Utilizar a proteção de rede para ajudar a impedir ligações a sites maliciosos ou suspeitos
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataformas
- Windows
- macOS
- Linux
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se numa avaliação gratuita.
Descrição geral da proteção de rede
A proteção de rede ajuda a proteger dispositivos de determinados eventos baseados na Internet ao impedir ligações a sites maliciosos ou suspeitos. A proteção de rede é uma capacidade de redução da superfície de ataque que ajuda a impedir que as pessoas na sua organização acedam a domínios considerados perigosos através de aplicações. Exemplos de domínios perigosos são domínios que alojam esquemas de phishing, exploits e outros conteúdos maliciosos na Internet. A proteção de rede expande o âmbito do Microsoft Defender SmartScreen para bloquear todo o tráfego HTTP(S) de saída que tenta ligar a origens de baixa reputação (com base no domínio ou nome do anfitrião).
A proteção de rede expande a proteção na proteção Web ao nível do sistema operativo e é um componente principal da Filtragem de Conteúdo Web (WCF). Fornece a funcionalidade de proteção da Web encontrada no Microsoft Edge para outros browsers suportados e aplicações que não sejam do browser. A proteção de rede também fornece visibilidade e bloqueio de indicadores de comprometimento (IOCs) quando utilizados com a deteção e resposta de Ponto final. Por exemplo, a proteção de rede funciona com os indicadores personalizados que pode utilizar para bloquear domínios ou nomes de anfitriões específicos.
Cobertura de proteção de rede
A tabela seguinte resume as áreas de proteção de rede de cobertura.
Recurso | Microsoft Edge | Browsers não Microsoft | Processos nonbrowser (por exemplo, PowerShell) |
---|---|---|---|
Proteção Contra Ameaças na Web | O SmartScreen tem de estar ativado | A proteção de rede tem de estar no modo de bloqueio | A proteção de rede tem de estar no modo de bloqueio |
Indicadores Personalizados | O SmartScreen tem de estar ativado | A proteção de rede tem de estar no modo de bloqueio | A proteção de rede tem de estar no modo de bloqueio |
Filtragem de Conteúdo Web | O SmartScreen tem de estar ativado | A proteção de rede tem de estar no modo de bloqueio | Sem suporte |
Observação
No Mac e Linux, tem de ter proteção de rede no modo de bloqueio para obter suporte para estas funcionalidades no Edge. No Windows, a proteção de rede não monitoriza o Microsoft Edge. Para processos que não sejam o Microsoft Edge e a Internet Explorer, os cenários de proteção Web tiram partido da proteção de rede para inspeção e imposição.
- O IP é suportado para os três protocolos (TCP, HTTP e HTTPS (TLS)).
- Apenas são suportados endereços IP únicos (sem blocos CIDR ou intervalos de IP) em indicadores personalizados.
- Os URLs encriptados (caminho completo) só podem ser bloqueados em browsers originais (Internet Explorer, Edge).
- Os URLs encriptados (apenas FQDN) podem ser bloqueados em browsers de terceiros (ou seja, para além da Internet Explorer, Edge).
- Os blocos de caminho de URL completos podem ser aplicados para URLs não encriptados.
Pode haver até 2 horas de latência (normalmente menos) entre o momento em que a ação é efetuada e o URL e o IP bloqueados.
Veja este vídeo para saber como a Proteção de rede ajuda a reduzir a superfície de ataque dos seus dispositivos a partir de esquemas de phishing, exploits e outros conteúdos maliciosos:
Requisitos para a proteção de rede
A proteção de rede requer dispositivos com um dos seguintes sistemas operativos:
- Windows 10 ou 11 (Pro ou Enterprise) (consulte Versões suportadas do Windows)
- Windows Server, versão 1803 ou posterior (consulte Versões suportadas do Windows)
- macOS versão 12 (Monterey) ou posterior (consulte Microsoft Defender para Ponto de Extremidade no Mac)
- Uma versão suportada do Linux (veja Microsoft Defender para Ponto de Extremidade no Linux)
A proteção de rede também requer Microsoft Defender Antivírus com proteção em tempo real ativada.
