Sdílet prostřednictvím

Použití ochrany sítě k ochraně před připojením ke škodlivým nebo podezřelým webům

  • Článek

Platí pro:

Platformy

  • Windows
  • macOS
  • Linux

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se k bezplatné zkušební verzi.

Přehled ochrany sítě

Ochrana sítě pomáhá chránit zařízení před určitými internetovými událostmi tím, že brání připojení ke škodlivým nebo podezřelým webům. Ochrana sítě je schopnost omezení potenciální oblasti útoku, která pomáhá zabránit lidem ve vaší organizaci v přístupu k doménám, které jsou prostřednictvím aplikací považovány za nebezpečné. Příkladem nebezpečných domén jsou domény, které hostují útoky phishing, zneužití a další škodlivý obsah na internetu. Ochrana sítě rozšiřuje rozsah Microsoft Defender filtru SmartScreen a blokuje veškerý odchozí provoz HTTP(S), který se pokouší připojit ke zdrojům s nízkou reputací (na základě domény nebo názvu hostitele).

Ochrana sítě rozšiřuje ochranu webové ochrany na úroveň operačního systému a je základní komponentou pro filtrování webového obsahu (WCF). Poskytuje funkce ochrany webu, které se nacházejí v microsoft Edgi, jiným podporovaným prohlížečům a nepřebíjených aplikacím. Ochrana sítě také poskytuje viditelnost a blokování indikátorů ohrožení (IOC) při použití s detekcí a odezvou koncového bodu. Ochrana sítě například funguje s vašimi vlastními indikátory , které můžete použít k blokování konkrétních domén nebo názvů hostitelů.

Pokrytí ochrany sítě

Následující tabulka shrnuje oblasti pokrytí ochrany sítě.

Funkce Microsoft Edge Prohlížeče od jiných společností než Microsoft Neprobíjecí procesy
(například PowerShell)
Ochrana před webovými hrozbami Filtr SmartScreen musí být povolený. Ochrana sítě musí být v režimu blokování. Ochrana sítě musí být v režimu blokování.
Vlastní indikátory Filtr SmartScreen musí být povolený. Ochrana sítě musí být v režimu blokování. Ochrana sítě musí být v režimu blokování.
Filtrování webového obsahu Filtr SmartScreen musí být povolený. Ochrana sítě musí být v režimu blokování. Není podporováno

Poznámka

Na počítačích Mac a Linux musíte mít ochranu sítě v režimu blokování, aby se tyto funkce podporovaly v prohlížeči Microsoft Edge. Ochrana sítě ve Windows nemonitoruje Microsoft Edge. Pro jiné procesy než Microsoft Edge a Internet Explorer využívají scénáře webové ochrany ke kontrole a vynucování ochranu sítě.

Tady je několik důležitých bodů, které byste měli mít na paměti:

  • IP adresa je podporovaná pro všechny tři protokoly (TCP, HTTPa HTTPS (TLS)).

  • Ve vlastních indikátorech se podporují pouze jednotlivé IP adresy (žádné bloky CIDR ani rozsahy IP adres).

  • Šifrované adresy URL (úplná cesta) jsou blokované jenom v prohlížečích Microsoftu (Internet Explorer, Microsoft Edge).

  • Šifrované adresy URL (jenom plně kvalifikovaný název domény) jsou blokované v prohlížečích jiných společností než Microsoft.

  • Adresy URL načtené prostřednictvím spojení HTTP, například obsah načtený moderními sítěmi CDN, jsou blokovány pouze v prohlížečích Microsoft (Internet Explorer, Microsoft Edge), pokud není do seznamu ukazatelů přidána samotná adresa URL CDN.

  • Network Protection bude blokovat připojení na standardních i nestandardních portech.

  • Pro nešifrované adresy URL se použijí bloky úplné cesty URL.

Mezi okamžikem, kdy je akce provedena, a blokovanou adresou URL nebo IP adresou může být latence až dvě hodiny (obvykle menší).

