使用網路保護來協助防止連線到惡意或可疑的網站
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平台
- Windows
- macOS
- Linux
想要體驗適用於端點的 Microsoft Defender 嗎? 註冊免費試用版。
網路保護概觀
網路保護可防止連線到惡意或可疑的網站,以協助保護裝置不受特定因特網型事件的危害。 網路保護是一種受攻擊面縮小功能,可協助防止組織中的人員存取透過應用程式視為危險的網域。 危險網域的範例包括在因特網上裝載網路釣魚詐騙、惡意探索和其他惡意內容的網域。 網路保護會擴充 Microsoft Defender SmartScreen 的範圍,以封鎖嘗試根據網域或主機名) 連線到低信譽來源的所有輸出 HTTP (S) 流量 (。
網路保護會將 Web 保護 中的保護延伸到作業系統層級,並且是 Web 內容篩選 (WCF) 的核心元件。 它提供在 Microsoft Edge 中找到的 Web 保護功能給其他支援的瀏覽器和非擴充程式應用程式。 網路保護也提供與 端點偵測和回應搭配使用時, (IOC) 入侵指標的可見性和封鎖。 例如,網路保護可與自 定義指標 搭配使用,以用來封鎖特定網域或主機名。
網路保護涵蓋範圍
下表摘要說明涵蓋範圍的網路保護區域。
功能 | Microsoft Edge | 非Microsoft瀏覽器 | 非Browser進程 例如, (PowerShell) |
---|---|---|---|
Web 威脅防護 | 必須啟用 SmartScreen | 網路保護必須處於封鎖模式 | 網路保護必須處於封鎖模式 |
自訂指標 | 必須啟用 SmartScreen | 網路保護必須處於封鎖模式 | 網路保護必須處於封鎖模式 |
Web 內容篩選 | 必須啟用 SmartScreen | 網路保護必須處於封鎖模式 | 不支援 |
注意事項
在 Mac 和 Linux 上,您必須以封鎖模式提供網路保護,才能在 Microsoft Edge 瀏覽器中支援這些功能。 在 Windows 上,網路保護不會監視Microsoft Edge。 針對Edge和Internet Explorer Microsoft以外的程式,Web保護案例會利用網路保護來進行檢查和強制執行。
以下是一些要牢記在心的重點:
(、
HTTP
和HTTPS
(TCP
TLS) ) 這三種通訊協定都支援 IP。(自定義指標中不) 任何 CIDR 區塊或 IP 範圍,則僅支援單一 IP 位址。
加密的 URL (完整路徑) 只會在 Internet Explorer (Internet Explorer 的Microsoft瀏覽器上封鎖,Microsoft Edge) 。
僅限 FQDN (加密 URL 會在非Microsoft瀏覽器中封鎖) 。
除非 CDN URL 本身新增至指標清單,否則透過 HTTP 連線聯合載入的 URL,例如新式 CDN 載入的內容,只會在 Internet Explorer (Internet Explorer Microsoft瀏覽器上封鎖,Microsoft Edge) 。
網路保護會封鎖標準和非標準埠上的連線。
完整 URL 路徑區塊會套用至未加密的 URL。
在採取動作和封鎖 URL/IP 之間的時間之間,延遲 (通常會減少) 兩個小時。
觀看這段影片,瞭解網路保護如何協助減少裝置的攻擊面,避免網路釣魚詐騙、惡意探索和其他惡意內容:
網路保護的需求
網路保護需要執行下列其中一個作業系統的裝置:
- Windows 10 或 11 (專業版或企業版) (請參閱支援的 Windows 版本)
- Windows Server 版本 1803 或更新版本 (請參閱支援的 Windows 版本)
- macOS 版本 12 (Monterey) 或更新版本 (請參閱 Mac) 上的 適用於端點的 Microsoft Defender
- 支援的Linux版本 (請參閱Linux) 上的 適用於端點的 Microsoft Defender
網路保護也需要 Microsoft Defender 啟用即時保護的防病毒軟體。
Windows 版本 | Microsoft Defender 防毒軟體 |
---|---|