Versão do Windows | Microsoft Defender Antivírus |
---|---|
Windows 10 versão 1709 ou posterior, Windows 11, Windows Server 1803 ou posterior | Confirme que Microsoft Defender proteção em tempo real do Antivírus, monitorização de comportamento e proteção fornecida pela cloud estão ativadas (ativas) |
Windows Server 2012 R2 e Windows Server 2016 com o agente unificado | Versão 4.18.2001.x.x ou mais recente da Atualização de Plataforma |
Por que motivo a proteção de rede é importante
A proteção de rede faz parte do grupo de redução da superfície de ataque de Microsoft Defender para Ponto de Extremidade. A proteção de rede permite que a camada de rede bloqueie URLs e endereços IP. A proteção de rede pode impedir que os URLs sejam acedidos através de determinados browsers e ligações de rede padrão. Por predefinição, a proteção de rede protege os seus computadores de URLs maliciosos conhecidos através do feed SmartScreen, que bloqueia URLs maliciosos de uma forma semelhante ao SmartScreen no browser Microsoft Edge. A funcionalidade de proteção de rede pode ser expandida para:
- Bloquear endereços IP/URL das suas próprias informações sobre ameaças (indicadores)
- Bloquear serviços não selecionados de Microsoft Defender para Aplicativos de Nuvem
- Bloquear o acesso do browser a sites com base na categoria (filtragem de conteúdo Web)
A proteção de rede é uma parte crítica da pilha de proteção e resposta da Microsoft.
Dica
Para obter detalhes sobre a proteção de rede para Windows Server, Linux, MacOS e Defesa Contra Ameaças para Dispositivos Móveis (MTD), veja Proativamente investigar ameaças com investigação avançada.
Bloquear ataques de Comando e Controlo
Os computadores de servidor de Comando e Controlo (C2) são utilizados por utilizadores maliciosos para enviar comandos para sistemas anteriormente comprometidos por software maligno. Normalmente, os ataques C2 ocultam-se em serviços baseados na cloud, como serviços de partilha de ficheiros e webmail, permitindo que os servidores C2 evitem a deteção ao misturar com tráfego típico.
Os servidores C2 podem ser utilizados para iniciar comandos que podem:
- Roubar dados
- Controlar computadores comprometidos numa botnet
- Interromper aplicações legítimas
- Propagar software maligno, como ransomware
O componente de proteção de rede do Defender para Endpoint identifica e bloqueia as ligações a infraestruturas C2 utilizadas em ataques de ransomware operados por humanos, utilizando técnicas como machine learning e identificação inteligente de indicador de compromisso (IoC).
Proteção de rede: deteção e remediação C2
Na sua forma inicial, o ransomware é uma ameaça de mercadoria pré-programada e focada em resultados limitados e específicos (como encriptar um computador). No entanto, o ransomware evoluiu para uma ameaça sofisticada, orientada por humanos, adaptável e focada em grandes escalas e resultados mais difundidos, como manter os ativos ou dados de toda a organização para resgate.
O suporte para servidores de Comandos e Controlo (C2) é uma parte importante desta evolução do ransomware e é o que permite que estes ataques se adaptem ao ambiente de destino. Quebrar a ligação para a infraestrutura de comando e controlo interrompe a progressão de um ataque para a fase seguinte. Para obter mais informações sobre a deteção e remediação C2, veja Detetar e remediar ataques de comando e controlo na camada de rede.
Proteção de rede: Novas notificações de alerta
Novo mapeamento | Categoria de resposta | Fontes |
---|---|---|
phishing | Phishing | SmartScreen |
malicioso | Mal-intencionado | SmartScreen |
comando e controlo | C2 | SmartScreen |
comando e controlo | COCO | SmartScreen |
malicioso | Não fidedigno | SmartScreen |
pelo seu administrador de TI | CustomBlockList | |
pelo seu administrador de TI | CustomPolicy |
Observação
customAllowList não gera notificações em pontos finais.
Novas notificações para a determinação da proteção de rede
Uma nova capacidade publicamente disponível na proteção de rede utiliza funções no SmartScreen para bloquear atividades de phishing de sites de comando e controlo maliciosos. Quando um utilizador final tenta visitar um site num ambiente no qual a proteção de rede está ativada, são possíveis três cenários:
- O URL tem uma boa reputação conhecida – neste caso, o utilizador tem permissão para aceder sem obstrução e não é apresentada nenhuma notificação de alerta no ponto final. Na verdade, o domínio ou URL está definido como Permitido.
- O URL tem uma reputação desconhecida ou incerta – o acesso do utilizador está bloqueado, mas com a capacidade de contornar (desbloquear) o bloco. Na verdade, o domínio ou URL está definido como Auditoria.