V tomto videu se dozvíte, jak ochrana sítě pomáhá omezit prostor pro útoky na vaše zařízení v případě útoků phishing, zneužití a dalšího škodlivého obsahu:

Požadavky na ochranu sítě

Ochrana sítě vyžaduje zařízení s jedním z následujících operačních systémů:

Ochrana sítě také vyžaduje Microsoft Defender Antivirus s povolenou ochranou v reálném čase.

Verze systému Windows Antivirová ochrana v Microsoft Defenderu
Windows 10 verze 1709 nebo novější, Windows 11, Windows Server 1803 nebo novější Ujistěte se, že je povolená ochrana Microsoft Defender Antivirus v reálném čase, monitorování chování a cloudová ochrana (aktivní).
Windows Server 2012 R2 a Windows Server 2016 pomocí moderního sjednoceného agenta Verze 4.18.2001.x.x aktualizace platformy nebo novější

Proč je ochrana sítě důležitá

Ochrana sítě je součástí skupiny řešení pro omezení potenciální oblasti útoku v Microsoft Defender for Endpoint. Ochrana sítě umožňuje síťové vrstvě blokovat adresy URL a IP adresy. Ochrana sítě může blokovat přístup k adresám URL pomocí určitých prohlížečů a standardních síťových připojení. Ochrana sítě ve výchozím nastavení chrání počítače před známými škodlivými adresami URL pomocí informačního kanálu SmartScreen, který blokuje škodlivé adresy URL podobným způsobem jako filtr SmartScreen v prohlížeči Microsoft Edge. Funkce ochrany sítě je možné rozšířit na:

Ochrana sítě je důležitou součástí zásobníku ochrany a odpovědí Microsoftu.

Tip

Podrobnosti o ochraně sítě pro Windows Server, Linux, MacOS a ochranu před mobilními hrozbami (MTD) najdete v tématu Proaktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání.

Blokování útoků na příkazy a řízení

Počítače serveru C2 (Command and Control) používají uživatelé se zlými úmysly k odesílání příkazů do systémů, které byly dříve ohroženy malwarem. Útoky C2 se obvykle skrývají v cloudových službách, jako jsou služby sdílení souborů a webové pošty, což serverům C2 umožňuje vyhnout se detekci tím, že se snoubí s typickým provozem.

Servery C2 je možné použít k inicializaci příkazů, které můžou:

  • Ukrást data
  • Řízení ohrožených počítačů v botnetu
  • Narušení legitimních aplikací
  • Šíření malwaru, jako je ransomware

Komponenta ochrany sítě Defenderu for Endpoint identifikuje a blokuje připojení k infrastrukturám C2 používaným při útocích ransomware ovládaných lidmi pomocí technik, jako je strojové učení a identifikace ioC (intelligent indicator-of-compromise).

Ochrana sítě: Detekce a náprava C2

Ve své počáteční podobě je ransomware komoditní hrozba, která je předem naprogramovaná a zaměřená na omezené konkrétní výsledky (například šifrování počítače). Ransomware se ale vyvinul v sofistikovanou hrozbu, která je řízená člověkem, adaptivní a zaměřená na rozsáhlejší a rozsáhlejší výsledky, jako je držení prostředků celé organizace nebo dat za výkupné.

Podpora serverů příkazů a řízení (C2) je důležitou součástí tohoto vývoje ransomwaru a umožňuje těmto útokům přizpůsobit se prostředí, na které cílí. Přerušením propojení s infrastrukturou příkazů a řízení se zastaví postup útoku do další fáze. Další informace o detekci a nápravě C2 najdete v tématu Detekce a náprava útoků na příkazy a řízení na síťové vrstvě.

Ochrana sítě: Nové informační zprávy

Nové mapování Kategorie odpovědi Zdroje
phishing Phishing SmartScreen
malicious Malicious SmartScreen
command and control C2 SmartScreen
command and control COCO SmartScreen
malicious Untrusted SmartScreen
by your IT admin CustomBlockList
by your IT admin CustomPolicy

Poznámka

customAllowList negeneruje oznámení o koncových bodech.

