Delen via

Netwerkbeveiliging gebruiken om verbindingen met schadelijke of verdachte sites te voorkomen

  • Artikel

Van toepassing op:

Platforms

  • Windows
  • macOS
  • Linux

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht van netwerkbeveiliging

Netwerkbeveiliging helpt apparaten te beschermen tegen bepaalde internetgebeurtenissen door verbindingen met schadelijke of verdachte sites te voorkomen. Netwerkbeveiliging is een mogelijkheid voor het verminderen van kwetsbaarheid voor aanvallen die helpt voorkomen dat personen in uw organisatie via toepassingen toegang krijgen tot domeinen die als gevaarlijk worden beschouwd. Voorbeelden van gevaarlijke domeinen zijn domeinen die phishing-scams, exploits en andere schadelijke inhoud op internet hosten. Netwerkbeveiliging breidt het bereik van Microsoft Defender SmartScreen uit om al het uitgaande HTTP(S)-verkeer te blokkeren dat verbinding probeert te maken met bronnen met een lage reputatie (op basis van het domein of de hostnaam).

Netwerkbeveiliging breidt de beveiliging in webbeveiliging uit naar het niveau van het besturingssysteem en is een kernonderdeel voor Web Content Filtering (WCF). Het biedt de functionaliteit voor webbeveiliging in Microsoft Edge voor andere ondersteunde browsers en niet-browsertoepassingen. Netwerkbeveiliging biedt ook zichtbaarheid en blokkering van indicatoren van inbreuk (IOC's) bij gebruik met eindpuntdetectie en -respons. Netwerkbeveiliging werkt bijvoorbeeld met uw aangepaste indicatoren die u kunt gebruiken om specifieke domeinen of hostnamen te blokkeren.

Netwerkbeveiligingsdekking

In de volgende tabel ziet u een overzicht van de dekkingsgebieden voor netwerkbeveiliging.

Functie Microsoft Edge Niet-Microsoft-browsers Niet-browserprocessen
(bijvoorbeeld PowerShell)
Web Threat Protection SmartScreen moet zijn ingeschakeld Netwerkbeveiliging moet in de blokmodus staan Netwerkbeveiliging moet in de blokmodus staan
Aangepaste indicatoren SmartScreen moet zijn ingeschakeld Netwerkbeveiliging moet in de blokmodus staan Netwerkbeveiliging moet in de blokmodus staan
Webinhoud filteren SmartScreen moet zijn ingeschakeld Netwerkbeveiliging moet in de blokmodus staan Niet ondersteund

Opmerking

Op Mac en Linux moet u netwerkbeveiliging in de blokmodus hebben om ondersteuning te krijgen voor deze functies in Edge. In Windows controleert netwerkbeveiliging Microsoft Edge niet. Voor andere processen dan Microsoft Edge en Internet Explorer maken webbeveiligingsscenario's gebruik van netwerkbeveiliging voor inspectie en afdwinging.

  • IP wordt ondersteund voor alle drie de protocollen (TCP, HTTP en HTTPS (TLS)).
  • Alleen individuele IP-adressen worden ondersteund (geen CIDR-blokken of IP-bereiken) in aangepaste indicatoren.
  • Versleutelde URL's (volledig pad) kunnen alleen worden geblokkeerd in browsers van de eerste partij (Internet Explorer, Edge).
  • Versleutelde URL's (alleen FQDN) kunnen worden geblokkeerd in browsers van derden (bijvoorbeeld anders dan Internet Explorer, Edge).
  • Volledige URL-padblokken kunnen worden toegepast voor niet-versleutelde URL's.

Er kan maximaal 2 uur latentie (meestal minder) zijn tussen het moment waarop de actie wordt uitgevoerd en de URL en het IP-adres worden geblokkeerd.

Bekijk deze video om te leren hoe netwerkbeveiliging helpt bij het verminderen van de kwetsbaarheid voor aanvallen op uw apparaten door phishing, aanvallen en andere schadelijke inhoud:

Vereisten voor netwerkbeveiliging

Voor netwerkbeveiliging zijn apparaten met een van de volgende besturingssystemen vereist:

Netwerkbeveiliging vereist ook Microsoft Defender Antivirus waarvoor realtime-beveiliging is ingeschakeld.

