálózatfelügyeleti rendszerre.

5. Kattintson duplán a Figyelmeztetési ítélet konvertálása blokkolásra lehetőségre, és állítsa a beállítást Engedélyezve értékre.

6. Kattintson az OK gombra.

Felhasználói élmény letiltása

Egy felhasználó felkeres egy webhelyet. Ha az URL-cím rossz hírnevű, bejelentési értesítés jelenik meg a felhasználónak a következő lehetőségekkel:

• Ok: A bejelentési értesítés felszabadul (el lesz távolítva), és a webhely elérésére tett kísérlet véget ér.
• Visszajelzés: A bejelentési értesítés egy hivatkozást jelenít meg a felhasználó számára egy jegy beküldéséhez, amellyel a felhasználó visszajelzést küldhet a rendszergazdának a webhelyhez való hozzáférés igazolása érdekében.

SmartScreen – Tiltás feloldása

A Végponthoz készült Defender mutatóival a rendszergazdák engedélyezhetik a végfelhasználók számára, hogy megkerüljék az egyes URL-címekhez és IP-címekhez létrehozott figyelmeztetéseket. Attól függően, hogy az URL-cím miért van letiltva, SmartScreen-blokk esetén akár 24 óráig is lehetővé teheti a felhasználó számára a webhely letiltásának feloldását. Ilyen esetekben megjelenik egy Windows biztonság bejelentési értesítés, amely lehetővé teszi a felhasználó számára a Tiltás feloldása lehetőséget. Ilyen esetekben az URL-cím vagy az IP-cím feloldva van a megadott ideig.

Végponthoz készült Microsoft Defender rendszergazdák az IP-címek, URL-címek és tartományok engedélyezési jelzésével konfigurálhatják a SmartScreen blokkolásának feloldására szolgáló funkciót a Microsoft Defender portálon.

Lásd: Jelzők létrehozása IP-címekhez és URL-címekhez/tartományokhoz.

Hálózatvédelem használata

A hálózatvédelem eszközönként engedélyezve van, ami általában a felügyeleti infrastruktúrával történik. A támogatott módszerekről a Hálózatvédelem bekapcsolása című témakörben olvashat.

A hálózatvédelmet audit módban vagy block módban is engedélyezheti. Ha az IP-címek vagy URL-címek tényleges letiltása előtt szeretné kiértékelni a hálózati védelem engedélyezésének hatását, engedélyezheti a hálózatvédelmet naplózási módban, és adatokat gyűjthet arról, hogy mi lenne blokkolva. A naplózási mód minden olyan alkalommal naplóz, amikor a végfelhasználó olyan címhez vagy webhelyhez csatlakozik, amelyet egyébként blokkolna a hálózatvédelem. Ahhoz, hogy működjenek a biztonsági rések (IoC) vagy a webes tartalomszűrés (WCF) jelzései, a hálózatvédelemnek módban kell lennie block .

A Linux és a macOS hálózati védelmével kapcsolatos információkért tekintse meg a következő cikkeket:

• Hálózatvédelem Linuxhoz
• Hálózati védelem macOS-hez

Speciális veszélyforrás-keresés

Ha speciális veszélyforrás-kereséssel azonosítja a naplózási eseményeket, legfeljebb 30 nap előzményei érhetők el a konzolról. Lásd: Speciális veszélyforrás-keresés.

A naplózási eseményeket a Speciális veszélyforrás-keresés a Végponthoz készült Defender portálon (https://security.microsoft.com) találja.

A naplózási események a DeviceEvents eseményeiben találhatók, amelynek ActionType értéke ExploitGuardNetworkProtectionAudited. A blokkok az ActionType tulajdonságával ExploitGuardNetworkProtectionBlockedjelennek meg.

Íme egy példa lekérdezés a nem Microsoft-böngészők hálózati védelmi eseményeinek megtekintésére:

DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Íme egy másik példa:

DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

A Válasz kategóriában látható, hogy mi okozta az eseményt, ahogy az alábbi példában is látható:

ResponseCategory	Az eseményért felelős funkció
CustomPolicy	WCF
CustomBlockList	Egyéni mutatók
CasbPolicy	Defender for Cloud Apps
Malicious	Webes fenyegetések
Phishing	Webes fenyegetések

További információ: Végpontblokkok hibaelhárítása.

