共用方式為


macOS 的網路保護

適用於:

必要條件

  • 授權:端點方案 1 的 Microsoft Defender 全面偵測回應 或端點方案 2 的 Microsoft Defender 全面偵測回應 (可以試用) 或 適用於企業的 Microsoft Defender。
  • 上線機器:macOS 版本:Big Sur (11) 或更新版本,產品版本為 101.94.13 或更新版本。
  • 非Microsoft網頁瀏覽器,例如函式、Chrome、Opera 和 Safari
  • Microsoft Edge for macOS 瀏覽器

注意事項

適用於 macOS 的 Microsoft Edge 中的 SmartScreen 目前不支援 Web 內容篩選、自定義指標或其他企業功能。 不過,如果已啟用網路保護,網路保護會為macOS Microsoft Edge提供這項保護。

概觀

網路保護可協助減少裝置遭受因特網型事件的攻擊面。 它可防止人員使用任何應用程式來存取可能裝載危險的網域:

  • 網路釣魚詐騙
  • 利用
  • 因特網上的其他惡意內容

網路保護會擴充 Microsoft Defender 全面偵測回應 SmartScreen 的範圍,以封鎖所有嘗試連線到低信譽來源的輸出 HTTP/HTTPS 流量。 輸出 HTTP/HTTPS 流量上的區塊是以網域或主機名為基礎。

可用性

適用於macOS的網路保護現在適用於符合最低需求的所有 適用於端點的 Microsoft Defender 上線macOS裝置。 您目前設定的所有網路保護和 Web 威脅防護原則都會在已針對封鎖模式設定網路保護的 macOS 裝置上強制執行。

若要推出macOS的網路保護,建議您執行下列動作:

  • 為一小組裝置建立裝置群組,以供您用來測試網路保護。
  • 評估 Web 威脅防護、自定義入侵指標、Web 內容篩選,以及 Microsoft Defender for Cloud Apps 強制執行原則的影響,這些原則是以網路保護處於封鎖模式的 macOS 裝置為目標。
  • 將稽核或封鎖模式原則部署至此裝置群組,並確認沒有任何問題或損毀的工作流。
  • 逐漸將網路保護部署到一組較大的裝置,直到推出為止。

目前功能

  • 網域和IP的自定義入侵指標。
  • Web 內容篩選支援:
    • 透過 Microsoft Defender 入口網站中建立的原則,封鎖範圍為裝置群組的網站類別。
    • 原則會套用至瀏覽器,包括 Chromium Microsoft Edge for macOS。
  • 進階搜捕 - 網路事件會反映在計算機時間軸中,而且可在進階搜捕中查詢以協助安全性調查。
  • Microsoft 雲端 App 安全性:
    • 影子 IT 探索 - 識別組織中使用的應用程式。
    • 封鎖應用程式 - 封鎖整個應用程式 (例如 Slack 和 Facebook) 在您的組織中使用。
  • 公司 VPN 與網路保護同時或並存:
    • 目前未識別任何 VPN 衝突。
    • 如果您遇到衝突,您可以透過此頁面底部所列的意見反應通道提供意見反應。

已知問題

  • 區塊/警告 UX 無法自定義,而且可能需要其他外觀和操作變更。 (收集客戶意見反應,以推動進一步的設計改進)
  • VMware 的「個別應用程式通道」功能有已知的應用程式不相容問題。 (這種不相容可能會導致無法封鎖通過「個別應用程式通道」的流量。)
  • 藍階 Proxy 有已知的應用程式不相容問題。 (當藍精靈 Proxy 和網路保護同時啟用時,此不相容性可能會導致不相關應用程式中的網路層損毀。)

重要提示

  • 我們不建議使用 [ 中斷 連線] 按鈕來控制系統喜好設定的網路保護。 請改用 mdatp 命令行工具或 JamF/Intune 來控制 macOS 的網路保護。
  • 若要評估 macOS Web 威脅防護的有效性,建議您在 macOS (的 Microsoft Edge 以外的瀏覽器中試用,例如 Safari) 。 Microsoft Edge for macOS 具有內建的 Web 威脅防護 (Microsoft Defender Browser Protection 擴充功能,可提供不論您評估的 Mac 網路保護功能是否已開啟,都會啟用的 Smartscreen 功能) 。