Windows-versie Microsoft Defender Antivirus
Windows 10 versie 1709 of hoger, Windows 11, Windows Server 1803 of hoger Zorg ervoor dat Microsoft Defender Antivirus realtime-beveiliging, gedragscontrole en cloudbeveiliging zijn ingeschakeld (actief)
Windows Server 2012 R2 en Windows Server 2016 met de geïntegreerde agent Platformupdate versie 4.18.2001.x.x of hoger

Waarom netwerkbeveiliging belangrijk is

Netwerkbeveiliging maakt deel uit van de groep oplossingen voor het verminderen van kwetsbaarheid voor aanvallen in Microsoft Defender voor Eindpunt. Met netwerkbeveiliging kan de netwerklaag URL's en IP-adressen blokkeren. Netwerkbeveiliging kan voorkomen dat URL's worden geopend met behulp van bepaalde browsers en standaardnetwerkverbindingen. Netwerkbeveiliging beschermt uw computers standaard tegen bekende schadelijke URL's met behulp van de SmartScreen-feed, die schadelijke URL's blokkeert op een manier die vergelijkbaar is met SmartScreen in de browser Microsoft Edge. De functionaliteit voor netwerkbeveiliging kan worden uitgebreid naar:

Netwerkbeveiliging is een essentieel onderdeel van de Microsoft-beveiligings- en antwoordstack.

Tip

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing voor meer informatie over netwerkbeveiliging voor Windows Server, Linux, MacOS en Mobile Threat Defense (MTD).

Opdrachten- en beheeraanvallen blokkeren

C2-servercomputers (Command and Control) worden gebruikt door kwaadwillende gebruikers om opdrachten te verzenden naar systemen die eerder zijn aangetast door malware. C2-aanvallen verbergen zich meestal in cloudservices zoals het delen van bestanden en webmailservices, waardoor de C2-servers detectie kunnen voorkomen door samen te voegen met normaal verkeer.

C2-servers kunnen worden gebruikt om opdrachten te initiëren die:

  • Gegevens stelen
  • Gecompromitteerde computers in een botnet beheren
  • Legitieme toepassingen verstoren
  • Malware verspreiden, zoals ransomware

Het netwerkbeveiligingsonderdeel van Defender voor Eindpunt identificeert en blokkeert verbindingen met C2-infrastructuren die worden gebruikt bij door mensen beheerde ransomware-aanvallen, met behulp van technieken zoals machine learning en identificatie van intelligente indicator-of-compromise (IoC).

Netwerkbeveiliging: C2-detectie en herstel

In zijn eerste vorm is ransomware een standaardbedreiging die vooraf is geprogrammeerd en gericht is op beperkte, specifieke resultaten (zoals het versleutelen van een computer). Ransomware is echter uitgegroeid tot een geavanceerde bedreiging die door mensen wordt gestuurd, adaptief en gericht op grotere schaal en meer wijdverspreide resultaten, zoals het vasthouden van de activa van een hele organisatie of gegevens voor losgeld.

Ondersteuning voor Command and Control-servers (C2) is een belangrijk onderdeel van deze ransomware-evolutie en het is wat deze aanvallen in staat stelt zich aan te passen aan de omgeving waarop ze zijn gericht. Door de koppeling met de infrastructuur voor opdracht en controle te verbreken, wordt de voortgang van een aanval naar de volgende fase gestopt. Zie Voor meer informatie over C2-detectie en herstel, detecteert en herstelt u aanvallen van opdrachten en controle op de netwerklaag.

Netwerkbeveiliging: nieuwe pop-upmeldingen

Nieuwe toewijzing Antwoordcategorie Bronnen
phishing Phishing SmartScreen
boosaardig Kwaadaardig SmartScreen
opdracht en beheer C2 SmartScreen
opdracht en beheer COCO SmartScreen
boosaardig Onbetrouwbare SmartScreen
door uw IT-beheerder CustomBlockList
door uw IT-beheerder CustomPolicy

Opmerking

customAllowList genereert geen meldingen op eindpunten.