Windows 10 1709 版或更新版本,Windows 11,Windows Server 1803 或更新版本 | 請確定已啟用 Microsoft Defender 防病毒軟體的即時保護、行為監視和雲端式保護, (作用中) |
使用新式整合代理程式 Windows Server 2012 R2 和 Windows Server 2016 | 平臺更新版本或更新版本4.18.2001.x.x |
為什麼網路保護很重要
網路保護是 適用於端點的 Microsoft Defender 中受攻擊面縮小解決方案群組的一部分。 網路保護可讓網路層封鎖 URL 和 IP 位址。 網路保護可以使用特定瀏覽器和標準網路連線來封鎖 URL 的存取。 根據預設,網路保護會使用SmartScreen 摘要來防止電腦遭受已知的惡意URL,這會以類似Microsoft Edge 瀏覽器中的SmartScreen的方式封鎖惡意 URL。 網路保護功能可以擴充至:
- 封鎖來自您自己威脅情報 (指標 的IP/URL位址)
- 封鎖來自 Microsoft Defender for Cloud Apps 的未批准服務
- 根據 Web 內容篩選 的類別 (封鎖瀏覽器對網站的存取)
網路保護是Microsoft保護和響應堆疊的重要部分。
提示
如需 Windows Server、Linux、MacOS 和 Mobile Threat Defense (MTD) 網路保護的詳細資訊,請參閱使用進階搜捕主動搜捕威脅。
封鎖命令和控制攻擊
惡意使用者會使用命令和控制 (C2) 伺服器電腦,將命令傳送至先前遭到惡意代碼入侵的系統。 C2 攻擊通常會隱藏在雲端式服務中,例如檔案共用和 Webmail 服務,讓 C2 伺服器透過與一般流量混合來避免偵測。
C2 伺服器可用來起始命令,這些命令可以:
- 竊取數據
- 控制 Botnet 中遭入侵的電腦
- 中斷合法的應用程式
- 散佈惡意代碼,例如勒索軟體
適用於端點的 Defender 網路保護元件會使用機器學習和智慧型手機入侵指標 (IoC) 識別等技術,識別並封鎖與人類操作勒索軟體攻擊中所使用 C2 基礎結構的連線。
網路保護:C2 偵測和補救
勒索軟體的初始形式是預先設計並著重於有限、特定結果的商用威脅, (例如加密計算機) 。 不過,勒索軟體已發展成由人類驅動、調適型且著重於更大規模且更廣泛結果的複雜威脅,例如保留整個組織的資產或數據以取得勒索。
支援命令和控制伺服器 (C2) 是此勒索軟體演進中很重要的一部分,也是讓這些攻擊適應其目標環境的原因。 中斷命令和控制基礎結構的連結會停止攻擊到其下一個階段的進度。 如需 C2 偵測和補救的詳細資訊,請參閱 偵測和補救網路層的命令和控制攻擊。
網路保護:新的快顯通知
新的對應 | 回應類別 | 來源 |
---|---|---|
phishing |
Phishing |
SmartScreen |
malicious |
Malicious |
SmartScreen |
command and control |
C2 |
SmartScreen |
command and control |
COCO |
SmartScreen |
malicious |
Untrusted |
SmartScreen |
by your IT admin |
CustomBlockList |
|
by your IT admin |
CustomPolicy |
注意事項
customAllowList 不會在端點上產生通知。
網路保護判斷的新通知
網路保護的新功能會使用 SmartScreen 中的函式來封鎖來自惡意命令和控制網站的網路釣魚活動。 當終端用戶嘗試在啟用網路保護的環境中造訪網站時,有三種可能的案例,如下表所述:
案例 | 發生的情況 |
---|---|
URL 具有已知的良好信譽 | 允許使用者在不受阻礙的情況下存取,而且端點上不會顯示快顯通知。 實際上,網域或 URL 會設定為 [允許]。 |
URL 的信譽不明或不確定 | 使用者的存取遭到封鎖,但能夠規避 (解除封鎖) 區塊。 實際上,網域或 URL 會設定為 [稽核]。 |
URL 有已知的不良 (惡意) 信譽 | 用戶無法存取。 實際上,網域或 URL 會設定為 [封鎖]。 |