- O URL tem uma má reputação conhecida (maliciosa) – o utilizador está impedido de aceder. Na verdade, o domínio ou URL está definido como Bloquear.
Experiência de aviso
Um utilizador visita um site. Se o URL tiver uma reputação desconhecida ou incerta, uma notificação de alerta apresenta ao utilizador as seguintes opções:
- Ok: a notificação de alerta é lançada (removida) e a tentativa de acesso ao site terminou.
- Desbloquear: o utilizador tem acesso ao site durante 24 horas; altura em que o bloco é reativado. O utilizador pode continuar a utilizar Desbloquear para aceder ao site até que o administrador proíba (bloqueie) o site, removendo assim a opção para Desbloquear.
- Feedback: a notificação de alerta apresenta ao utilizador uma ligação para submeter um pedido de suporte, que o utilizador pode utilizar para submeter comentários ao administrador numa tentativa de justificar o acesso ao site.
Observação
As imagens apresentadas neste artigo para a warn
experiência e block
experiência utilizam o "URL bloqueado" como texto de marcador de posição de exemplo. Num ambiente funcional, o url ou domínio real é listado.
Bloquear experiência
Um utilizador visita um site. Se o URL tiver má reputação, uma notificação de alerta apresenta ao utilizador as seguintes opções:
- Ok: a notificação de alerta é lançada (removida) e a tentativa de acesso ao site terminou.
- Feedback: a notificação de alerta apresenta ao utilizador uma ligação para submeter um pedido de suporte, que o utilizador pode utilizar para submeter comentários ao administrador numa tentativa de justificar o acesso ao site.
Desbloquear SmartScreen
Com os indicadores no Defender para Endpoint, os administradores podem permitir que os utilizadores finais ignorem os avisos gerados para alguns URLs e IPs. Consoante o motivo pelo qual o URL está bloqueado, quando um bloco SmartScreen é encontrado, pode oferecer ao utilizador a capacidade de desbloquear o site até 24 horas. Nesses casos, é apresentada uma Segurança do Windows notificação de alerta, que permite ao utilizador selecionar Desbloquear. Nestes casos, o URL ou o IP é desbloqueado durante o período de tempo especificado.
Microsoft Defender para Ponto de Extremidade administradores podem configurar a funcionalidade Desbloquear SmartScreen no portal do Microsoft Defender com um indicador de permissão para IPs, URLs e domínios.
Veja Criar indicadores para IPs e URLs/domínios.
Utilizar a proteção de rede
A proteção de rede é ativada por dispositivo, o que é normalmente feito com a sua infraestrutura de gestão. Para obter os métodos suportados, veja Ativar a proteção de rede.
Observação
Microsoft Defender Antivírus tem de estar no modo ativo para ativar a proteção de rede.
Pode ativar a proteção de rede no audit
modo ou block
modo. Se quiser avaliar o impacto da ativação da proteção de rede antes de bloquear efetivamente endereços IP ou URLs, pode ativar a proteção de rede no modo de auditoria e recolher dados sobre o que seria bloqueado. O modo de auditoria regista sempre que os utilizadores finais se ligam a um endereço ou site que, de outra forma, seria bloqueado pela proteção de rede. Para que os indicadores de comprometimento (IoC) ou filtragem de conteúdo Web (WCF) funcionem, a proteção de rede tem de estar em block
modo.
Para obter informações sobre a proteção de rede para Linux e macOS, consulte os seguintes artigos:
Busca avançada
Se estiver a utilizar a investigação avançada para identificar eventos de auditoria, tem até 30 dias de histórico disponível na consola do . Veja Investigação avançada.
Pode encontrar os eventos de auditoria em Investigação avançada no portal do Defender para Endpoint (https://security.microsoft.com).
Os eventos de auditoria estão em DeviceEvents com um ActionType de ExploitGuardNetworkProtectionAudited
. Os blocos são apresentados com um ActionType de ExploitGuardNetworkProtectionBlocked
.
Eis uma consulta de exemplo para ver eventos de Proteção de Rede para browsers que não sejam da Microsoft:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
Dica
Estas entradas têm dados na coluna AdditionalFields que lhe fornecem excelentes informações sobre a ação. Se expandir AdditionalFields , também pode obter os campos : IsAudit, ResponseCategory e DisplayName.