Nieuwe meldingen voor netwerkbeveiligingsbepaling

Een nieuwe, openbaar beschikbare functie in netwerkbeveiliging maakt gebruik van functies in SmartScreen om phishingactiviteiten van schadelijke opdracht- en controlesites te blokkeren. Wanneer een eindgebruiker een website probeert te bezoeken in een omgeving waarin netwerkbeveiliging is ingeschakeld, zijn er drie scenario's mogelijk:

  • De URL heeft een bekende goede reputatie : in dit geval heeft de gebruiker toegang zonder obstakels en wordt er geen pop-upmelding weergegeven op het eindpunt. In feite is het domein of de URL ingesteld op Toegestaan.
  • De URL heeft een onbekende of onzekere reputatie : de toegang van de gebruiker wordt geblokkeerd, maar met de mogelijkheid om het blok te omzeilen (deblokkeren). In feite is het domein of de URL ingesteld op Audit.
  • De URL heeft een bekende slechte (schadelijke) reputatie : de gebruiker heeft geen toegang. In feite is het domein of de URL ingesteld op Blokkeren.

Waarschuwingservaring

Een gebruiker bezoekt een website. Als de URL een onbekende of onzekere reputatie heeft, geeft een pop-upmelding de gebruiker de volgende opties:

  • Ok: De pop-upmelding wordt vrijgegeven (verwijderd) en de poging om toegang te krijgen tot de site is beëindigd.
  • Deblokkeren: de gebruiker heeft 24 uur lang toegang tot de site; op welk punt het blok opnieuw wordt ingeschakeld. De gebruiker kan Deblokkeren blijven gebruiken om toegang te krijgen tot de site totdat de beheerder de site verbiedt (blokkeert), waardoor de optie voor Deblokkeren wordt verwijderd.
  • Feedback: De pop-upmelding geeft de gebruiker een koppeling om een ticket in te dienen. Deze kan de gebruiker gebruiken om feedback te verzenden naar de beheerder in een poging om toegang tot de site te rechtvaardigen.

Toont een waarschuwingsmelding voor phishing-inhoud voor netwerkbeveiliging.

Opmerking

De afbeeldingen die in dit artikel worden weergegeven voor zowel de ervaring block als de warn ervaring, gebruiken 'geblokkeerde URL' als voorbeeld van tijdelijke aanduidingen voor tekst. In een werkende omgeving wordt de werkelijke URL of het domein weergegeven.

Ervaring blokkeren

Een gebruiker bezoekt een website. Als de URL een slechte reputatie heeft, ziet de gebruiker een pop-upmelding met de volgende opties:

  • Ok: De pop-upmelding wordt vrijgegeven (verwijderd) en de poging om toegang te krijgen tot de site is beëindigd.
  • Feedback: De pop-upmelding geeft de gebruiker een koppeling om een ticket in te dienen. Deze kan de gebruiker gebruiken om feedback te verzenden naar de beheerder in een poging om toegang tot de site te rechtvaardigen.

Toont een melding dat bekende phishing-inhoud van netwerkbeveiliging is geblokkeerd.

SmartScreen Deblokkeren

Met indicatoren in Defender voor Eindpunt kunnen beheerders eindgebruikers toestaan waarschuwingen te omzeilen die worden gegenereerd voor sommige URL's en IP-adressen. Afhankelijk van de reden waarom de URL wordt geblokkeerd, kan een SmartScreen-blok de gebruiker de mogelijkheid bieden om de blokkering van de site gedurende maximaal 24 uur op te heffen. In dergelijke gevallen wordt een Windows-beveiliging pop-upmelding weergegeven, zodat de gebruiker Deblokkeren kan selecteren. In dergelijke gevallen wordt de blokkering van de URL of het IP-adres voor de opgegeven periode opgeheven.

Windows-beveiliging melding voor netwerkbeveiliging.

