Поделиться через

Защита сети для macOS

  • Применяется к: Microsoft Defender for Business

Предварительные условия

  • Лицензирование: Microsoft Defender XDR для конечной точки плана 1 или Microsoft Defender XDR для конечной точки плана 2 (может быть пробной) или Microsoft Defender для бизнеса.
  • Подключенные компьютеры: версия macOS: Big Sur (11) или более поздняя, с версией продукта 101.94.13 или более поздней.
  • Сторонние веб-браузеры, такие как Brave, Chrome, Opera и Safari
  • Браузер Microsoft Edge для macOS

Примечание.

SmartScreen в Microsoft Edge для macOS в настоящее время не поддерживает фильтрацию веб-содержимого, пользовательские индикаторы и другие корпоративные функции. Однако защита сети обеспечивает эту защиту Microsoft Edge для macOS, если включена защита сети.

Обзор

Защита сети помогает уменьшить количество атак на ваших устройствах, связанные с событиями в Интернете. Это не позволяет пользователям использовать любое приложение для доступа к опасным доменам, в которых могут размещаться:

  • фишинговые аферы
  • Подвиги
  • другое вредоносное содержимое в Интернете

Защита сети расширяет область Microsoft Defender SmartScreen, чтобы заблокировать весь исходящий трафик HTTP/HTTPS, который пытается подключиться к источникам с низкой репутацией во всех основных браузерах. Блоки исходящего трафика HTTP/HTTPS основаны на домене или имени узла.

В процессах, отличных от Microsoft Edge, защита сети определяет полное доменное имя для каждого подключения HTTPS, проверяя содержимое подтверждения TLS, которое происходит после подтверждения TCP/IP. Для этого требуется, чтобы httpS-подключение использовало TCP/IP (не UDP/QUIC), а сообщение ClientHello не было зашифровано. Чтобы отключить QUIC и Encrypted Client Hello в Google Chrome, см. статьи QuicAllowed и EncryptedClientHelloEnabled. Сведения о Mozilla Firefox см . в разделах Отключение EncryptedClientHello и network.http.http3.enable.

Доступность

Защита сети для macOS теперь доступна для всех подключенных устройств macOS Microsoft Defender для конечной точки, соответствующих минимальным требованиям. Все настроенные в настоящее время политики защиты от сетевых и веб-угроз применяются на устройствах macOS, на которых настроена защита сети в режиме блокировки.

Чтобы развернуть защиту сети для macOS, мы рекомендуем выполнить следующие действия:

  • Создайте группу устройств для небольшого набора устройств, которые можно использовать для тестирования защиты сети.
  • Оцените влияние веб-защиты от угроз, пользовательских индикаторов компрометации, фильтрации веб-содержимого и Microsoft Defender for Cloud Apps политик принудительного применения, предназначенных для тех устройств macOS, где защита сети находится в режиме блокировки.
  • Разверните политику режима аудита или блокировки в этой группе устройств и убедитесь, что нет проблем или неисправных рабочих потоков.
  • Постепенно развертывайте защиту сети на большом наборе устройств до развертывания.

Текущие возможности

  • Пользовательские индикаторы компрометации в доменах и IP-адресах.

  • Фильтрация веб-содержимого поддерживает следующие действия:

    • Блокировать категории веб-сайтов, ограниченные группами устройств, с помощью политик, созданных на портале Microsoft Defender.
    • Политики применяются к браузерам, включая Microsoft Edge для macOS.

  • Расширенная охота— сетевые события отражаются на временной шкале компьютера и запрашиваются в разделе Расширенная охота для помощи в исследованиях безопасности.

  • Microsoft Defender for Cloud Apps:

    • Обнаружение теневых ИТ-ресурсов— определите, какие приложения используются в вашей организации.
    • Блокировать приложения— блокировать использование в организации целых приложений (таких как Slack и Facebook).

  • Корпоративный VPN в тандеме или параллельно с защитой сети:

    • В настоящее время конфликты VPN не выявляются.
    • Если у вас возникают конфликты, вы можете отправить отзыв через канал обратной связи, указанный в нижней части этой страницы.

Известные проблемы

  • Существует известная проблема несовместимости приложений с функцией VMware "Per-App Tunnel". (Такая несовместимость может привести к невозможности заблокировать трафик, проходящий через туннель для каждого приложения.)

  • Существует известная проблема несовместимости приложений с Blue Coat Proxy. (Такая несовместимость может привести к аварийному сбою сетевого уровня в несвязанных приложениях, если включены как прокси-сервер Blue Coat, так и защита сети.)

Важные замечания

  • Мы не рекомендуем управлять защитой сети с помощью системных настроек. Вместо этого используйте программу командной строки mdatp или JamF/Intune для управления защитой сети для macOS.