Nová oznámení pro určení ochrany sítě

Nové funkce v ochraně sítě používají funkce filtru SmartScreen k blokování phishingových aktivit ze škodlivých webů příkazů a ovládacích prvků. Když se koncový uživatel pokusí navštívit web v prostředí, ve kterém je povolená ochrana sítě, jsou možné tři scénáře, jak je uvedeno v následující tabulce:

Scénář Co se stane
Adresa URL má známou dobrou pověst. Uživatel má povolený přístup bez překážek a na koncovém bodu se nezobrazuje žádné informační oznámení. V důsledku toho je doména nebo adresa URL nastavená na Povoleno.
Adresa URL má neznámou nebo nejistou pověst. Přístup uživatele je zablokovaný, ale s možností ho obejít (odblokovat). V důsledku toho je doména nebo adresa URL nastavená na Audit.
Adresa URL má známou špatnou (škodlivou) pověst. Uživatel nemá přístup. V důsledku toho je doména nebo adresa URL nastavená na Blokovat.

Prostředí upozornění

Uživatel navštíví web. Pokud má adresa URL neznámou nebo nejistou reputaci, zobrazí se uživateli informační zpráva s následujícími možnostmi:

  • OK: Informační zpráva se uvolní (odebere) a pokus o přístup k webu skončí.
  • Odblokovat: Uživatel má přístup k webu po dobu 24 hodin; v tomto okamžiku je blok znovu povolený. Uživatel může pro přístup k webu dál používat funkci Odblokovat , dokud správce web nezakáže (nezablokuje), a tím možnost Odblokovat odebere.
  • Zpětná vazba: Informační zpráva zobrazí uživateli odkaz na odeslání lístku, který může použít k odeslání zpětné vazby správci ve snaze ospravedlnit přístup k webu.

Zobrazuje upozornění na obsah útoku phishing ochrany sítě.

Poznámka

Obrázky uvedené v tomto článku pro prostředí i warnblock prostředí používají jako příklad zástupného textu blokovanou adresu URL. Ve funkčním prostředí je uvedená skutečná adresa URL nebo doména.

Prostředí blokování

Uživatel navštíví web. Pokud má adresa URL špatnou reputaci, informační zpráva zobrazí uživateli následující možnosti:

  • OK: Informační zpráva se uvolní (odebere) a pokus o přístup k webu skončí.
  • Zpětná vazba: Informační zpráva zobrazí uživateli odkaz na odeslání lístku, který může použít k odeslání zpětné vazby správci ve snaze ospravedlnit přístup k webu.

Zobrazuje oznámení o blokování obsahu známého útoku phishing pro ochranu sítě.

Odblokování filtru SmartScreen

Pomocí indikátorů v Defenderu for Endpoint můžou správci koncovým uživatelům umožnit obejít upozornění generovaná pro některé adresy URL a IP adresy. V závislosti na tom, proč je adresa URL zablokovaná, může uživatel při zobrazení blokování filtru SmartScreen nabídnout možnost odblokovat web až na 24 hodin. V takových případech se zobrazí Zabezpečení Windows informační zpráva, která uživateli umožní vybrat možnost Odblokovat. V takových případech se adresa URL nebo IP adresa po zadané časové období odblokují.

Zabezpečení Windows oznámení pro ochranu sítě.

Microsoft Defender for Endpoint správci můžou nakonfigurovat funkci odblokování filtru SmartScreen na portálu Microsoft Defender pomocí indikátoru povolení pro IP adresy, adresy URL a domény.

Adresa URL a formulář IP adresy pro blokování filtru SmartScreen pro ochranu sítě.

Viz Vytváření indikátorů pro IP adresy a adresy URL/domény.