Ha a Microsoft Edge böngészőt használja, használja ezt a lekérdezést Microsoft Defender SmartScreen-eseményekhez:

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Az URL-címek és IP-címek eredményének listájával megállapíthatja, hogy mi lenne blokkolva, ha a hálózatvédelem letiltási módra van állítva az eszközön. Azt is láthatja, hogy mely funkciók blokkolnák az URL-címeket és IP-címeket. Tekintse át a listát a környezetéhez szükséges URL-címek vagy IP-címek azonosításához. Ezután létrehozhat egy engedélyezési jelzőt ezekhez az URL-címekhez vagy IP-címekhez. A jelzők elsőbbséget élveznek a blokkokkal szemben.

Miután létrehozott egy mutatót, az alábbi módon tekintheti meg a mögöttes probléma megoldását:

• SmartScreen: kérelem áttekintése
• Mutató: meglévő mutató módosítása
• MCA: nem engedélyezett alkalmazás áttekintése
• WCF: kérések újraaktiválása

Ezen adatok felhasználásával megalapozott döntést hozhat a hálózatvédelem letiltott módban történő engedélyezéséről. Lásd: A hálózatvédelmi blokkok elsőbbségi sorrendje.

A téves pozitívok jelentéséről további információt a Téves pozitív jelentések című témakörben talál.

A saját Power BI-jelentések létrehozásával kapcsolatos részletekért lásd: Egyéni jelentések létrehozása a Power BI használatával.

A hálózatvédelem konfigurálása

A hálózatvédelem engedélyezésével kapcsolatos további információkért lásd: Hálózatvédelem engedélyezése. A hálózat védelmének engedélyezéséhez és kezeléséhez Csoportházirend, PowerShell- vagy MDM-CSP-ket használhat.

A hálózatvédelem engedélyezése után előfordulhat, hogy úgy kell konfigurálnia a hálózatot vagy a tűzfalat, hogy engedélyezze a végponteszközök és a webszolgáltatások közötti kapcsolatokat:

• .smartscreen.microsoft.com
• .smartscreen-prod.microsoft.com

Hálózatvédelmi események megtekintése

A hálózatvédelem Végponthoz készült Microsoft Defender működik a legjobban, amely részletes jelentéskészítést biztosít a biztonsági rés kiaknázása elleni védelmi eseményekről és blokkokról a riasztásvizsgálati forgatókönyvek részeként.

Ha a hálózatvédelem blokkolja a kapcsolatot, a műveletközpontban értesítés jelenik meg. A biztonsági üzemeltetési csapat testre szabhatja az értesítést a szervezet adataival és kapcsolattartási adataival. Emellett az egyes támadásifelület-csökkentési szabályok engedélyezhetők és testre szabhatók, hogy megfeleljenek bizonyos figyelési technikáknak.

A naplózási móddal azt is kiértékelheti, hogy a hálózatvédelem milyen hatással lenne a szervezetre, ha engedélyezve lenne.

Hálózatvédelmi események áttekintése a Microsoft Defender portálon

A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztási vizsgálati forgatókönyvek részeként. Ezeket az adatokat a riasztások várólistáján található Microsoft Defender portálon (https://security.microsoft.com) vagy speciális veszélyforrás-kereséssel tekintheti meg. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a hálózatvédelmi beállítások milyen hatással lennének a környezetre, ha engedélyezve lennének.

Hálózatvédelmi események áttekintése a Windows eseménymegtekintő-ben

A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor a hálózatvédelem blokkolja (vagy naplózza) a rosszindulatú IP-címhez vagy tartományhoz való hozzáférést:

1. Másolja ki az XML-fájlt közvetlenül.

2. Kattintson az OK gombra.

Ez az eljárás létrehoz egy egyéni nézetet, amely a hálózatvédelemmel kapcsolatos alábbi események megjelenítésére szűr:

Eseményazonosító	Leírás
5007	A beállítások módosításának eseménye
1125	Esemény, amikor a hálózatvédelem naplózási módban aktiválódik
1126	Esemény, amikor a hálózatvédelem blokk módban aktiválódik

Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha a hálózatvédelem blokkol egy helyet, előfordulhat, hogy a Microsoft Defender portálon egy művelettípus ConnectionSuccessDeviceNetworkEvents jelenik meg, annak ellenére, hogy a hely le lett tiltva. DeviceNetworkEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása DeviceNetworkEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEvidencea isDeviceNetworkEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a DeviceNetworkEvents ActionType ConnectionSuccesselemével is.

Megfontolandó szempontok Windows 10 Enterprise több munkamenetet futtató Windows rendszerű virtuális asztalhoz

A Windows 10 Enterprise többfelhasználós jellege miatt tartsa szem előtt a következő szempontokat:

1. A hálózatvédelem egy eszközszintű szolgáltatás, amely nem célozható meg adott felhasználói munkamenetekre.

2. A webes tartalomszűrési szabályzatok szintén eszközszintűek.

3. Ha meg kell különböztetnie a felhasználói csoportokat, fontolja meg külön Windows Virtual Desktop-gazdagépkészletek és -hozzárendelések létrehozását.