Microsoft Defender voor Eindpunt-beheerders kunnen smartScreen-deblokkeringsfunctionaliteit configureren in de Microsoft Defender-portal met behulp van een acceptatie-indicator voor IP's, URL's en domeinen.

Netwerkbeveiliging SmartScreen blok configuratie-URL en IP-formulier.

Zie Indicatoren maken voor IP-adressen en URL's/domeinen.

Netwerkbeveiliging gebruiken

Netwerkbeveiliging wordt per apparaat ingeschakeld, wat meestal wordt gedaan met behulp van uw beheerinfrastructuur. Zie Netwerkbeveiliging inschakelen voor ondersteunde methoden.

Opmerking

Microsoft Defender Antivirus moet actief zijn om netwerkbeveiliging in te schakelen.

U kunt netwerkbeveiliging inschakelen in audit de modus of block modus. Als u de impact van het inschakelen van netwerkbeveiliging wilt evalueren voordat IP-adressen of URL's daadwerkelijk worden geblokkeerd, kunt u netwerkbeveiliging inschakelen in de controlemodus en gegevens verzamelen over wat wordt geblokkeerd. Controlemodus registreert wanneer eindgebruikers verbinding maken met een adres of site die anders zou worden geblokkeerd door netwerkbeveiliging. Als u wilt dat indicatoren van inbreuk (IoC) of wcf (webinhoud filteren) werken, moet de netwerkbeveiliging in block de modus zijn.

Zie de volgende artikelen voor informatie over netwerkbeveiliging voor Linux en macOS:

Geavanceerd opsporen

Als u geavanceerde opsporing gebruikt om controlegebeurtenissen te identificeren, hebt u een geschiedenis van maximaal 30 dagen beschikbaar via de console. Zie Geavanceerde opsporing.

U vindt de controlegebeurtenissen in Geavanceerde opsporing in de Defender voor Eindpunt-portal (https://security.microsoft.com).

Controlegebeurtenissen bevinden zich in DeviceEvents met een ActionType van ExploitGuardNetworkProtectionAudited. Blokken worden weergegeven met een ActionType van ExploitGuardNetworkProtectionBlocked.

Hier volgt een voorbeeldquery voor het weergeven van netwerkbeveiligingsgebeurtenissen voor niet-Microsoft-browsers:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Geavanceerde opsporing voor het controleren en identificeren van gebeurtenissen.

Tip

Deze vermeldingen bevatten gegevens in de kolom AdditionalFields die u veel informatie geven over de actie. Als u AdditionalFields uitvouwt , kunt u ook de velden : IsAudit, ResponseCategory en DisplayName ophalen.

Hier volgt nog een voorbeeld:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

De categorie Antwoord geeft aan wat de gebeurtenis heeft veroorzaakt, zoals in dit voorbeeld:

ResponseCategory Functie die verantwoordelijk is voor de gebeurtenis
CustomPolicy WCF
CustomBlockList Aangepaste indicatoren
CasbPolicy Defender voor Cloud-apps
Kwaadaardig Webbedreigingen
Phishing Webbedreigingen

Zie Problemen met eindpuntblokken oplossen voor meer informatie.

Als u de Microsoft Edge-browser gebruikt, gebruikt u deze query voor Microsoft Defender SmartScreen-gebeurtenissen:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName

U kunt de resulterende lijst met URL's en IP-adressen gebruiken om te bepalen wat er wordt geblokkeerd als netwerkbeveiliging is ingesteld op de blokkeringsmodus op het apparaat. U kunt ook zien welke functies URL's en IP-adressen blokkeren. Bekijk de lijst om url's of IP-adressen te identificeren die nodig zijn voor uw omgeving. Vervolgens kunt u een acceptatie-indicator maken voor deze URL's of IP-adressen. Toestaan dat indicatoren voorrang hebben op blokken.

Nadat u een indicator hebt gemaakt, kunt u het onderliggende probleem als volgt oplossen:

  • SmartScreen – beoordeling aanvragen
  • Indicator : bestaande indicator wijzigen
  • MCA : niet-sanctioned app controleren
  • WCF : hercategorisatie van aanvragen

Met behulp van deze gegevens kunt u een weloverwogen beslissing nemen over het inschakelen van netwerkbeveiliging in de blokmodus. Zie Volgorde van prioriteit voor netwerkbeveiligingsblokken.