Použití ochrany sítě

Ochrana sítě je povolená pro každé zařízení, což se obvykle provádí pomocí infrastruktury pro správu. Informace o podporovaných metodách najdete v tématu Zapnutí ochrany sítě.

Poznámka

Microsoft Defender Antivirus musí být v aktivním režimu, aby bylo možné povolit ochranu sítě.

Ochranu sítě můžete povolit v audit režimu nebo block režimu. Pokud chcete vyhodnotit dopad povolení ochrany sítě před tím, než skutečně zablokujete IP adresy nebo adresy URL, můžete povolit ochranu sítě v režimu auditování a shromáždit data o tom, co by se zablokovalo. Režim auditu protokoluje vždy, když se koncoví uživatelé připojí k adrese nebo lokalitě, které by jinak zablokovala ochrana sítě. Aby indikátory ohrožení (IoC) nebo filtrování webového obsahu (WCF) fungovaly, musí být ochrana sítě v block režimu.

Informace o ochraně sítě pro Linux a macOS najdete v následujících článcích:

Pokročilé rozšířené proaktivní vyhledávání

Pokud k identifikaci událostí auditu používáte rozšířené proaktivní vyhledávání, máte z konzoly k dispozici až 30denní historii. Viz Rozšířené proaktivní vyhledávání.

Události auditu najdete v části Rozšířené proaktivní vyhledávání na portálu Defenderu for Endpoint (https://security.microsoft.com).

Události auditu jsou v DeviceEvents s hodnotou ActionType .ExploitGuardNetworkProtectionAudited Bloky se zobrazují s actiontypem ExploitGuardNetworkProtectionBlocked.

Tady je příklad dotazu pro zobrazení událostí služby Network Protection v prohlížečích jiných společností než Microsoft:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Rozšířené proaktivní vyhledávání pro auditování a identifikaci událostí

Tip

Tyto položky obsahují data ve sloupci AdditionalFields , což vám poskytuje skvělé informace o akci. Pokud rozbalíte další pole , získáte také pole : IsAudit, ResponseCategory a DisplayName.

Tady je další příklad:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Kategorie Odpověď vám řekne, co událost způsobilo, jako v tomto příkladu:

ResponseCategory Funkce zodpovědná za událost
CustomPolicy WCF
CustomBlockList Vlastní indikátory
CasbPolicy Defender for Cloud Apps
Malicious Webové hrozby
Phishing Webové hrozby

Další informace najdete v tématu Řešení potíží s bloky koncových bodů.

Pokud používáte prohlížeč Microsoft Edge, použijte pro Microsoft Defender události SmartScreen tento dotaz:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

Výsledný seznam adres URL a IP adres můžete použít k určení toho, co by se zablokovalo, pokud je ochrana sítě na zařízení nastavená na režim blokování. Můžete také zjistit, které funkce by blokovaly adresy URL a IP adresy. Projděte si seznam a identifikujte všechny adresy URL nebo IP adresy, které jsou pro vaše prostředí nezbytné. Pak můžete vytvořit indikátor povolení pro tyto adresy URL nebo IP adresy. Povolit indikátory mají přednost před všemi bloky.

Po vytvoření indikátoru se můžete podívat na řešení základního problému následujícím způsobem:

  • SmartScreen: žádost o kontrolu
  • Indikátor: úprava existujícího ukazatele
  • MCA: Kontrola neschválené aplikace
  • WCF: Rekategorizace požadavků

Pomocí těchto dat můžete učinit informované rozhodnutí o povolení ochrany sítě v režimu blokování. Viz Pořadí priorit pro bloky ochrany sítě.

Poznámka

Vzhledem k tomu, že se jedná o nastavení pro jednotlivá zařízení, můžete zařízení, která se nemůžou přesunout do režimu blokování, jednoduše ponechat v auditování, dokud nebudete moct problém opravit a události auditování se vám budou zobrazovat.