  • Чтобы оценить эффективность защиты от веб-угроз macOS, рекомендуется попробовать ее в браузерах, отличных от Microsoft Edge для macOS (например, Safari). Microsoft Edge для macOS имеет встроенную защиту от веб-угроз (Smartscreen), которая включена независимо от состояния защиты сети.

Инструкции по развертыванию

Microsoft Defender XDR для конечной точки

Установите последнюю версию продукта с помощью автоматического обновления Майкрософт. Чтобы открыть функцию автоматического обновления Майкрософт, выполните следующую команду в терминале:

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

Настройте продукт с помощью сведений о вашей организации, следуя инструкциям в нашей документации.

Защита сети отключена по умолчанию, но ее можно настроить для запуска в одном из следующих режимов (также называемых уровнями принудительного применения):

  • Аудит: полезно, чтобы убедиться, что он не влияет на бизнес-приложения, или получить представление о частоте возникновения блоков
  • Блокировать: защита сети предотвращает подключение к вредоносным веб-сайтам
  • Отключено: отключены все компоненты, связанные с защитой сети

Эту функцию можно развернуть одним из следующих способов: вручную, с помощью JAMF или Intune. В следующих разделах подробно описан каждый из этих методов.

Ручное развертывание

Чтобы настроить уровень принудительного применения, выполните следующую команду в терминале:

mdatp config network-protection enforcement-level --value [enforcement-level]

Например, чтобы настроить защиту сети для запуска в режиме блокировки, выполните следующую команду:

mdatp config network-protection enforcement-level --value block

Чтобы убедиться, что защита сети успешно запущена, выполните следующую команду в терминале и убедитесь, что она выводит сообщение "запущено":

mdatp health --field network_protection_status

Развертывание JAMF Pro

Для успешного развертывания JAMF Pro требуется профиль конфигурации, чтобы задать уровень принудительной защиты сети.

После создания этого профиля конфигурации назначьте его устройствам, на которых требуется включить защиту сети.

Настройка уровня принудительного применения

Примечание.

Если вы уже настроили Microsoft Defender XDR для конечной точки на Компьютере Mac с помощью приведенных здесь инструкций, обновите файл plist, который вы развернули ранее, с помощью содержимого, указанного в этом разделе, и повторно разверните его из JAMF.

  1. Вразделе Профили конфигурациикомпьютеров> выберите Параметры>Приложения & Настраиваемые параметры.

  2. Выберите Отправить файл (PLIST-файл).

  3. Присвойте домену предпочтения значение com.microsoft.wdav.

  4. Отправьте следующий plist-файл.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

развертывание Intune

Для успешного развертывания Intune требуется профиль конфигурации, чтобы задать уровень принудительной защиты сети. После создания этого профиля конфигурации назначьте его устройствам, на которых требуется включить защиту сети.

Настройка уровня принудительного применения с помощью Intune

Примечание.

Если вы уже настроили Microsoft Defender для конечной точки на Компьютере Mac с помощью предыдущих инструкций (с XML-файлом), удалите предыдущую политику настраиваемой конфигурации и замените ее следующими инструкциями:

  1. В центре администрирования Microsoft Intune по адресу https://intune.microsoft.comперейдите в раздел Устройства>Управление устройствами в разделе >Конфигурация. Или, чтобы перейти непосредственно к устройствам | Страница конфигурации , используйте https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

  2. На вкладке Политикив разделе Устройства | Страница конфигурации выберите Создать>новую политику.

  3. Во всплывающем окне Создание профиля настройте следующие параметры:

    • Платформа: выберите macOS.
    • Профиль: выберите Каталог параметров.

    Нажмите Создать.

  4. Откроется мастер создания политики . На вкладке Основные сведения настройте следующие параметры:

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание: введите необязательное описание.

    Нажмите кнопку Далее.

  5. На вкладке Параметры конфигурации выберите Добавить параметры. Во всплывающем окне Средства выбора параметров прокрутите вниз и выберите Microsoft Defender>Сетевая защита. В появившемся списке параметров выберите Уровень принудительного применения, а затем закройте всплывающее окно Средства выбора параметров .

    Вернитесь на вкладку Параметры конфигурации и измените уровень принудительного применения на блокировать.

    Нажмите кнопку Далее.

  6. На вкладке Теги области по умолчанию выбран тег область с именем Default, но его можно удалить и выбрать другие существующие теги область. По завершении нажмите кнопку Далее.

  7. На вкладке Назначения настройте следующие параметры:

    • Раздел Включенные группы. Выберите один из следующих параметров:
      • Добавить группы. Выберите одну или несколько групп для включения.
      • Добавление всех пользователей
      • Добавление всех устройств
    • Исключенные группы. Выберите Добавить группы , чтобы указать группы для исключения.