Opmerking

Omdat dit een instelling per apparaat is, kunt u, als er apparaten zijn die niet naar de blokmodus kunnen worden verplaatst, deze gewoon op controle laten staan totdat u de uitdaging kunt oplossen en u nog steeds de controlegebeurtenissen ontvangt.

Zie Fout-positieven rapporteren voor informatie over het rapporteren van fout-positieven.

Zie Aangepaste rapporten maken met Power BI voor meer informatie over het maken van uw eigen Power BI-rapporten.

Netwerkbeveiliging configureren

Zie Netwerkbeveiliging inschakelen voor meer informatie over het inschakelen van netwerkbeveiliging. Gebruik groepsbeleid, PowerShell of MDM CSP's om netwerkbeveiliging in uw netwerk in te schakelen en te beheren.

Nadat u netwerkbeveiliging hebt ingeschakeld, moet u mogelijk uw netwerk of firewall configureren om de verbindingen tussen uw eindpuntapparaten en de webservices toe te staan:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Netwerkbeveiligingsevenementen weergeven

Netwerkbeveiliging werkt het beste met Microsoft Defender voor Eindpunt, waarmee u gedetailleerde rapportages krijgt over exploit protection-gebeurtenissen en -blokken als onderdeel van scenario's voor waarschuwingsonderzoek.

Wanneer netwerkbeveiliging een verbinding blokkeert, wordt er een melding weergegeven vanuit het Actiecentrum. Uw beveiligingsteam kan de melding aanpassen met de gegevens en contactgegevens van uw organisatie. Bovendien kunnen afzonderlijke regels voor het verminderen van kwetsbaarheid voor aanvallen worden ingeschakeld en aangepast aan bepaalde technieken om te bewaken.

U kunt ook de controlemodus gebruiken om te evalueren hoe netwerkbeveiliging van invloed is op uw organisatie als deze is ingeschakeld.

Netwerkbeveiligingsevenementen controleren in de Microsoft Defender-portal

Defender voor Eindpunt biedt gedetailleerde rapportage over gebeurtenissen en blokken als onderdeel van de scenario's voor waarschuwingsonderzoek. U kunt deze details bekijken in de Microsoft Defender portal (https://security.microsoft.com) in de waarschuwingswachtrij of met behulp van geavanceerde opsporing. Als u de controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe netwerkbeveiligingsinstellingen van invloed zijn op uw omgeving als deze zijn ingeschakeld.

Gebeurtenissen voor netwerkbeveiliging bekijken in Windows Logboeken

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer netwerkbeveiliging de toegang tot een schadelijk IP- of domein blokkeert (of controleert):

  1. Kopieer de XML rechtstreeks.

  2. Selecteer OK.

Met deze procedure maakt u een aangepaste weergave die filtert om alleen de volgende gebeurtenissen weer te geven die betrekking hebben op netwerkbeveiliging:

Gebeurtenis-id Omschrijving
5007 Gebeurtenis wanneer instellingen worden gewijzigd
1125 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de controlemodus
1126 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de blokmodus

Netwerkbeveiliging en de TCP-handshake in drie richtingen

Met netwerkbeveiliging wordt bepaald of de toegang tot een site moet worden toegestaan of geblokkeerd na voltooiing van de handshake in drie richtingen via TCP/IP. Wanneer netwerkbeveiliging een site blokkeert, ziet u mogelijk een actietype onder ConnectionSuccessDeviceNetworkEvents in de Microsoft Defender portal, ook al is de site geblokkeerd. DeviceNetworkEvents worden gerapporteerd vanuit de TCP-laag en niet vanuit netwerkbeveiliging. Nadat de handshake in drie richtingen is voltooid, wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.

Hier volgt een voorbeeld van hoe dat werkt:

  1. Stel dat een gebruiker probeert toegang te krijgen tot een website op het apparaat. De site wordt gehost in een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.