Informace o tom, jak nahlásit falešně pozitivní výsledky, najdete v tématu Hlášení falešně pozitivních výsledků.

Podrobnosti o vytváření vlastních sestav Power BI najdete v tématu Vytváření vlastních sestav pomocí Power BI.

Konfigurace ochrany sítě

Další informace o tom, jak povolit ochranu sítě, najdete v tématu Povolení ochrany sítě. K povolení a správě ochrany sítě v síti použijte Zásady skupiny, PowerShell nebo poskytovatele CSP MDM.

Po povolení ochrany sítě možná budete muset nakonfigurovat síť nebo bránu firewall tak, aby umožňovaly připojení mezi koncovými zařízeními a webovými službami:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Zobrazení událostí ochrany sítě

Ochrana sítě funguje nejlépe s Microsoft Defender for Endpoint, která poskytuje podrobné sestavy událostí ochrany před zneužitím a bloků v rámci scénářů šetření výstrah.

Když ochrana sítě blokuje připojení, zobrazí se v Centru akcí oznámení. Váš tým pro operace zabezpečení může oznámení přizpůsobit podrobnostmi vaší organizace a kontaktními informacemi. Kromě toho je možné povolit a přizpůsobit individuální pravidla omezení potenciální oblasti útoku tak, aby vyhovovala určitým technikám monitorování.

Režim auditování můžete použít také k vyhodnocení dopadu ochrany sítě na vaši organizaci, pokud by byla povolená.

Kontrola událostí ochrany sítě na portálu Microsoft Defender

Defender for Endpoint poskytuje podrobné sestavy událostí a bloků v rámci scénářů šetření výstrah. Tyto podrobnosti můžete zobrazit na portálu Microsoft Defender (https://security.microsoft.com) ve frontě upozornění nebo pomocí rozšířeného proaktivního vyhledávání. Pokud používáte režim auditování, můžete pomocí rozšířeného proaktivního vyhledávání zjistit, jak by nastavení ochrany sítě ovlivnilo vaše prostředí, pokud by bylo povolené.

Kontrola událostí ochrany sítě ve Windows Prohlížeč událostí

Můžete zkontrolovat protokol událostí Windows a zobrazit události, které se vytvoří, když ochrana sítě blokuje (nebo audituje) přístup ke škodlivé IP adrese nebo doméně:

  1. Zkopírujte kód XML přímo.

  2. Vyberte OK.

Tento postup vytvoří vlastní zobrazení, které filtry zobrazí pouze následující události související s ochranou sítě:

ID události Popis
5007 Událost při změně nastavení
1125 Událost, kdy se ochrana sítě aktivuje v režimu auditování
1126 Událost, kdy se ochrana sítě aktivuje v režimu blokování

Ochrana sítě a třícestné metody handshake protokolu TCP

U ochrany sítě se určení, zda povolit nebo zablokovat přístup k lokalitě, provádí po dokončení třícestného metody handshake prostřednictvím protokolu TCP/IP. Proto když ochrana sítě blokuje lokalitu, může se na portálu ConnectionSuccessDeviceNetworkEvents Microsoft Defender zobrazit typ akce pod, i když byl web zablokovaný. DeviceNetworkEvents jsou hlášeny z vrstvy PROTOKOLU TCP, nikoli z ochrany sítě. Po dokončení trojcestného metody handshake je přístup k lokalitě povolený nebo blokovaný ochranou sítě.

Tady je příklad, jak to funguje:

  1. Předpokládejme, že se uživatel pokusí o přístup k webu na svém zařízení. Web je hostovaný v nebezpečné doméně a měla by být blokována ochranou sítě.

  2. Spustí se trojcestné handshake přes protokol TCP/IP. Než se akce dokončí, DeviceNetworkEvents zaprotokoluje se a zobrazí ActionType se jako ConnectionSuccess. Jakmile se ale třícestný proces handshake dokončí, ochrana sítě zablokuje přístup k lokalitě. To všechno se děje rychle. K podobnému procesu dochází u Microsoft Defender filtru SmartScreen. Když trojcestný metodou handshake dokončíte rozhodnutí a přístup k webu je buď zablokovaný, nebo povolený.