4. Tesztelje a hálózatvédelmet naplózási módban, hogy felmérje annak viselkedését a bevezetés előtt.

5. Fontolja meg az üzemelő példány átméretezését, ha nagy számú felhasználóval vagy nagy számú többfelhasználós munkamenetekkel rendelkezik.

A hálózatvédelem alternatív lehetősége

A modern egységesített megoldással Windows Server 2012 R2 és Windows Server 2016 esetén Windows Server 1803-Windows 10 Enterprise Az Azure-beli Windows Virtual Desktopban használt Több munkamenetes 1909-ben és újabb verziókban a Microsoft Edge hálózati védelme a következő módszerrel engedélyezhető:

1. Használja a Hálózatvédelem bekapcsolása lehetőséget, és kövesse az utasításokat a szabályzat alkalmazásához.

2. Hajtsa végre a következő PowerShell-parancsokat:

   • Set-MpPreference -EnableNetworkProtection Enabled
   • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
   • Set-MpPreference -AllowNetworkProtectionDownLevel 1
   • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

   Megjegyzés:

   Bizonyos esetekben az infrastruktúrától, a forgalom mennyiségétől és más feltételektől Set-MpPreference -AllowDatagramProcessingOnWinServer 1 függően hatással lehet a hálózati teljesítményre.

Hálózatvédelem Windows-kiszolgálókhoz

Az alábbiakban a Windows-kiszolgálókra vonatkozó információk találhatók.

Ellenőrizze, hogy a hálózatvédelem engedélyezve van-e

Ellenőrizze, hogy engedélyezve van-e a hálózatvédelem egy helyi eszközön a Beállításjegyzék Szerkesztő használatával.

1. Válassza a Start gombot a tálcán, és írja be a parancsot regedit a Beállításjegyzék Szerkesztő megnyitásához.

2. Válassza HKEY_LOCAL_MACHINE lehetőséget az oldalsó menüből.

3. Navigáljon a beágyazott menük között aMICROSOFT>Windows DefenderWindows Defender> Biztonsági rés kiaknázása ellenivédelmi> hálózatvédelem szoftveres>házirendjeihez>.

   (Ha a kulcs nincs jelen, lépjen a SZOFTVER>Microsoft>Windows Defender>Windows Defender biztonsági rés kiaknázása elleni védelem>Hálózatvédelem)

4. Válassza az EnableNetworkProtection lehetőséget az eszköz hálózati védelmének aktuális állapotának megtekintéséhez:

   • 0 = Kikapcsolva
   • 1 = Bekapcsolva (engedélyezve)
   • 2 = Naplózási mód

További információ: A hálózatvédelem bekapcsolása.

Hálózatvédelem javasolt beállításkulcsai

Ha Windows Server 2012 R2-t és Windows Server 2016 a modern egységes megoldást használja, Windows Server 1803-as vagy újabb verziót, valamint Windows 10 Enterprise multi-session 1909-es és újabb verzióit (az Azure-beli Windows Virtual Desktopban használják), engedélyezzen más beállításkulcsokat, például Követi:

1. Lépjen HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender Windows Defender>Biztonsági rés kiaknázása elleni védelem>hálózatvédelem elemhez.

2. Konfigurálja a következő kulcsokat:

   • AllowNetworkProtectionOnWinServer (DWORD) értéke 1 (hexadecimális)
   • EnableNetworkProtection (DWORD) értéke 1 (hexadecimális)
   • (Csak Windows Server 2012 R2 és Windows Server 2016 esetén) AllowNetworkProtectionDownLevel (DWORD) (hexadecimális) értékre 1 állítva

További információ: A hálózatvédelem bekapcsolása.

A Windows-kiszolgálók és a Windows több munkamenetes konfigurációja a PowerShellt igényli

Windows-kiszolgálók és Több munkamenetes Windows esetén más elemeket is engedélyeznie kell a PowerShell-parancsmagok használatával. A modern egységesített megoldást használó Windows Server 2012 R2 és Windows Server 2016 esetén Windows Server 1803-as vagy újabb, valamint az Azure-beli Windows Virtual Desktopban használt Windows 10 Enterprise Multi-Session 1909-es és újabb verzióihoz futtassa az alábbi PowerShell-parancsokat:

Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Hálózatvédelem hibaelhárítása

A hálózatvédelmet futtató környezet miatt előfordulhat, hogy a szolgáltatás nem tudja észlelni az operációsrendszer-proxy beállításait. Bizonyos esetekben a hálózatvédelmi ügyfelek nem tudják elérni a felhőszolgáltatást. A csatlakozási probléma megoldásához konfiguráljon statikus proxyt Microsoft Defender víruskeresőhöz.

