Включить защиту сети

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Microsoft Defender для серверов
• Антивирусная программа в Microsoft Defender

Платформы

• Windows
• Linux (см . раздел Защита сети для Linux)
• macOS (см . раздел Защита сети для macOS)

Защита сети помогает предотвратить использование сотрудниками любого приложения для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, эксплойты и другое вредоносное содержимое в Интернете. Вы можете провести аудит защиты сети в тестовой среде, чтобы узнать, какие приложения будут заблокированы перед включением защиты сети.

Дополнительные сведения о параметрах конфигурации фильтрации сети см. в этой статье.

Включение защиты сети

Чтобы включить защиту сети, можно использовать любой из методов, описанных в этой статье.

Управление параметрами безопасности Microsoft Defender для конечной точки

Создание политики безопасности конечной точки

1. Войдите на портал Microsoft Defender, используя по крайней мере назначенную роль администратора безопасности.

2. Перейдите в раздел Конечные точкиУправление конфигурацией>>Политики безопасности конечных точек, а затем выберите Создать политику.

3. В разделе Выбор платформы выберите Windows 10, Windows 11 и Windows Server.

4. В разделе Выбор шаблона выберите Microsoft Defender Антивирусная программа, а затем — Создать политику.

5. На странице Основные сведения введите имя и описание профиля, а затем щелкните Далее.

6. На странице Параметры разверните каждую группу параметров и настройте параметры, которыми вы хотите управлять с помощью этого профиля.

   • Защита сети на клиентах Windows:

     Описание	Setting
     Включение защиты сети	Параметры: — Включен режим блокировки (режим блокировки) необходим для блокировки индикаторов IP-адресов и URL-адресов и фильтрации веб-содержимого. — включено (режим аудита) — отключено (по умолчанию) — не настроено

   • Защита сети на Windows Server 2012 R2 и Windows Server 2016 используйте дополнительную политику, указанную в следующей таблице.

     Описание	Setting
     Разрешить защиту сети на нижнем уровне	Параметры: — Защита сети будет включена в нижнем уровневом режиме. — Защита сети будет отключена по нижнему плану. (по умолчанию) — не настроено

   • Необязательные параметры защиты сети для Windows и Windows Server:

     Предупреждение

     Allow Datagram Processing On WinServer Отключите параметр . Это важно для любых ролей, которые создают большие объемы трафика UDP, таких как контроллеры домена, DNS-серверы Windows, файловые серверы Windows, серверы Microsoft SQL, серверы Microsoft Exchange и другие. Включение обработки датаграмм в таких случаях может снизить производительность и надежность сети. Отключение помогает поддерживать стабильность сети и обеспечивает более эффективное использование системных ресурсов в средах с высоким спросом.

     Описание	Setting
     Разрешить обработку datagram на Win Server	— обработка данных на Windows Server включена. — Обработка данных на Windows Server отключена (рекомендуется по умолчанию). — не настроено
     Отключение синтаксического анализа DNS через TCP	— синтаксический анализ DNS через TCP отключен. — Синтаксический анализ DNS через TCP включен (по умолчанию). — не настроено
     Отключение синтаксического анализа HTTP	— синтаксический анализ HTTP отключен. — синтаксический анализ HTTP включен (по умолчанию). — не настроено
     Отключение синтаксического анализа SSH	— синтаксический анализ по протоколу SSH отключен. — Синтаксический анализ SSH включен (по умолчанию). — не настроено
     Отключение синтаксического анализа TLS	— Синтаксический анализ TLS отключен. — Синтаксический анализ TLS включен (по умолчанию). — не настроено
     [Не рекомендуется]Включение приемника DNS	— Воронка DNS отключена. — Включена воронка DNS. (по умолчанию) — не настроено

7. Завершив настройку параметров, нажмите Далее.

8. На странице Назначения выберите группы, которые получат этот профиль. Нажмите кнопку Далее.

9. На странице Просмотр и создание просмотрите сведения и нажмите кнопку Сохранить.

   Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Microsoft Intune

Метод Microsoft Defender для конечной точки Baseline

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в разделБазовые показатели безопасности>конечных> точек Microsoft Defender для конечной точки Базовые показатели.

3. Выберите Создать профиль, укажите имя профиля и нажмите кнопку Далее.

4. В разделе Параметры конфигурации перейдите к разделу Правила> сокращения направлений атаки, задайте для параметра Блокировать, Включить или Аудит для включения защиты сети. Нажмите кнопку Далее.

5. Выберите соответствующие теги области и назначения в соответствии с требованиями вашей организации.

6. Просмотрите все сведения и нажмите кнопку Создать.

Метод политики антивирусной программы

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Антивирусная программа для обеспечения безопасности конечных> точек.

3. Нажмите кнопку Создать политику.

4. Во всплывающем окне Создание политики выберите Windows 10, Windows 11 и Windows Server в списке Платформа.

5. Выберите Microsoft Defender Антивирусная программа в списке Профиль, а затем нажмите кнопку Создать.

6. Укажите имя профиля и нажмите кнопку Далее.

7. В разделе Параметры конфигурации выберите Отключено, Включено (режим блокировки) или Включено (режим аудита) для параметра Включить защиту сети, а затем нажмите кнопку Далее.

8. Выберите соответствующие теги "Назначения " и "Область" в соответствии с требованиями вашей организации.

9. Просмотрите все сведения и нажмите кнопку Создать.

Метод профиля конфигурации

1. Войдите в Центр администрирования Microsoft Intune (https://intune.microsoft.com).

2. Перейдите в раздел Устройства>Профили конфигурации>Создать профиль.