警告體驗
用戶造訪網站。 如果 URL 的信譽不明或不確定,快顯通知會向使用者顯示下列選項:
- 確定:快顯通知會在移除) (釋出,並結束存取網站的嘗試。
- 解除封鎖:用戶可存取網站 24 小時;此時區塊會重新啟用。 用戶可以繼續使用 [解除封鎖 ] 來存取網站,直到系統管理員禁止 (封鎖) 網站為止,因而移除 [解除封鎖] 選項。
- 意見反應:快顯通知會向用戶顯示提交票證的連結,使用者可以使用此連結將意見反應提交給系統管理員,以嘗試證明存取網站的理由。
注意事項
本文針對體驗和block
體驗所顯示的warn
影像會使用「封鎖的 URL」作為範例佔位元文字。 在正常運作的環境中,會列出實際的URL或網域。
封鎖體驗
用戶造訪網站。 如果 URL 的信譽不佳,快顯通知會向用戶顯示下列選項:
- 確定:快顯通知會在移除) (釋出,並結束存取網站的嘗試。
- 意見反應:快顯通知會向用戶顯示提交票證的連結,使用者可以使用此連結將意見反應提交給系統管理員,以嘗試證明存取網站的理由。
SmartScreen 解除封鎖
使用適用於端點的 Defender 中的指標,系統管理員可以允許使用者略過針對某些 URL 和 IP 產生的警告。 根據封鎖 URL 的原因而定,當遇到 SmartScreen 區塊時,它可讓使用者將網站解除封鎖最多 24 小時。 在這種情況下,會出現 Windows 安全性 快顯通知,允許用戶選取 [解除封鎖]。 在這種情況下,URL 或 IP 會在指定的時間內解除封鎖。
適用於端點的 Microsoft Defender 系統管理員可以在 Microsoft Defender 入口網站中使用IP、URL和網域的允許指標來設定SmartScreen解除封鎖功能。
請參閱 建立IP和URL/網域的指標。
使用網路保護
每個裝置都會啟用網路保護,這通常是使用您的管理基礎結構來完成。 如需支援的方法, 請參閱開啟網路保護。
注意事項
Microsoft Defender 防病毒軟體必須處於作用中模式,才能啟用網路保護。
您可以在模式或block
模式中audit
啟用網路保護。 如果您想要在實際封鎖IP位址或URL之前評估啟用網路保護的影響,您可以在稽核模式中啟用網路保護,並收集所封鎖項目的數據。 每當終端用戶連線到因網路保護而封鎖的位址或網站時,稽核模式就會記錄。 若要讓 WCF) (IoC) 或 Web 內容篩選 (的入侵指標能夠運作,網路保護必須處於 block
模式。
如需 Linux 和 macOS 網路保護的相關信息,請參閱下列文章:
進階搜捕
如果您使用進階搜捕來識別稽核事件,您最多可從控制台取得 30 天的歷程記錄。 請參閱 進階搜捕。
您可以在適用於端點的 Defender 入口網站的 [ 進階搜捕 ] () https://security.microsoft.com 中找到稽核事件。
稽核事件位於 ActionType 為 的 DeviceEvents 中 ExploitGuardNetworkProtectionAudited
。 區塊會以的 ExploitGuardNetworkProtectionBlocked
ActionType 顯示。
以下是針對非Microsoft瀏覽器檢視網路保護事件的範例查詢:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
提示
這些專案在 AdditionalFields 數據行中有數據,可提供動作的絕佳資訊,如果您展開 AdditionalFields ,您也可以取得字段: IsAudit、 ResponseCategory 和 DisplayName。
以下是另一個範例:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
[回應] 類別會告訴您造成事件的原因,如下列範例所示:
ResponseCategory | 負責事件的功能 |
---|---|
CustomPolicy |
WCF |
CustomBlockList |
自訂指標 |
CasbPolicy |
Defender for Cloud Apps |
Malicious |
Web 威脅 |
Phishing |
Web 威脅 |
如需詳細資訊,請參閱 針對端點區塊進行疑難解答。