  2. De handshake in drie richtingen via TCP/IP begint. Voordat deze is voltooid, wordt een DeviceNetworkEvents actie geregistreerd en ActionType wordt deze weergegeven als ConnectionSuccess. Zodra het handshakeproces in drie richtingen is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel. Een soortgelijk proces vindt plaats met Microsoft Defender SmartScreen. Wanneer de handshake in drie richtingen is voltooid, wordt een bepaling uitgevoerd en wordt de toegang tot een site geblokkeerd of toegestaan.

  3. In de Microsoft Defender-portal wordt een waarschuwing weergegeven in de waarschuwingswachtrij. Details van die waarschuwing zijn zowel als DeviceNetworkEventsAlertEvidence. U kunt zien dat de site is geblokkeerd, ook al hebt u ook een DeviceNetworkEvents item met het ActionType van ConnectionSuccess.

Overwegingen voor windows virtual desktop waarop Windows 10 Enterprise Multi-Session wordt uitgevoerd

Houd rekening met de volgende punten vanwege de aard van meerdere gebruikers van Windows 10 Enterprise:

  1. Netwerkbeveiliging is een apparaatbrede functie en kan niet worden gericht op specifieke gebruikerssessies.

  2. Beleid voor het filteren van webinhoud is ook apparaatbreed.

  3. Als u onderscheid wilt maken tussen gebruikersgroepen, kunt u afzonderlijke Windows Virtual Desktop-hostgroepen en -toewijzingen maken.

  4. Test de netwerkbeveiliging in de controlemodus om het gedrag ervan te beoordelen voordat u deze uitrolt.

  5. U kunt het formaat van uw implementatie wijzigen als u een groot aantal gebruikers of een groot aantal sessies voor meerdere gebruikers hebt.

Alternatieve optie voor netwerkbeveiliging

Voor Windows Server 2012 R2 en Windows Server 2016 met de moderne geïntegreerde oplossing Windows Server versie 1803 of hoger en Windows 10 Enterprise Multi-Session 1909 en hoger, gebruikt in Windows Virtual Desktop in Azure, kan netwerkbeveiliging voor Microsoft Edge worden ingeschakeld met behulp van de volgende methode:

  1. Gebruik Netwerkbeveiliging inschakelen en volg de instructies om uw beleid toe te passen.

  2. Voer de volgende PowerShell-opdrachten uit:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      Opmerking

      In sommige gevallen kan, afhankelijk van uw infrastructuur, de hoeveelheid verkeer en andere omstandigheden, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 invloed hebben op de netwerkprestaties.

Netwerkbeveiliging voor Windows-servers

Hieronder vindt u informatie die specifiek is voor Windows-servers.

Controleer of netwerkbeveiliging is ingeschakeld

Controleer met register Editor of netwerkbeveiliging is ingeschakeld op een lokaal apparaat.

  1. Selecteer de startknop op de taakbalk en typ regedit om de register-Editor te openen.

  2. Selecteer HKEY_LOCAL_MACHINE in het zijmenu.

  3. Navigeer door de geneste menu's naarSOFTWARE-beleid>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Als de sleutel niet aanwezig is, navigeert u naar SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netwerkbeveiliging)

  4. Selecteer EnableNetworkProtection om de huidige status van netwerkbeveiliging op het apparaat te bekijken:

    • 0 = Uit
    • 1 = Aan (ingeschakeld)
    • 2 = Controlemodus

Zie Netwerkbeveiliging inschakelen voor meer informatie.

Aanbevolen registersleutels voor netwerkbeveiliging

Voor Windows Server 2012 R2 en Windows Server 2016 met de moderne geïntegreerde oplossing Windows Server versie 1803 of hoger en Windows 10 Enterprise Multi-Session 1909 en hoger (gebruikt in Windows Virtual Desktop in Azure), schakelt u als volgt andere registersleutels in:

  1. Ga naar HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

  2. Configureer de volgende sleutels:

    • AllowNetworkProtectionOnWinServer (DWORD) ingesteld op 1 (hex)
    • EnableNetworkProtection (DWORD) ingesteld op 1 (hex)
    • (Alleen op Windows Server 2012 R2 en Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) ingesteld op 1 (hex)

Opmerking

Afhankelijk van uw infrastructuur, het volume van het verkeer en andere omstandigheden kan HKEY_LOCAL_MACHINE>SOFTWARE-beleid>>Microsoft>Windows Defender>NIS-IPS - >>AllowDatagramProcessingOnWinServer (dword) 1 (hex) van invloed zijn op de netwerkprestaties.