    Завершив работу на вкладке Создание профиля , нажмите кнопку Далее.

  8. На вкладке Просмотр и создание проверьте параметры и нажмите кнопку Создать.

Развертывание Mobileconfig

Чтобы развернуть конфигурацию с помощью .mobileconfig файла, который можно использовать с решениями MDM сторонних разработчиков или распространять на устройства напрямую, выполните следующие действия.

  1. Сохраните следующие полезные данные как com.microsoft.wdav.xml.mobileconfig.

    <?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender ATP settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender ATP configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender ATP configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>networkProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Убедитесь, что файл из предыдущего шага был скопирован правильно. С помощью терминала выполните следующую команду и убедитесь, что она выводит ОК:

    plutil -lint com.microsoft.wdav.xml

Как изучить функции

  1. Узнайте, как защитить организацию от веб-угроз с помощью защиты от веб-угроз.

    • Защита от веб-угроз является частью веб-защиты в Microsoft Defender для конечной точки. Он использует защиту сети для защиты устройств от веб-угроз.

  2. Запустите поток Настраиваемые индикаторы компрометации , чтобы получить блоки для типа Пользовательского индикатора.

  3. Изучите фильтрацию веб-содержимого.

    Примечание.

    При одновременном удалении политики или изменении групп устройств это может привести к задержке развертывания политики. Совет pro. Вы можете развернуть политику, не выбирая какую-либо категорию в группе устройств. Это действие создаст политику только аудита, чтобы помочь вам понять поведение пользователей перед созданием политики блоков.

    Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

  4. Интеграция Microsoft Defender для конечной точки с Defender for Cloud Apps, а устройства macOS с поддержкой защиты сети имеют возможности принудительного применения политики конечных точек.

    Примечание.

    Обнаружение и другие функции в настоящее время не поддерживаются на этих платформах.

Сценарии

Поддерживаются следующие сценарии.

Защита от веб-угроз

Защита от веб-угроз является частью веб-защиты в Microsoft Defender XDR для конечной точки. Он использует защиту сети для защиты устройств от веб-угроз. Интеграция с Microsoft Edge для macOS и популярными браузерами сторонних организаций (например, Brave, Chrome, Firefox, Safari, Opera) предотвращает веб-угрозы без использования веб-прокси. Дополнительные сведения о поддержке браузеров см. в разделе Предварительные требования Защита от веб-угроз может защитить устройства в локальной среде или вне их. Защита от веб-угроз останавливает доступ к следующим типам сайтов:

  • фишинговые сайты
  • векторы вредоносных программ
  • эксплойт-сайты
  • ненадежные сайты или сайты с низкой репутацией
  • сайты, заблокированные в пользовательском списке индикаторов

Web Protection сообщает об обнаружении веб-угроз.

Дополнительные сведения см. в статье Защита организации от веб-угроз.

Пользовательские индикаторы компрометации

Индикатор компрометации ( IoCs) сопоставления является важной функцией в каждом решении для защиты конечных точек. Эта возможность позволяет SecOps задавать список индикаторов для обнаружения и блокировки (предотвращение и реагирование).

Создание индикаторов, определяющих обнаружение, предотвращение и исключение сущностей. Вы можете определить действие, которое будет выполняться, а также длительность применения действия и область группы устройств, к которые оно будет применено.

В настоящее время поддерживаются подсистема облачного обнаружения Defender для конечной точки, подсистема автоматического исследования и исправления, а также подсистема защиты конечных точек (Microsoft Defender антивирусная программа).

Отображается индикатор добавления URL-адреса или домена для защиты сети.

Дополнительные сведения см. в статье Создание индикаторов для IP-адресов и URL-адресов и доменов.

Фильтрация веб-содержимого

Фильтрация веб-содержимого является частью возможностей веб-защиты в Microsoft Defender для конечной точки и Microsoft Defender для бизнеса. Фильтрация веб-содержимого позволяет вашей организации отслеживать и регулировать доступ к веб-сайтам на основе их категорий контента. Многие из этих веб-сайтов (даже если они не являются вредоносными) могут быть проблематичными из-за нормативных требований, использования пропускной способности или других проблем.

Настройте политики в группах устройств, чтобы заблокировать определенные категории. Блокировка категории запрещает пользователям в указанных группах устройств доступ к URL-адресам, связанным с этой категорией. Для любой категории, которая не заблокирована, URL-адреса проверяются автоматически. Пользователи могут получать доступ к URL-адресам без перерыва, а вы собираете статистику доступа, чтобы создать более настраиваемое решение политики. Пользователи увидят уведомление о блокировке, если элемент на просматриваемой странице вызывает заблокированный ресурс.