如果您使用 Microsoft Edge 瀏覽器,請針對 Microsoft Defender SmartScreen 事件使用此查詢:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
您可以使用產生的 URL 和 IP 清單,判斷如果網路保護設定為裝置上的封鎖模式,將會封鎖哪些專案。 您也可以查看哪些功能會封鎖 URL 和 IP。 檢閱清單,以識別您環境所需的任何URL或IP。 然後,您可以為這些 URL 或 IP 位址建立允許指標。 允許指標優先於任何區塊。
建立指標之後,您可以查看如何解決基礎問題,如下所示:
- SmartScreen:要求檢閱
- 指標:修改現有的指標
- MCA:檢閱未批准的應用程式
- WCF:要求重新分類
使用此數據,您可以做出在封鎖模式中啟用網路保護的明智決策。 請參閱 網路保護區塊的優先順序順序。
注意事項
由於這是每個裝置的設定,如果有裝置無法移至封鎖模式,您可以直接將其保留在稽核狀態,直到您可以修正挑戰,而且您仍然會收到稽核事件。
如需如何報告誤判的資訊,請 參閱報告誤判。
如需如何建立您自己的Power BI報表的詳細資訊,請參閱 使用Power BI 建立自定義報表。
設定網路保護
如需如何啟用網路保護的詳細資訊,請參閱 啟用網路保護。 使用 群組原則、PowerShell 或 MDM CSP 來啟用和管理網路中的網路保護。
啟用網路保護之後,您可能需要設定網路或防火牆,以允許端點裝置與 Web 服務之間的連線:
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
檢視網路保護事件
網路保護最適合與 適用於端點的 Microsoft Defender 搭配使用,這可讓您在警示調查案例中詳細報告惡意探索保護事件和封鎖。
當網路保護封鎖連線時,會從控制中心顯示通知。 您的安全性作業小組可以使用組織的詳細數據和連絡資訊 來自定義通知 。 此外,您可以啟用和自定義個別的受攻擊面縮小規則,以符合要監視的特定技術。
您也可以使用 稽核模式 來評估網路保護在啟用時會如何影響您的組織。
在 Microsoft Defender 入口網站中檢閱網路保護事件
適用於端點的 Defender 會在其 警示調查案例中提供事件和區塊的詳細報告。 您可以在 Microsoft Defender 入口網站中檢視這些詳細數據, (https://security.microsoft.com警示佇列中的) ,或使用進階搜捕。 如果您使用 稽核模式,您可以使用進階搜捕來查看網路保護設定在啟用時會如何影響您的環境。
在 Windows 事件檢視器中檢閱網路保護事件
您可以檢閱 Windows 事件記錄檔,以查看網路保護封鎖 (或稽核) 存取惡意 IP 或網域時所建立的事件:
選取 [確定]。
此程式會建立自定義檢視,篩選以僅顯示與網路保護相關的下列事件:
事件識別碼 | 描述 |
---|---|
5007 |
變更設定時的事件 |
1125 |
在稽核模式中引發網路保護時的事件 |
1126 |
在封鎖模式中引發網路保護的事件 |
網路保護和 TCP 三向交握
透過網路保護,在完成透過 TCP/IP 的三向交握之後,決定是否允許或封鎖網站的存取。 因此,當網路保護封鎖網站時,即使網站遭到封鎖,您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccess
DeviceNetworkEvents
。
DeviceNetworkEvents
會從 TCP 層回報,而不是從網路保護回報。 完成三向交握之後,網路保護會允許或封鎖網站的存取。
以下是運作方式的範例:
假設用戶嘗試存取其裝置上的網站。 網站正好裝載在危險的網域上,而且應該遭到網路保護封鎖。
透過 TCP/IP 的三向交握會開始。 完成之前,
DeviceNetworkEvents
會記錄動作,並將其ActionType
列為ConnectionSuccess
。 不過,一旦三向交握程式完成,網路保護就會封鎖網站的存取。 這一切都會快速發生。 Microsoft Defender SmartScreen 也會發生類似的程式;也就是三向交握完成時,即會做出判斷,並封鎖或允許存取網站。在 Microsoft Defender 入口網站中,警示會列在警示佇列中。 該警示的詳細資料包括 和