  3. Na portálu Microsoft Defender je ve frontě upozornění uvedená výstraha. Podrobnosti o této výstraze zahrnují i DeviceNetworkEventsAlertEvidence. Můžete vidět, že web byl zablokován, i když máte DeviceNetworkEvents také položku s actiontypem ConnectionSuccess.

Důležité informace o virtuálních počítačích s Windows se systémem Windows 10 Enterprise více relací

Vzhledem k tomu, že Windows 10 Enterprise má více uživatelů, mějte na paměti následující skutečnosti:

  1. Ochrana sítě je funkce pro celé zařízení a není možné ji cílit na konkrétní uživatelské relace.

  2. Zásady filtrování webového obsahu jsou také pro celé zařízení.

  3. Pokud potřebujete rozlišovat mezi skupinami uživatelů, zvažte vytvoření samostatných fondů hostitelů a přiřazení služby Windows Virtual Desktop.

  4. Před zavedením otestujte ochranu sítě v režimu auditování a vyhodnoťte její chování.

  5. Pokud máte velký počet uživatelů nebo velký počet relací s více uživateli, zvažte změnu velikosti nasazení.

Alternativní možnost ochrany sítě

Pro Windows Server 2012 R2 a Windows Server 2016 pomocí moderního sjednoceného řešení Windows Server verze 1803 nebo novější a Windows 10 Enterprise Více relací 1909 a novějších, které se používají ve službě Windows Virtual Desktop v Azure, je možné povolit ochranu sítě pro Microsoft Edge pomocí následující metody:

  1. Použijte možnost Zapnout ochranu sítě a postupujte podle pokynů k použití zásad.

  2. Spusťte následující příkazy PowerShellu:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

    Poznámka

    V některých případech může mít vliv na výkon sítě v závislosti na vaší infrastruktuře, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 objemu provozu a dalších podmínkách.

Ochrana sítě pro Windows Servery

Níže jsou uvedené informace specifické pro Windows Servery.

Ověřte, že je povolená ochrana sítě.

Pomocí Editor registru ověřte, jestli je na místním zařízení povolená ochrana sítě.

  1. Výběrem tlačítka Start na hlavním panelu a zadáním příkazu regedit otevřete Editor registru.

  2. V boční nabídce vyberte HKEY_LOCAL_MACHINE .

  3. Přejděte mezi vnořenými nabídkami dočásti OchranasítěOchrana ochrany Exploit Guard> vprogramu Microsoft Windows Defenderzásady >SOFTWARU> v programuWindows> Defender>.

    (Pokud klíč není k dispozici, přejděte na SOFTWARE>.Microsoft>Windows Defender>Ochrana Exploit Guard> v programu Windows DefenderOchrana sítě)

  4. Vyberte EnableNetworkProtection a zobrazte aktuální stav ochrany sítě na zařízení:

    • 0 = Vypnuto
    • 1 = Zapnuto (povoleno)
    • 2 = Režim auditování

Další informace najdete v tématu Zapnutí ochrany sítě.

Navrhované klíče registru ochrany sítě

V případě Windows Server 2012 R2 a Windows Server 2016 s využitím moderního sjednoceného řešení Windows Server verze 1803 nebo novější a Windows 10 Enterprise multi-session 1909 a novějších (používá se ve Službě Windows Virtual Desktop v Azure) povolte další klíče registru. následuje:

  1. Přejděte na HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows DefenderWindows Defender> Exploit Guard >Ochrana sítě.