Фильтрация веб-содержимого поддерживает основные веб-браузеры (Brave, Chrome, Firefox, Safari и Opera) с блокировкой, принудительной защитой сети.

Дополнительные сведения о поддержке браузера см. в разделе Предварительные требования.

Показывает политику добавления веб-содержимого для защиты сети.

Дополнительные сведения о отчетах см. в разделе Фильтрация веб-содержимого.

Microsoft Defender for Cloud Apps

Каталог приложений Microsoft Defender for Cloud Apps или Cloud определяет приложения, которые конечные пользователи должны получать предупреждения при доступе, и помечает их как Отслеживаемые. Домены, перечисленные в разделе отслеживаемых приложений, позже синхронизируются с Microsoft Defender XDR для конечной точки:

Отображает отслеживаемые приложения для защиты сети.

В течение 10–15 минут эти домены будут перечислены в Microsoft Defender XDR в разделе URL-адреса индикаторов > или домены с Action=Warn. В рамках принудительного SLA (см. подробные сведения в конце этой статьи) конечные пользователи получают предупреждающие сообщения при попытке доступа к этим доменам:

Отображает индикаторы защиты сети для URL-адресов или предупреждений доменов.

Когда пользователь пытается получить доступ к отслеживаемым доменам, защитник для конечной точки предупреждает его. Пользователь получает простой блочный интерфейс, а также следующее всплывающее сообщение, которое отображается операционной системой, включая имя заблокированного приложения (например, Blogger.com).

Отображается всплывающее уведомление о блокировке содержимого защиты сети конечных пользователей.

Если пользователь сталкивается с блоком, у него есть два возможных решения: обход и образование.

Обход пользователя

  • Для всплывающего сообщения: нажмите кнопку Разблокировать . Перезагрузив веб-страницу, пользователь сможет продолжить работу и использовать облачное приложение. (Это действие применимо в течение следующих 24 часов, по истечении которых пользователю необходимо разблокировать еще раз.)

Обучение пользователей

  • Для выполнения всплывающих сообщений: нажмите само всплывающее сообщение. Конечный пользователь перенаправляется на настраиваемый URL-адрес перенаправления, глобальный в Microsoft Defender for Cloud Apps (дополнительные сведения в нижней части этой страницы)

Примечание.

Отслеживание обходов на приложение. Вы можете отслеживать, сколько пользователей обошли предупреждение на странице приложения в Microsoft Defender for Cloud Apps.

Общие сведения о безопасности облачных приложений для защиты сети.

Приложение

Шаблон сайта SharePoint для центра образования пользователей

Для многих организаций важно использовать облачные элементы управления, предоставляемые Microsoft Defender for Cloud Apps, и не только устанавливать ограничения на конечных пользователей при необходимости, но и обучать их следующим вопросам:

  • конкретный инцидент
  • почему это произошло
  • обоснование этого решения
  • Как можно устранить проблемы с заблокированными сайтами

Столкнувшись с непредвиденным поведением, путаница пользователей может быть уменьшена путем предоставления им максимально возможной информации не только для объяснения того, что произошло, но и для того, чтобы научить их быть более осведомленными при следующем выборе облачного приложения для завершения своей работы. Например, эти сведения могут включать:

  • Политики безопасности и соответствия требованиям организации, а также рекомендации по использованию Интернета и облака
  • Утвержденные или рекомендуемые облачные приложения для использования
  • Ограниченные или заблокированные облачные приложения для использования

Важные вещи, которые следует знать

  1. Для распространения и обновления доменов приложений может потребоваться до двух часов (как правило, меньше) после того, как домены приложений помечаются как Отслеживаемые.

  2. По умолчанию действие выполняется для всех приложений и доменов, помеченных как Отслеживаемые в Microsoft Defender for Cloud Apps для всех подключенных конечных точек в организации.

  3. Полные URL-адреса в настоящее время не поддерживаются и не отправляются из Microsoft Defender for Cloud Apps в Microsoft Defender для конечной точки. Если какие-либо полные URL-адреса перечислены в разделе Microsoft Defender for Cloud Apps как отслеживаемые приложения, пользователи не получают предупреждения при попытке доступа к сайту. (Например, google.com/drive не поддерживается, а drive.google.com поддерживается.)

  4. Администраторы должны убедиться, что зашифрованный клиент Hello и QUIC отключены при тестировании, чтобы убедиться, что сайты заблокированы правильно. См. инструкции выше.

Совет

Уведомления конечных пользователей не отображаются в сторонних браузерах? Убедитесь, что вы разрешили уведомления от Microsoft Defender в разделе Уведомления параметров> системы.

См. также

  • Last updated on