DeviceNetworkEvents
AlertEvidence
。 您可以看到網站遭到封鎖,即使您也有 ActionType 為 的專案ConnectionSuccess
也一DeviceNetworkEvents
樣。
執行多重會話 Windows 10 企業版 Windows 虛擬桌面的考慮
由於 Windows 10 企業版 的多用戶本質,請記住下列幾點:
網路保護是全裝置的功能,不能以特定用戶會話為目標。
Web 內容篩選原則也是全裝置的。
如果您需要區分使用者群組,請考慮建立個別的 Windows 虛擬桌面主機集區和指派。
在稽核模式中測試網路保護,以在推出之前評估其行為。
如果您有大量使用者或大量的多用戶會話,請考慮調整部署大小。
網路保護的替代選項
針對使用新式整合解決方案的 Windows Server 2012 R2 和 Windows Server 2016,Windows Server 1803 版或更新版本,以及 Windows 10 企業版在 Azure 上的 Windows 虛擬桌面中使用的多重會話 1909 和更新版本,可以使用下列方法啟用 Microsoft Edge 的網路保護:
使用 [開啟網络保護 ],並遵循指示來套用您的原則。
執行下列 PowerShell 命令:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注意事項
在某些情況下,視您的基礎結構、流量及其他條件而定,
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
可能會影響網路效能。
Windows Server 的網路保護
以下是 Windows Server 專屬的資訊。
確認已啟用網路保護
使用登錄 編輯器,確認是否已在本機裝置上啟用網路保護。
選取任務列中的 [開始] 按鈕,然後輸入
regedit
以開啟登錄 編輯器。從側邊功能表中選 取 [HKEY_LOCAL_MACHINE ]。
流覽巢狀功能表,流覽至>>windows Defender Windows> Defender > 惡意探索防護網路保護Microsoft>軟體原則。
(如果密鑰不存在,請流覽至 [ 軟體>Microsoft>Windows Defender Windows Defender>惡意探索防護>網路保護)
選 取 [EnableNetworkProtection] 以查看裝置上的網络保護目前狀態:
-
0
= 關閉 -
1
= 開啟 () -
2
= 稽核模式
-
如需詳細資訊,請 參閱開啟網路保護。
網路保護建議的登錄機碼
針對使用新式整合解決方案的 Windows Server 2012 R2 和 Windows Server 2016,Windows Server 1803 版或更新版本,以及 Windows 10 企業版 在 Azure) 上的 Windows 虛擬桌面中使用的多重會話 1909 和更新版本 (,請啟用其他登錄機碼,如下所示:
移至 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows DefenderWindows Defender >惡意探索防護>網路保護。
設定下列金鑰:
-
AllowNetworkProtectionOnWinServer
(DWORD) 設為1
(十六進位) -
EnableNetworkProtection
(DWORD) 設為1
(十六進位) - (Windows Server 2012 R2 和 Windows Server 2016 只會將)
AllowNetworkProtectionDownLevel
(DWORD) 設定為1
(十六進位)
-
注意事項
視您的基礎結構、流量及其他條件而定,HKEY_LOCAL_MACHINE>軟體>>原則Microsoft>Windows Defender>NIS>取>用者IPS - AllowDatagramProcessingOnWinServer (dword) 1 ( 十六進位) 可能會影響網路效能。
如需詳細資訊,請 參閱:開啟網路保護。
