启用网络保护功能

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• 服务器的Microsoft Defender
• Microsoft Defender 防病毒

平台

• Windows
• Linux (请参阅 Linux) 的网络保护
• macOS (请参阅 macOS) 的网络保护

提示

希望体验 Defender for Endpoint？ 注册免费试用版。

网络保护 有助于防止员工使用任何应用程序访问可能托管 Internet 上网络钓鱼欺诈、攻击和其他恶意内容的危险域。 可以在测试环境中 审核网络保护 ，以查看在启用网络保护之前将阻止哪些应用。

详细了解网络筛选配置选项。

检查是否启用了网络保护

可以使用注册表编辑器检查网络保护的状态。

1. 选择任务栏中的“ 开始” 按钮，然后键入 regedit。 在结果列表中，选择“注册表编辑器”将其打开。

2. 从侧边菜单中选择 “HKEY_LOCAL_MACHINE ”。

3. 在嵌套菜单中导航到 “软件>策略”>Microsoft>Windows Defender>策略管理器。

   如果缺少密钥，请导航到 “软件>Microsoft>Windows Defender>攻击防护>网络保护”。

4. 选择“ 启用网络保护 ”以查看设备上的网络保护的当前状态：

   • 0 或 关
   • 1 或 开
   • 2 或 审核 模式

   

启用网络保护

若要启用网络保护，可以使用以下方法之一：

• PowerShell
• 移动设备管理 (MDM)
• Microsoft Intune
• 组策略
• Microsoft Configuration Manager

PowerShell

1. 在 Windows 设备上，选择“开始”，键入 powershell，右键单击“Windows PowerShell”，然后选择“以管理员身份运行”。

2. 运行以下 cmdlet：

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. 对于 Windows Server，请使用下表中列出的其他命令：

   Windows Server 版本	命令
   Windows Server 2022 及更高版本	set-mpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2	set-MpPreference -AllowNetworkProtectionDownLevel $true set-MpPreference -AllowNetworkProtectionOnWinServer $true

4. (此步骤是可选的。) 若要将网络保护设置为审核模式，请使用以下 cmdlet：

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   若要关闭网络保护，请使用 Disabled 参数， AuditMode 而不是 或 Enabled。

移动设备管理(MDM)

1. 使用 EnableNetworkProtection 配置服务提供程序 (CSP) 启用或禁用网络保护或启用审核模式。

2. 在启用或禁用网络保护或启用审核模式之前，请将Microsoft Defender反恶意软件平台更新到最新版本。

Microsoft Intune

Microsoft Defender for Endpoint基线方法

1. 登录到 Microsoft Intune 管理中心。

2. 转到“终结点安全性>基线>Microsoft Defender for Endpoint基线”。

3. 选择“ 创建配置文件”，为配置文件提供名称，然后选择“ 下一步”。

4. 在“配置设置”部分中，转到“攻击面减少规则>”设置“”阻止“、”启用“或”审核“以启用网络保护。 选择 下一步。

5. 根据组织的要求，选择适当的 作用域标记 和 分配 。

6. 查看所有信息，然后选择“ 创建”。

防病毒策略方法

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “终结点安全性>防病毒”。

3. 选择“创建策略”。

4. 在“创建策略”浮出控件中，从“平台”列表中选择“Windows 10”、“Windows 11”和“Windows Server”。

5. 从“配置文件”列表中选择“Microsoft Defender防病毒”，然后选择“创建”。

6. 提供配置文件的名称，然后选择“ 下一步”。

7. 在“配置设置”部分中，为“启用网络保护”选择“已禁用”、“启用 (块模式) ”或“启用 (审核模式”) ，然后选择“下一步”。

8. 根据组织的要求，选择适当的 “分配” 和 “范围”标记 。

9. 查看所有信息，然后选择“ 创建”。

配置文件方法

1. () 登录到Microsoft Intune管理中心https://intune.microsoft.com。

2. 转到“设备”>“配置文件”>“创建配置文件”。

3. 在“创建配置文件”浮出控件中，选择“平台”，然后选择“配置文件类型”作为“模板”。

4. 在 “模板名称”中，从模板列表中选择 “终结点保护 ”，然后选择“ 创建”。

5. 转到 Endpoint Protection>Basics，提供配置文件的名称，然后选择“ 下一步”。

6. 在“配置设置”部分中，转到“Microsoft Defender攻击防护>网络筛选>”“启用>”或“审核”。 选择 下一步。

7. 根据组织的要求，选择适当的 范围标记、 分配和 适用性规则 。 管理员可以设置更多要求。

8. 查看所有信息，然后选择“ 创建”。

组策略

使用以下过程在已加入域的计算机或独立计算机上启用网络保护。

1. 在独立计算机上，转到 “开始”， 然后键入并选择“ 编辑组策略”。

   -或-

   在已加入域组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 在 策略管理编辑器中， 计算机配置 并选择 管理模板。

3. 将树展开到 Windows 组件>Microsoft Defender防病毒>Microsoft Defender Exploit Guard>网络保护。

   请注意，在较旧版本的 Windows 上，组策略路径可能具有 Windows Defender 防病毒，而不是Microsoft Defender防病毒。

4. 双击“ 阻止用户和应用访问危险网站 ”设置，并将选项设置为 “已启用”。 在“选项”部分中，必须指定以下选项之一：

   • 阻止 - 用户无法访问恶意 IP 地址和域。
   • 禁用 (默认) - 网络保护功能不起作用。 不会阻止用户访问恶意域。
   • 审核模式 - 如果用户访问恶意 IP 地址或域，则会在 Windows 事件日志中记录事件。 但是，不会阻止用户访问该地址。

   重要

   若要完全启用网络保护，必须将“组策略”选项设置为“已启用”，并在选项下拉菜单中选择“阻止”。

5. (此步骤是可选的。) 按照检查是否启用了网络保护中的步骤验证组策略设置是否正确。

Microsoft Configuration Manager

1. 打开 Configuration Manager 控制台。

2. 转到 资产和合规性>终结点保护>Windows Defender 攻击防护。

3. 从功能区选择“ 创建攻击防护策略 ”以创建新策略。

   • 若要编辑现有策略，请选择该策略，然后从功能区或右键单击菜单中选择“属性”。 从 “网络保护 ”选项卡编辑“配置 网络保护 ”选项。

4. 在“ 常规 ”页上，指定新策略的名称，并验证是否启用了 “网络保护 ”选项。

5. 在“ 网络保护 ”页上，为“ 配置网络保护 ”选项选择以下设置之一：

   • 阻止
   • 审核
   • Disabled

6. 完成其余步骤并保存策略。

7. 在功能区中，选择“ 部署 ”，将策略部署到集合。

有关从设备中删除 Exploit Guard 设置的重要信息

使用 Configuration Manager 部署 Exploit Guard 策略后，如果删除部署，则不会从客户端中删除 Exploit Guard 设置。 此外，如果删除客户端的 Exploit Guard 部署，Delete not supported则会记录在客户端的 ExploitGuardHandler.log Configuration Manager 中。

在 SYSTEM 上下文中使用以下 PowerShell 脚本正确删除 Exploit Guard 设置：

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

另请参阅

• 网络保护
• 适用于 Linux 的网络保护
• 适用于 macOS 的网络保护
• 网络保护和 TCP 三向握手
• 网络保护功能评估
• 排查网络保护问题

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。