Eis outro exemplo:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
A categoria Response (Resposta) indica o que causou o evento, como neste exemplo:
ResponseCategory | Funcionalidade responsável pelo evento |
---|---|
CustomPolicy | WCF |
CustomBlockList | Indicadores personalizados |
CasbPolicy | Aplicativos do Defender para Nuvem |
Mal-intencionado | Ameaças à Web |
Phishing | Ameaças à Web |
Para obter mais informações, veja Resolver problemas de blocos de pontos finais.
Se estiver a utilizar o browser Microsoft Edge, utilize esta consulta para Microsoft Defender eventos SmartScreen:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
Pode utilizar a lista resultante de URLs e IPs para determinar o que seria bloqueado se a proteção de rede estivesse definida para o modo de bloqueio no dispositivo. Também pode ver que funcionalidades bloqueariam URLs e IPs. Reveja a lista para identificar os URLS ou IPs necessários para o seu ambiente. Em seguida, pode criar um indicador de permissão para esses URLs ou endereços IP. Os indicadores de permissão têm precedência sobre todos os blocos.
Depois de criar um indicador, pode ver como resolver o problema subjacente da seguinte forma:
- SmartScreen – revisão de pedidos
- Indicador – modificar indicador existente
- MCA – rever a aplicação não aprovada
- WCF – recategorização de pedidos
Com estes dados, pode tomar uma decisão informada sobre como ativar a Proteção de rede no modo de Bloqueio. Veja Ordem de precedência para Blocos de proteção de rede.
Observação
Uma vez que se trata de uma definição por dispositivo, se existirem dispositivos que não podem ser movidos para o Modo de bloqueio, pode simplesmente deixá-los em auditoria até conseguir retificar o desafio e continuar a receber os eventos de auditoria.
Para obter informações sobre como comunicar falsos positivos, veja Reportar falsos positivos.
Para obter detalhes sobre como criar os seus próprios relatórios do Power BI, veja Criar relatórios personalizados com o Power BI.
Configurar a proteção de rede
Para obter mais informações sobre como ativar a proteção de rede, veja Ativar a proteção de rede. Utilize Política de Grupo, PowerShell ou CSPs MDM para ativar e gerir a proteção de rede na sua rede.
Depois de ativar a proteção de rede, poderá ter de configurar a sua rede ou firewall para permitir as ligações entre os dispositivos de ponto final e os serviços Web:
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
Ver eventos de proteção de rede
A proteção de rede funciona melhor com Microsoft Defender para Ponto de Extremidade, o que lhe fornece relatórios detalhados sobre eventos e blocos de proteção contra exploits como parte de cenários de investigação de alertas.
Quando a proteção de rede bloqueia uma ligação, é apresentada uma notificação a partir do Centro de Ação. A sua equipa de operações de segurança pode personalizar a notificação com os detalhes e as informações de contacto da sua organização. Além disso, as regras individuais de redução da superfície de ataque podem ser ativadas e personalizadas de acordo com determinadas técnicas a monitorizar.
Também pode utilizar o modo de auditoria para avaliar como a proteção de rede afetaria a sua organização se estivesse ativada.
Rever eventos de proteção de rede no portal do Microsoft Defender
O Defender para Endpoint fornece relatórios detalhados sobre eventos e blocos como parte dos cenários de investigação de alertas. Pode ver estes detalhes no portal Microsoft Defender (https://security.microsoft.com) na fila de alertas ou através da investigação avançada. Se estiver a utilizar o modo de auditoria, pode utilizar a investigação avançada para ver como as definições de proteção de rede afetariam o seu ambiente se estivessem ativadas.
Rever eventos de proteção de rede no Windows Visualizador de Eventos
Pode rever o registo de eventos do Windows para ver eventos criados quando os blocos de proteção de rede (ou auditorias) acedem a um IP ou domínio malicioso:
Selecione OK.
Este procedimento cria uma vista personalizada que filtra para mostrar apenas os seguintes eventos relacionados com a proteção de rede:
ID do Evento | Descrição |
---|---|
5007 |
Evento quando as definições são alteradas |
1125 |
Evento quando a proteção de rede é acionada no modo de auditoria |
1126 |
Evento quando a proteção de rede é acionada no modo de bloqueio |
Proteção de rede e handshake tridirecional TCP
Com a proteção de rede, a determinação de permitir ou bloquear o acesso a um site é efetuada após a conclusão do handshake tridirecional através de TCP/IP. Assim, quando a proteção de rede bloqueia um site, poderá ver um tipo de ConnectionSuccess
DeviceNetworkEvents
ação no portal do Microsoft Defender, apesar de o site ter sido bloqueado.