Windows Server 和 Windows 多重會話設定需要 PowerShell
針對 Windows Server 和 Windows 多重工作階段,您必須使用 PowerShell Cmdlet 啟用其他專案。 針對使用新式整合解決方案的 Windows Server 2012 R2 和 Windows Server 2016,Windows Server 1803 版或更新版本,以及 Windows 10 企業版 Azure 上 Windows 虛擬桌面中使用的多重會話 1909 和更新版本,請執行下列 PowerShell 命令:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
注意事項
在某些情況下,視您的基礎結構、流量及其他條件而定, Set-MpPreference -AllowDatagramProcessingOnWinServer 1
可能會影響網路效能。
網路保護疑難解答
由於執行網路保護的環境,此功能可能無法偵測操作系統 Proxy 設定。 在某些情況下,網路保護用戶端無法連線到雲端服務。 若要解決連線問題,請設定 Microsoft Defender 防病毒軟體的靜態 Proxy。
注意事項
開始疑難解答之前,請務必將所使用瀏覽器中的 QUIC 通訊協定設定為 disabled
。 網路保護功能不支援 QUIC 通訊協定。
由於全域安全存取目前不支援UDP流量,因此無法透過通道傳送至埠 443
的UDP流量。 您可以停用 QUIC 通訊協定,讓全域安全存取用戶端在埠 443) 上切換回使用 HTTPS (TCP 流量。 如果您嘗試存取的伺服器支援 QUIC (例如,透過 Microsoft Exchange Online) ,您必須進行這項變更。 若要停用 QUIC,您可以採取下列其中一個動作:
停用 Windows 防火牆中的 QUIC
停用 QUIC 的最泛型方法是在 Windows 防火牆中停用該功能。 此方法會影響所有應用程式,包括瀏覽器和用戶端應用程式 (,例如Microsoft Office) 。 在 PowerShell 中 New-NetFirewallRule
,執行 Cmdlet 以新增防火牆規則,以針對裝置的所有輸出流量停用 QUIC:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
停用網頁瀏覽器中的 QUIC
您可以在網頁瀏覽器層級停用 QUIC。 不過,這個停用 QUIC 的方法表示 QUIC 會繼續在非中斷器應用程式上運作。 若要在 Microsoft Edge 或 Google Chrome 中停用 QUIC,請開啟瀏覽器,找出實驗性 QUIC 通訊協定設定 (#enable-quic
旗標) ,然後將設定變更為 Disabled
。 下表顯示要在瀏覽器的網址列中輸入的 URI,讓您可以存取該設定。
瀏覽器 | URI |
---|---|
Microsoft Edge | edge://flags/#enable-quic |
Google Chrome | chrome://flags/#enable-quic |
優化網路保護效能
網路保護包含效能優化,可讓 block
模式以異步方式檢查長時間存留的連線,這可能會改善效能。 此優化也有助於解決應用程式相容性問題。 此功能預設為開啟。 您可以使用下列 PowerShell Cmdlet 來關閉這項功能:
Set-MpPreference -AllowSwitchToAsyncInspection $false
另請參閱
- 評估網路保護 |進行快速案例,示範功能的運作方式,以及通常會建立哪些事件。
- 啟用網路保護 |使用 群組原則、PowerShell 或 MDM CSP 來啟用和管理網路中的網路保護。
- 在 Microsoft Intune 中設定受攻擊面縮小功能
- Linux 的網路保護 |若要瞭解如何使用 Microsoft Linux 裝置的網路保護。
- macOS 的網路保護 |若要深入瞭解Microsoft macOS 的網路保護
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。