  2. Nakonfigurujte následující klíče:

    • AllowNetworkProtectionOnWinServer (DWORD) nastaveno na 1 (hex)
    • EnableNetworkProtection (DWORD) nastaveno na 1 (hex)
    • (Při Windows Server 2012 R2 a pouze Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) nastaveno na 1 (šestnáctkové)

Poznámka

V závislosti na vaší infrastruktuře, objemu provozu a dalších podmínkách můžou mít na výkon sítě vliv HKEY_LOCAL_MACHINE>ZÁSADY>SOFTWARU>pro uživatele> v programuMicrosoft>Windows Defender>NIS>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex).

Další informace najdete v tématu Zapnutí ochrany sítě.

Konfigurace windows serverů a více relací Windows vyžaduje PowerShell.

Pro Windows Servery a Windows Multi-session existují další položky, které musíte povolit pomocí rutin PowerShellu. Pro Windows Server 2012 R2 a Windows Server 2016 pomocí moderního sjednoceného řešení Windows Server verze 1803 nebo novější a Windows 10 Enterprise multi-session 1909 a novějších, které se používají ve Windows Virtual Desktopu v Azure, spusťte následující příkazy PowerShellu.:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Poznámka

V některých případech může v závislosti na vaší infrastruktuře, objemu provozu a dalších podmínkách Set-MpPreference -AllowDatagramProcessingOnWinServer 1 ovlivnit výkon sítě.

Řešení potíží s ochranou sítě

Vzhledem k prostředí, ve kterém běží ochrana sítě, nemusí být funkce schopná rozpoznat nastavení proxy serveru operačního systému. V některých případech se klienti ochrany sítě nemůžou připojit ke cloudové službě. Pokud chcete problém s připojením vyřešit, nakonfigurujte statický proxy server pro Microsoft Defender Antivirus.

Poznámka

Než začnete s řešením potíží, nezapomeňte v prohlížečích, které se používají, nastavit protokol QUIC na disabled hodnotu . Funkce ochrany sítě nepodporují protokol QUIC.

Vzhledem k tomu, že globální zabezpečený přístup v současné době nepodporuje provoz UDP, není možné provoz UDP na port 443 tunelovat. Můžete zakázat protokol QUIC, aby se klienti globálního zabezpečeného přístupu vrátili k používání protokolu HTTPS (provoz TCP na portu 443). Tuto změnu musíte provést, pokud servery, ke kterým se pokoušíte získat přístup, podporují QUIC (například prostřednictvím Microsoft Exchange Online). Pokud chcete QUIC zakázat, můžete provést jednu z následujících akcí:

Zakázání QUIC v bráně Windows Firewall

Nejobecnější metodou, jak zakázat QUIC, je zakázat tuto funkci v bráně Windows Firewall. Tato metoda ovlivňuje všechny aplikace, včetně prohlížečů a klientských aplikací (například Microsoft Office). Spuštěním rutiny v PowerShellu New-NetFirewallRule přidejte nové pravidlo brány firewall, které zakáže QUIC pro veškerý odchozí provoz ze zařízení:


Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Zakázání QUIC ve webovém prohlížeči

QUIC můžete zakázat na úrovni webového prohlížeče. Tato metoda zakázání quic však znamená, že QUIC nadále funguje na nepřebíjených aplikacích. Pokud chcete quic zakázat v Prohlížeči Microsoft Edge nebo Google Chrome, otevřete prohlížeč, vyhledejte nastavení experimentálního protokolu QUIC (#enable-quic příznak) a změňte nastavení na Disabled. Následující tabulka ukazuje, který identifikátor URI zadat do adresního řádku prohlížeče, abyste k tomuto nastavení měli přístup.

Prohlížeč Identifikátor uri
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

Optimalizace výkonu ochrany sítě

Ochrana sítě zahrnuje optimalizaci výkonu, která umožňuje block režimu asynchronně kontrolovat dlouhodobá připojení, což může přinést zlepšení výkonu. Tato optimalizace může také pomoct s problémy s kompatibilitou aplikací. Tato funkce je ve výchozím nastavení zapnutá. Tuto funkci můžete vypnout pomocí následující rutiny PowerShellu:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.