Mivel a globális biztonságos hozzáférés jelenleg nem támogatja az UDP-forgalmat, a portra 443 történő UDP-forgalom nem bújtatható. Letilthatja a QUIC protokollt, hogy a globális biztonságos elérésű ügyfelek visszaálljanak a HTTPS használatára (TCP-forgalom a 443-es porton). Ezt a módosítást akkor kell végrehajtania, ha az elérni kívánt kiszolgálók támogatják a QUIC-t (például Microsoft Exchange Online). A QUIC letiltásához hajtsa végre az alábbi műveletek egyikét:

QUIC letiltása a Windows tűzfalon

A QUIC letiltásának leggyakoribb módja a funkció letiltása a Windows tűzfalon. Ez a módszer minden alkalmazást érint, beleértve a böngészőket és az ügyfélalkalmazásokat (például a Microsoft Office-t). A PowerShellben futtassa a New-NetFirewallRule parancsmagot egy új tűzfalszabály hozzáadásához, amely letiltja a QUIC-t az eszközről érkező összes kimenő forgalom esetében:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

QUIC letiltása webböngészőben

A QUIC a webböngésző szintjén tiltható le. A QUIC letiltásának ez a módszere azonban azt jelenti, hogy a QUIC továbbra is működik a nemrowser alkalmazásokon. Ha le szeretné tiltani a QUIC-t a Microsoft Edge-ben vagy a Google Chrome-ban, nyissa meg a böngészőt, keresse meg a Kísérleti QUIC protokollbeállítást (#enable-quic jelzőt), majd módosítsa a beállítást értékre Disabled. Az alábbi táblázat azt mutatja be, hogy melyik URI-t kell beírni a böngésző címsorába, hogy hozzáférhessen a beállításhoz.

Böngésző	URI
Microsoft Edge	edge://flags/#enable-quic
Google Chrome	chrome://flags/#enable-quic

A hálózatvédelmi teljesítmény optimalizálása

A hálózatvédelem olyan teljesítményoptimalizálást tartalmaz, amely lehetővé teszi block a mód számára a hosszú élettartamú kapcsolatok aszinkron vizsgálatát, ami teljesítménybeli javulást eredményezhet. Ez az optimalizálás az alkalmazáskompatibilitási problémák megoldásában is segíthet. Ez a képesség alapértelmezés szerint be van kapcsolva.

Az AllowSwitchToAsyncInspection engedélyezése CSP használatával

/windows/client-management/mdm/defender-csp

Az Csoportházirend használata az aszinkron vizsgálat bekapcsolásához

Ez az eljárás lehetővé teszi, hogy a hálózatvédelem a valós idejű vizsgálatról az aszinkron vizsgálatra való váltással javítsa a teljesítményt.

1. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt.

2. Kattintson a jobb gombbal a konfigurálni kívánt Csoportházirend objektumra, majd válassza a Szerkesztés parancsot.

3. A Csoportházirend Felügyeleti Szerkesztő lépjen a Számítógép konfigurációja elemre, majd válassza a Felügyeleti sablonok lehetőséget.

4. Bontsa ki a fát a Windows-összetevőkre>Microsoft Defender víruskereső>hálózatfelügyeleti rendszerre.

5. Kattintson duplán az Aszinkron vizsgálat bekapcsolása elemre, majd állítsa a beállítást Engedélyezve értékre.

6. Kattintson az OK gombra.

Az aszinkron vizsgálat bekapcsolásának engedélyezése Microsoft Defender víruskereső PowerShell-parancsmaggal

Ezt a képességet a következő PowerShell-parancsmaggal kapcsolhatja be:

Set-MpPreference -AllowSwitchToAsyncInspection $true

Lásd még

• Hálózatvédelem kiértékelése | Vállaljon egy gyors forgatókönyvet, amely bemutatja, hogyan működik a funkció, és milyen események jönnek létre általában.
• Hálózatvédelem engedélyezése | A hálózat védelmének engedélyezéséhez és kezeléséhez Csoportházirend, PowerShell- vagy MDM-CSP-ket használhat.
• Támadásifelület-csökkentési képességek konfigurálása a Microsoft Intune
• Hálózatvédelem Linuxhoz | További információ a Microsoft Network Protection linuxos eszközökhöz való használatáról.
• Hálózati védelem macOS rendszerhez | További információ a macOS-hez készült Microsoft Network-védelemről