部署指示

端點的 Microsoft Defender 全面偵測回應

透過 Microsoft AutoUpdate 安裝最新的產品版本。 若要開啟 autoUpdate Microsoft,請從終端機執行下列命令:

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

使用我們的公開檔中的指示,使用您的組織資訊來設定產品。

網路保護預設為停用,但可設定為在下列其中一種模式中執行, (也稱為強制層級) :

  • 核:有助於確保它不會影響企業營運應用程式,或瞭解區塊的發生頻率
  • 封鎖:網路保護可防止連線到惡意網站
  • 已停用:所有與網路保護相關聯的元件都會停用

您可以使用下列其中一種方式來部署此功能:手動、透過 JAMF 或透過 Intune。 下列各節會詳細說明這些方法。

手動部署

若要設定強制層級,請從終端機執行下列命令:

mdatp config network-protection enforcement-level --value [enforcement-level]

例如,若要將網路保護設定為以封鎖模式執行,請執行下列命令:

mdatp config network-protection enforcement-level --value block

若要確認網路保護已成功啟動,請從終端機執行下列命令,並確認其列印「已啟動」:

mdatp health --field network_protection_status

JAMF Pro 部署

成功的 JAMF Pro 部署需要組態配置檔來設定網路保護的強制層級。

建立此組態配置檔之後,請將它指派給您要啟用網路保護的裝置。

設定強制層級

注意事項

如果您已使用此處所列的指示,為 Mac 上的端點設定 Microsoft Defender 全面偵測回應,請使用本節所列的內容更新先前部署的 plist 檔案,然後從 JAMF 重新部署它。

  1. [計算機>組態配置檔] 中,選取 [ 選項>應用程式 & 自定義設定]

  2. 取 [上傳檔案 (PLIST 檔案) ] 。

  3. 將喜好設定網域設定為 com.microsoft.wdav

  4. 上傳下列 plist 檔案。

    
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>networkProtection</key>
        <dict>
            <key>enforcementLevel</key>
            <string>block</string>
        </dict>
    </dict>
    </plist>
    
    

Intune部署

成功的 Intune 部署需要組態配置檔來設定網路保護的強制層級。 建立此組態配置檔之後,請將它指派給您要啟用網路保護的裝置。

使用 Intune 設定強制層級

注意事項

如果您已使用先前的指示 (XML 檔案) 在 Mac 上設定 適用於端點的 Microsoft Defender,請移除先前的自定義設定原則,並以下列指示取代它:

  1. 啟 [管理>裝置設定]。 選 取 [管理>配置檔>] [建立配置檔]

  2. [平臺 ] 變更為 [macOS], 並將 [配置文件類型 ] 變更為 [設定] 目錄。 選取 [建立]

  3. 指定配置檔的名稱。

  4. 在 [ 組態設定] 畫面上,選取 [ 新增設定]。 選 Microsoft Defender>[網络保護],然後勾選 [強制層級] 複選框。

  5. 將強制層級設定為 封鎖。 選取 [下一步]

  6. 開啟組態配置檔並上傳 com.microsoft.wdav.xml 檔案。 (此檔案是在步驟 3.) 中建立的

  7. 選取 [確定]

  8. 取 [管理>指派]。 在 [ 包含] 索 引標籤中,選取您要啟用網路保護的裝置。

Mobileconfig 部署

若要透過 .mobileconfig 可與非Microsoft MDM 解決方案搭配使用或直接散發至裝置的檔案來部署組態,請遵循下列步驟:

  1. 將下列承載儲存為 com.microsoft.wdav.xml.mobileconfig

    
    <?xml version="1.0" encoding="utf-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1">
        <dict>
            <key>PayloadUUID</key>
            <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
            <key>PayloadType</key>
            <string>Configuration</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>com.microsoft.wdav</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender ATP settings</string>
            <key>PayloadDescription</key>
            <string>Microsoft Defender ATP configuration settings</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>PayloadRemovalDisallowed</key>
            <true/>
            <key>PayloadScope</key>
            <string>System</string>
            <key>PayloadContent</key>
            <array>
                <dict>
                    <key>PayloadUUID</key>
                    <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                    <key>PayloadType</key>
                    <string>com.microsoft.wdav</string>
                    <key>PayloadOrganization</key>
                    <string>Microsoft</string>
                    <key>PayloadIdentifier</key>
                    <string>com.microsoft.wdav</string>
                    <key>PayloadDisplayName</key>
                    <string>Microsoft Defender ATP configuration settings</string>
                    <key>PayloadDescription</key>
                    <string/>
                    <key>PayloadVersion</key>
                    <integer>1</integer>
                    <key>PayloadEnabled</key>
                    <true/>
                    <key>networkProtection</key>
                    <dict>
                        <key>enforcementLevel</key>
                        <string>block</string>
                    </dict>
                </dict>
            </array>
        </dict>
    </plist>
    
    
  2. 確認已正確複製上一個步驟中的檔案。 使用終端機,執行下列命令,並確認其輸出正常:

    
    plutil -lint com.microsoft.wdav.xml
    
    

如何探索功能

  1. 瞭解如何使用 Web 威脅防護 來保護您的組織免於遭受 Web 威脅。

    • Web 威脅防護是 適用於端點的 Microsoft Defender 中 Web 保護的一部分。 它會使用網路保護來保護您的裝置免於遭受 Web 威脅。
  2. 執行自 定義入侵指標 流程,以取得自定義指標類型的區塊。

  3. 探索 Web 內容篩選

    注意事項

    如果您同時移除原則或變更裝置群組,這可能會導致原則部署延遲。 Pro 提示:您可以部署原則,而不需要在裝置群組上選取任何類別。 此動作會建立僅限稽核原則,以協助您在建立封鎖原則之前瞭解用戶行為。

    適用於端點的Defender方案1和方案2支援裝置群組建立。

  4. 將 適用於端點的 Microsoft Defender 與 Defender for Cloud Apps 整合,且已啟用網路保護的macOS裝置具有端點原則強制執行功能。

    注意事項

    這些平臺目前不支援探索和其他功能。

案例

支援下列案例。

網頁威脅防護

Web 威脅防護是端點 Microsoft Defender 全面偵測回應 中 Web 保護的一部分。 它會使用網路保護來保護您的裝置免於遭受 Web 威脅。 藉由與適用於 macOS 的 Microsoft Edge 整合,以及熱門的非Microsoft瀏覽器,例如,函式、Chrome、Firefox、Safari、Opera、Web 威脅防護,可在沒有 Web Proxy 的情況下停止 Web 威脅。 如需瀏覽器支援的詳細資訊,請參閱 必要條件 Web 威脅防護可以在裝置位於內部部署或離開時保護裝置。 Web 威脅防護會停止存取下列類型的網站:

  • 網路釣魚網站
  • 惡意代碼向量
  • 惡意探索網站
  • 不受信任或低信譽的網站
  • 在您的自定義指標清單中封鎖的網站

Web 保護會報告 Web 威脅偵測。

如需詳細資訊,請 參閱保護您的組織免於遭受 Web 威脅

自定義入侵指標

在每個端點保護解決方案中, (IoC) 比對的入侵指標都是一項基本功能。 這項功能可讓 SecOps 設定偵測指標清單,以及封鎖 (防護和回應) 。

建立指標,定義實體的偵測、預防和排除。 您可以定義要採取的動作,以及何時套用動作的持續時間,以及要套用動作的裝置群組範圍。

目前支援的來源是適用於端點的 Defender 雲端偵測引擎、自動化調查和補救引擎,以及端點防護引擎 (Microsoft Defender 防病毒軟體) 。

顯示網路保護新增 URL 或網域指標。

如需詳細資訊,請參閱 建立IP和URL/網域的指標

Web 內容篩選

Web 內容篩選是 適用於端點的 Microsoft Defender 和 適用於企業的 Microsoft Defender 中 Web 保護功能的一部分。 Web 內容篩選可讓您的組織根據網站的內容類別來追蹤及規範網站的存取。 這些網站中有許多 (,即使它們不是惡意) 也可能因為合規性法規、頻寬使用或其他考慮而造成問題。

跨裝置群組設定原則以封鎖特定類別。 封鎖類別可防止指定裝置群組內的使用者存取與類別相關聯的 URL。 對於任何未封鎖的類別,會自動稽核 URL。 您的使用者可以在不中斷的情況下存取 URL,而且您可以收集存取統計數據來協助建立更自定義的原則決策。 如果使用者正在檢視的頁面上有元素呼叫已封鎖的資源,則會看到封鎖通知。