3. Во всплывающем окне Создание профиля выберите Платформа и выберите Тип профиля как Шаблоны.

4. В поле Имя шаблона выберите Endpoint Protection в списке шаблонов, а затем выберите Создать.

5. Перейдите в разделОсновные сведенияо Endpoint Protection>, укажите имя профиля и нажмите кнопку Далее.

6. В разделе Параметры конфигурации перейдите к разделу Microsoft Defender Exploit Guard>Фильтрация> сетиЗащита сети>Включение или аудит. Нажмите кнопку Далее.

7. Выберите соответствующие теги области, назначения и правила применимости в соответствии с требованиями вашей организации. Администраторы могут устанавливать дополнительные требования.

8. Просмотрите все сведения и нажмите кнопку Создать.

Управление мобильными устройствами (MDM)

1. Используйте поставщик службы конфигурации EnableNetworkProtection (CSP), чтобы включить или отключить защиту сети или включить режим аудита.

2. Обновите Microsoft Defender платформу защиты от вредоносных программ до последней версии, прежде чем включать или отключать защиту от сети.

Групповая политика

Используйте следующую процедуру, чтобы включить защиту сети на компьютерах, присоединенных к домену, или на автономном компьютере.

1. На автономном компьютере перейдите в меню Пуск , а затем введите и выберите Изменить групповую политику.

   -Или-

   На присоединенном к домену компьютере управления групповая политика откройте консоль управления групповая политика. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

3. Разверните дерево для компонентов> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderЗащита сетиExploit Guard>.

   В более старых версиях Windows путь групповая политика может иметь антивирусная программа Defender Windows, а не антивирусную программу Microsoft Defender.

4. Дважды щелкните параметр Запретить пользователям и приложениям доступ к опасным веб-сайтам и установите для параметра значение Включено. В разделе параметры необходимо указать один из следующих параметров:

   • Блокировать . Пользователи не могут получить доступ к вредоносным IP-адресам и доменам.
   • Отключить (по умолчанию) — функция защиты сети не будет работать. Пользователям не запрещен доступ к вредоносным доменам.
   • Режим аудита . Если пользователь посещает вредоносный IP-адрес или домен, событие записывается в журнал событий Windows. Однако пользователю не будет запрещено посещать адрес.

   Важно!

   Чтобы полностью включить защиту сети, необходимо задать для параметра групповая политика значение Включено, а также выбрать блокировать в раскрывающемся меню параметров.

5. (Этот шаг является необязательным.) Выполните действия, описанные в разделе Проверка включения защиты сети, чтобы убедиться, что параметры групповая политика верны.

Microsoft Configuration Manager

1. Откройте консоль Configuration Manager.

2. Перейдите в раздел Активы и соответствие>Endpoint Protection>Exploit Guard в Защитнике Windows.

3. Выберите Создать политику Exploit Guard на ленте, чтобы создать новую политику.

   • Чтобы изменить существующую политику, выберите политику, а затем выберите Свойства на ленте или в контекстном меню. Измените параметр Настроить защиту сети на вкладке Защита сети .

4. На странице Общие укажите имя новой политики и убедитесь, что включен параметр Защита сети .

5. На странице Защита сети выберите один из следующих параметров для параметра Настроить защиту сети :

   • Блокировка
   • Аудит
   • Disabled

6. Выполните остальные действия и сохраните политику.

7. На ленте выберите Развернуть , чтобы развернуть политику в коллекции.

PowerShell

1. На устройстве с Windows нажмите кнопку Пуск, введите powershell, щелкните правой кнопкой мыши Windows PowerShell, а затем выберите Запуск от имени администратора.

2. Запустите следующий командлет:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Для Windows Server используйте дополнительные команды, перечисленные в следующей таблице:

   Версия Windows Server	Команды
   Windows Server 2019 г. и более поздних версий	set-mpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2 с единым агентом для Microsoft Defender для конечной точки	set-MpPreference -AllowNetworkProtectionDownLevel $true set-MpPreference -AllowNetworkProtectionOnWinServer $true

1. (Этот шаг является необязательным.) Чтобы настроить защиту сети в режим аудита, используйте следующий командлет:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Чтобы отключить защиту сети, используйте Disabled параметр вместо AuditMode или Enabled.

Проверьте, включена ли защита сети

Для проверка состояния защиты сети можно использовать Редактор реестра.

1. Нажмите кнопку Пуск на панели задач и введите regedit. В списке результатов выберите Редактор реестра, чтобы открыть его.

2. Выберите HKEY_LOCAL_MACHINE в боковом меню.

3. Перейдите через вложенные меню в раздел Software>Policies>Microsoft>Windows Defender>Policy Manager.

   Если ключ отсутствует, перейдите в раздел Software>Microsoft>Windows Defender>Windows Exploit Guard>Network Protection.

4. Выберите EnableNetworkProtection , чтобы просмотреть текущее состояние защиты сети на устройстве:

   • 0 или Выкл.
   • 1 или Включено
   • 2 или режим аудита

   

Важная информация об удалении параметров Exploit Guard с устройства

При развертывании политики Exploit Guard с помощью Configuration Manager параметры остаются в клиенте, даже если позднее развертывание будет удалено. Если развертывание удалено, клиент Delete не поддерживается в ExploitGuardHandler.log файле.

Используйте следующий сценарий PowerShell в контексте, SYSTEM чтобы правильно удалить параметры Exploit Guard:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

См. также

• Защита сети

• Защита сети для Linux

• Защита сети для macOS

• Защита сети и трехстороннее подтверждение TCP

• Оценка защиты сети

• Устранение неполадок с защитой сети