Zie Voor meer informatie: Netwerkbeveiliging inschakelen

Voor Windows-servers en Windows Multi-session-configuratie is PowerShell vereist

Voor Windows-servers en Windows Multi-sessions zijn er andere items die u moet inschakelen met behulp van PowerShell-cmdlets. Voor Windows Server 2012 R2 en Windows Server 2016 met de moderne geïntegreerde oplossing Windows Server versie 1803 of hoger en Windows 10 Enterprise Multi-Session 1909 en hoger, gebruikt in Windows Virtual Desktop in Azure, voert u de volgende PowerShell-opdrachten uit:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Opmerking

In sommige gevallen kan, afhankelijk van uw infrastructuur, het volume van het verkeer en andere omstandigheden, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 de netwerkprestaties beïnvloeden.

Problemen met netwerkbeveiliging oplossen

Vanwege de omgeving waarin netwerkbeveiliging wordt uitgevoerd, kan de functie mogelijk geen proxy-instellingen voor het besturingssysteem detecteren. In sommige gevallen kunnen netwerkbeveiligingsclients de cloudservice niet bereiken. Als u het verbindingsprobleem wilt oplossen, configureert u een statische proxy voor Microsoft Defender Antivirus.

Opmerking

Voordat u begint met het oplossen van problemen, moet u het QUIC-protocol instellen op disabled in browsers die worden gebruikt. HET QUIC-protocol wordt niet ondersteund met netwerkbeveiligingsfunctionaliteit.

Omdat Global Secure Access momenteel geen ondersteuning biedt voor UDP-verkeer, kan UDP-verkeer naar de poort 443 niet worden getunneld. U kunt het QUIC-protocol uitschakelen, zodat Global Secure Access-clients terugvallen op https (TCP-verkeer op poort 443). U moet deze wijziging aanbrengen als de servers waartoe u toegang probeert te krijgen QUIC ondersteunen (bijvoorbeeld via Microsoft Exchange Online). Als u QUIC wilt uitschakelen, kunt u een van de volgende acties uitvoeren:

QUIC uitschakelen in Windows Firewall

De meest algemene methode om QUIC uit te schakelen, is door die functie uit te schakelen in Windows Firewall. Deze methode is van invloed op alle toepassingen, inclusief browsers en client-apps (zoals Microsoft Office). Voer in PowerShell de New-NetFirewallRule cmdlet uit om een nieuwe firewallregel toe te voegen waarmee QUIC wordt uitgeschakeld voor al het uitgaande verkeer van het apparaat:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

QUIC uitschakelen in een webbrowser

U kunt QUIC uitschakelen op het niveau van de webbrowser. Deze methode voor het uitschakelen van QUIC betekent echter dat QUIC blijft werken op niet-browsertoepassingen. Als u QUIC wilt uitschakelen in Microsoft Edge of Google Chrome, opent u de browser, zoekt u de instelling experimenteel QUIC-protocol (#enable-quic vlag) en wijzigt u de instelling in Disabled. In de volgende tabel ziet u welke URI u moet invoeren in de adresbalk van de browser, zodat u toegang hebt tot die instelling.

Browser URI
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

Prestaties van netwerkbeveiliging optimaliseren

Netwerkbeveiliging omvat prestatieoptimalisatie waarmee block de modus asynchroon langdurige verbindingen kan inspecteren, wat een prestatieverbetering kan opleveren. Deze optimalisatie kan ook helpen bij compatibiliteitsproblemen met apps. Deze mogelijkheid is standaard ingeschakeld. U kunt deze mogelijkheid uitschakelen met behulp van de volgende PowerShell-cmdlet:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.