DeviceNetworkEvents
são comunicados a partir da camada TCP e não da proteção de rede. Após a conclusão do handshake tridirecional, o acesso ao site é permitido ou bloqueado pela proteção de rede.
Eis um exemplo de como funciona:
Suponha que um utilizador tenta aceder a um site no respetivo dispositivo. O site está alojado num domínio perigoso e deve ser bloqueado pela proteção de rede.
O handshake tridirecional através de TCP/IP começa. Antes de ser concluída, é registada uma
DeviceNetworkEvents
ação eActionType
está listada comoConnectionSuccess
. No entanto, assim que o processo de handshake tridirecional for concluído, a proteção de rede bloqueia o acesso ao site. Tudo isto acontece rapidamente. Um processo semelhante ocorre com Microsoft Defender SmartScreen; é quando o handshake tridirecional conclui que é feita uma determinação e o acesso a um site é bloqueado ou permitido.No portal Microsoft Defender, é apresentado um alerta na fila de alertas. Os detalhes desse alerta incluem e
DeviceNetworkEvents
AlertEvidence
. Pode ver que o site foi bloqueado, apesar de também ter umDeviceNetworkEvents
item com o ActionType deConnectionSuccess
.
Considerações sobre o ambiente de trabalho virtual do Windows em execução Windows 10 Enterprise Várias Sessões
Devido à natureza multiutilizador do Windows 10 Enterprise, tenha em atenção os seguintes pontos:
A proteção de rede é uma funcionalidade em todo o dispositivo e não pode ser direcionada para sessões de utilizador específicas.
As políticas de filtragem de conteúdos Web também são de todo o dispositivo.
Se precisar de diferenciar entre grupos de utilizadores, considere criar conjuntos de anfitriões e atribuições separados do Windows Virtual Desktop.
Teste a proteção de rede no modo de auditoria para avaliar o respetivo comportamento antes de ser implementada.
Considere redimensionar a implementação se tiver um grande número de utilizadores ou um grande número de sessões de vários utilizadores.
Opção alternativa para proteção de rede
Para Windows Server 2012 R2 e Windows Server 2016 utilizar a solução unificada moderna, a versão 1803 ou posterior do Windows Server e Windows 10 Enterprise Multi-Session 1909 e posterior, utilizada no Windows Virtual Desktop no Azure, a proteção de rede do Microsoft Edge pode ser ativada com o seguinte método:
Utilize Ativar a proteção de rede e siga as instruções para aplicar a política.
Execute os seguintes comandos do PowerShell:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Observação
Em alguns casos, dependendo da infraestrutura, do volume de tráfego e de outras condições,
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
pode ter um efeito no desempenho da rede.
Proteção de rede para Windows Servers
Seguem-se informações específicas dos Windows Servers.
Verifique se a proteção de rede está ativada
Verifique se a proteção de rede está ativada num dispositivo local com a Editor de Registo.
Selecione o botão Iniciar na barra de tarefas e escreva regedit para abrir o Editor de Registo.
Selecione HKEY_LOCAL_MACHINE no menu lateral.
Navegue pelos menus aninhados paraPolíticas> de SOFTWARE>Proteção de Rede doMicrosoft>Windows Defender>Windows Defender Exploit Guard>.
(Se a chave não estiver presente, navegue para SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Proteção de Rede)
Selecione EnableNetworkProtection para ver o estado atual da proteção de rede no dispositivo:
-
0
= Desativado -
1
= Ativado (ativado) -
2
= Modo de auditoria
-
Para obter mais informações, veja Ativar a proteção de rede.
Chaves de registo sugeridas de proteção de rede
Para Windows Server 2012 R2 e Windows Server 2016 a utilizar a solução unificada moderna, a versão 1803 ou posterior do Windows Server e Windows 10 Enterprise Multi-Session 1909 e posterior (utilizada no Windows Virtual Desktop no Azure), ative outras chaves de registo, da seguinte forma:
Aceda a HKEY_LOCAL_MACHINE>SOFTWARE Microsoft>>Windows Defender>Windows Defender Exploit Guard>Network Protection.