Web 內容篩選可在主要網頁瀏覽器上使用,其中包含由網路保護 (、Chrome、Firefox、Safari 和 Opera) 執行的區塊。 如需瀏覽器支援的詳細資訊,請參閱 必要條件

顯示網路保護 Web 內容篩選新增原則。

如需報告的詳細資訊,請參閱 Web 內容篩選

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps/雲端應用程式目錄會識別您想要在存取端點 Microsoft Defender 全面偵測回應 時警告使用者的應用程式,並將它們標示為受監視。 受監視應用程式下列出的網域稍後會同步至端點的 Microsoft Defender 全面偵測回應:

顯示受網路保護監視的應用程式。

在 10-15 分鐘內,這些網域會列在 [指標 URL/具有 Action=Warn 的網域] 下 > Microsoft Defender 全面偵測回應。 在強制執行 SLA (查看本文結尾的詳細資料) ,用戶在嘗試存取這些網域時會收到警告訊息:

顯示 URL 或網域警告的網路保護指標。

當用戶嘗試存取受監視的網域時,適用於端點的 Defender 會警告他們。 用戶會獲得一般封鎖體驗,並伴隨下列快顯通知訊息,操作系統會顯示此訊息,包括封鎖應用程式的名稱 (例如 Blogger.com)

顯示使用者網路保護內容封鎖快顯通知。

如果終端使用者遇到 區塊,使用者有兩種可能的解決方法:略過和教育。

使用者略過

  • 針對快顯通知訊息體驗:按 [ 解除封鎖 ] 按鈕。 藉由重載網頁,使用者就可以繼續使用雲端應用程式。 (此動作適用於接下來的 24 小時,之後用戶必須再次解除封鎖。)

使用者教育

  • 快顯通知訊息體驗:按快顯通知訊息本身。 用戶會重新導向至 Microsoft Defender for Cloud Apps 中全域設定的自定義重新導向 URL (此頁面底部的詳細資訊)

注意事項

追蹤每個應用程式的略過次數:您可以在 Microsoft Defender for Cloud Apps 的 [應用程式] 頁面中追蹤有多少使用者略過警告。

顯示網路保護雲端應用程式安全性概觀。

附錄

使用者教育中心 SharePoint 網站範本

對於許多組織而言,請務必採用 Microsoft Defender for Cloud Apps 所提供的雲端控件,而且不只在需要時設定終端使用者的限制,還要教育並指導他們:

  • 特定事件
  • 發生的原因
  • 此決策背後的想法為何
  • 如何減輕遇到封鎖網站的風險

面對非預期的行為時,使用者的混淆可能會減少,方法是盡可能為他們提供更多資訊,不僅要說明發生什麼事,也可教育他們下次選擇雲端應用程式來完成工作時更加清楚。 例如,這項資訊可以包括:

  • 因特網和雲端使用的組織安全性與合規性原則和指導方針
  • 已核准/建議使用的雲端應用程式
  • 受限制/封鎖的雲端應用程式以供使用

在此頁面中,我們建議您的組織使用基本 SharePoint 網站。

要知道的重要事項

  1. 將應用程式網域標示為受 監視之後,最多可能需要兩個小時 () 才能在端點裝置中傳播和更新。

  2. 根據預設,會針對組織中所有已上線端點的 Microsoft Defender for Cloud Apps 入口網站中標示為受監視的所有應用程式和網域採取動作。

  3. 目前不支援完整 URL,且不會從 Microsoft Defender for Cloud Apps 傳送至 適用於端點的 Microsoft Defender。 如果任何完整的 URL 列在 [Microsoft Defender for Cloud Apps] 底下作為受監視的應用程式,則使用者在嘗試存取網站時不會收到警告。 (例如, google.com/drive 不支援,而 drive.google.com 支援。)

  4. 網路保護不支援在瀏覽器上使用 QUIC。 系統管理員必須確保在測試時停用 QUIC,以確保網站會正確封鎖。

提示

第三方瀏覽器上不會顯示任何使用者通知? 檢查您的快顯通知訊息設定。

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。