Configure as seguintes chaves:
-
AllowNetworkProtectionOnWinServer
(DWORD) definido como1
(hex) -
EnableNetworkProtection
(DWORD) definido como1
(hex) - (Apenas Windows Server 2012 R2 e Windows Server 2016)
AllowNetworkProtectionDownLevel
(DWORD) definido como1
(hex)
-
Observação
Consoante a sua infraestrutura, volume de tráfego e outras condições, HKEY_LOCAL_MACHINE>Políticas> deSOFTWARE> OsConsumidores> deNIS> doMicrosoft>Windows Defender>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) podem ter um efeito no desempenho da rede.
Para obter mais informações, veja: Ativar a proteção de rede
A configuração de Várias Sessões do Windows e do Windows requer o PowerShell
Para Windows Servers e Windows Multi-session, existem outros itens que tem de ativar através dos cmdlets do PowerShell. Para Windows Server 2012 R2 e Windows Server 2016 utilizar a solução unificada moderna, a versão 1803 ou posterior do Windows Server e Windows 10 Enterprise Multi-Session 1909 e posterior, utilizada no Windows Virtual Desktop no Azure, execute os seguintes comandos do PowerShell:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Observação
Em alguns casos, dependendo da sua infraestrutura, o volume de tráfego e outras condições, Set-MpPreference -AllowDatagramProcessingOnWinServer 1
podem afetar o desempenho da rede.
Resolução de problemas de proteção de rede
Devido ao ambiente onde a proteção de rede é executada, a funcionalidade poderá não conseguir detetar as definições de proxy do sistema operativo. Em alguns casos, os clientes de proteção de rede não conseguem aceder ao serviço cloud. Para resolve o problema de conectividade, configure um proxy estático para Microsoft Defender Antivírus.
Observação
Antes de iniciar a resolução de problemas, certifique-se de que define o protocolo QUIC para disabled
nos browsers utilizados. O protocolo QUIC não é suportado com a funcionalidade de proteção de rede.
Uma vez que o Acesso Seguro Global não suporta atualmente tráfego UDP, o tráfego UDP para a porta 443
não pode ser túnel. Pode desativar o protocolo QUIC para que os clientes de Acesso Seguro Global voltem a utilizar HTTPS (tráfego TCP na porta 443). Tem de efetuar esta alteração se os servidores aos quais está a tentar aceder suportarem QUIC (por exemplo, através de Microsoft Exchange Online). Para desativar o QUIC, pode efetuar uma das seguintes ações:
Desativar QUIC na Firewall do Windows
O método mais genérico para desativar o QUIC é desativar essa funcionalidade na Firewall do Windows. Este método afeta todas as aplicações, incluindo browsers e aplicações cliente (como o Microsoft Office). No PowerShell, execute o New-NetFirewallRule
cmdlet para adicionar uma nova regra de firewall que desativa o QUIC para todo o tráfego de saída do dispositivo:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
Desativar QUIC num browser
Pode desativar o QUIC ao nível do browser. No entanto, este método de desativação da QUIC significa que a QUIC continua a funcionar em aplicações nonbrowser. Para desativar o QUIC no Microsoft Edge ou no Google Chrome, abra o browser, localize a definição de protocolo QUIC Experimental (#enable-quic
sinalizador) e, em seguida, altere a definição para Disabled
. A tabela seguinte mostra o URI a introduzir na barra de endereço do browser para que possa aceder a essa definição.
Navegador | URI |
---|---|
Microsoft Edge | edge://flags/#enable-quic |
Google Chrome | chrome://flags/#enable-quic |
Otimizar o desempenho da proteção de rede
A proteção de rede inclui otimização de desempenho que permite block
que o modo inspecione assíncronamente as ligações de longa duração, o que pode proporcionar uma melhoria de desempenho. Esta otimização também pode ajudar com problemas de compatibilidade de aplicações. Esta capacidade está ativada por predefinição. Pode desativar esta capacidade com o seguinte cmdlet do PowerShell:
Set-MpPreference -AllowSwitchToAsyncInspection $false
Confira também
- Avaliar a proteção de rede | Realize um cenário rápido que demonstre como a funcionalidade funciona e que eventos seriam normalmente criados.
- Ativar a proteção de rede | Utilize Política de Grupo, PowerShell ou CSPs MDM para ativar e gerir a proteção de rede na sua rede.
- Configurar capacidades de redução da superfície de ataque no Microsoft Intune
- Proteção de rede para Linux | Para saber mais sobre como utilizar a proteção da Rede Microsoft para dispositivos Linux.
- Proteção de rede para macOS | Para saber mais sobre a proteção da Microsoft Network para macOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.