Использование защиты сети для предотвращения подключений к вредоносным или подозрительным сайтам

Область применения:

• Microsoft Defender для конечной точки планы 1 и 2
• Microsoft Defender XDR
• Антивирусная программа в Microsoft Defender

Платформы

• Windows
• macOS
• Linux

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрируйтесь для получения бесплатной пробной версии.

Общие сведения о защите сети

Защита сети помогает защитить устройства, предотвращая подключения к вредоносным или подозрительным сайтам. Примерами опасных доменов являются домены, в которых размещаются фишинговые аферы, вредоносные загрузки, технические аферы или другое вредоносное содержимое. Защита сети расширяет область Microsoft Defender SmartScreen, чтобы заблокировать весь исходящий ТРАФИК HTTP(S), который пытается подключиться к источникам с плохой репутацией (на основе домена или имени узла).

Защита сети расширяет защиту в веб-защите до уровня операционной системы и является основным компонентом для фильтрации веб-содержимого (WCF). Он предоставляет функции веб-защиты, доступные в Microsoft Edge, для других поддерживаемых браузеров и приложений, не являющихся браузерами. Защита сети также обеспечивает видимость и блокировку индикаторов компрометации (IOC) при использовании с обнаружением и реагированием конечных точек. Например, защита сети работает с пользовательскими индикаторами для блокировки определенных доменов или имен узлов.

Просмотрите это видео, чтобы узнать, как защита сети помогает уменьшить количество атак на устройствах от фишинга, эксплойтов и другого вредоносного содержимого:

Покрытие защиты сети

В следующей таблице перечислены области покрытия защиты сети.

Чтобы убедиться, что SmartScreen включен для Microsoft Edge, используйте политику Edge: SmartScreen Enabled.

Известные проблемы & ограничения

• IP-адреса поддерживаются для всех трех протоколов (TCP, HTTP и HTTPS (TLS))
• В пользовательских индикаторах поддерживаются только отдельные IP-адреса (без блоков CIDR или диапазонов IP-адресов).
• URL-адреса HTTP (включая полный URL-путь) можно заблокировать для любого браузера или процесса.
• Полные доменные имена HTTPS (FQDN) можно заблокировать в браузерах, отличных от Майкрософт (индикаторы, указывающие полный URL-путь, можно заблокировать только в Microsoft Edge).
• Блокировка полных доменных имен в браузерах, отличных от Майкрософт, требует отключения QUIC и Encrypted Client Hello в этих браузерах.
• Полные доменные имена, загруженные через объединение подключений HTTP2, могут быть заблокированы только в Microsoft Edge
• Защита сети блокирует подключения на всех портах (не только 80 и 443).

Задержка может быть до двух часов (обычно меньше) между добавлением индикатора или политики и блокировкой соответствующего URL-адреса или IP-адреса.

Требования к защите сети

Для защиты сети требуются устройства под управлением одной из следующих операционных систем:

• Windows 10 или 11 (pro или enterprise) (см. раздел Поддерживаемые версии Windows)
• Windows Server версии 1803 или более поздней (см. раздел Поддерживаемые версии Windows)
• macOS версии 12 (Монтерей) или более поздней (см. Microsoft Defender для конечной точки на Mac)
• Поддерживаемая версия Linux (см. Microsoft Defender для конечной точки в Linux)

Для защиты сети также требуется Microsoft Defender антивирусная программа с включенной защитой в режиме реального времени.

Почему важна защита сети

Защита сети входит в группу сокращения направлений атак в решениях в Microsoft Defender для конечной точки. Защита сети позволяет сетевому уровню блокировать подключения к доменам и IP-адресам. По умолчанию защита сети защищает компьютеры от известных вредоносных доменов с помощью веб-канала SmartScreen, который блокирует вредоносные URL-адреса таким образом, как SmartScreen в браузере Microsoft Edge. Функциональность защиты сети может быть расширена до следующих возможностей:

• Блокировка IP-адресов и URL-адресов из собственной аналитики угроз (индикаторов)
• Блокировка несанкционированных служб из Microsoft Defender for Cloud Apps
• Блокировка доступа браузера к веб-сайтам на основе категории (фильтрация веб-содержимого)

Блокировать атаки команд и управления

Серверы команд и управления (C2) используются для отправки команд в системы, ранее скомпрометированные вредоносными программами.

Серверы C2 можно использовать для запуска команд, которые могут:

• Кража данных
• Управление скомпрометированных компьютеров в ботнете
• Нарушение работы допустимых приложений
• Распространение вредоносных программ, например программ-шантажистов

Компонент защиты сети Defender для конечной точки идентифицирует и блокирует подключения к серверам C2, используемым для атак программ-шантажистов, с помощью таких методов, как машинное обучение и интеллектуальная идентификация индикаторов компрометации (IoC).

Защита сети: обнаружение и исправление C2

Программа-шантажист превратилась в сложную угрозу, которая зависит от человека, адаптивна и ориентирована на крупномасштабные результаты, например хранение активов или данных всей организации для выкупа.

Поддержка серверов команд и управления (C2) является важной частью этой эволюции программ-шантажистов, и это то, что позволяет этим атакам адаптироваться к среде, на которую они нацелены. Разрыв связи с инфраструктурой команд и управления останавливает переход атаки к следующему этапу. Дополнительные сведения об обнаружении и исправлении C2 см. в блоге Tech Community: Обнаружение и устранение атак команд и управления на сетевом уровне.

Защита сети: новые всплывающие уведомления

Новые уведомления для определения защиты сети

Когда пользователь пытается посетить веб-сайт в среде, в которой включена защита сети, возможны три сценария, как описано в следующей таблице:

Взаимодействие с предупреждением

Пользователь посещает веб-сайт. Если URL-адрес имеет неизвестную или неопределенную репутацию, всплывающее уведомление предоставляет пользователю следующие параметры:

• Ок. Всплывающее уведомление освобождается (удаляется), а попытка доступа к сайту завершается.
• Разблокировка: пользователь имеет доступ к сайту в течение 24 часов; после чего блок будет повторно включено. Пользователь может продолжать использовать разблокировку для доступа к сайту до тех пор, пока администратор не запретит (заблокирует) сайт, тем самым удаляя параметр Разблокировать.
• Отзыв. Всплывающее уведомление предоставляет пользователю ссылку для отправки билета, который пользователь может использовать для отправки отзывов администратору в попытке оправдать доступ к сайту.

Использование CSP для включения Convert warn verdict to block

По умолчанию решения SmartScreen для вредоносных сайтов приводят к предупреждению, которое может быть переопределено пользователем. Можно настроить политику для преобразования предупреждения в блоки, предотвращая такие переопределения.

Сведения о браузерах, отличных от Edge, см. в разделе Defender CSP: Configuration/EnableConvertWarnToBlock. Сведения о браузерах Edge см. в статье Политика Edge: предотвращение переопределения запросов SmartScreen.

Использование групповая политика для включения преобразования предупреждения о вердикте для блокировки

Включив этот параметр, защита сети блокирует сетевой трафик вместо отображения предупреждения.

1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.

2. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

3. В Редактор управление групповая политикаперейдите в раздел Конфигурация компьютера, а затем выберите Административные шаблоны.

4. Разверните дерево до компонентов> Windows Microsoft Defenderсистемы проверкиантивирусной> сети.

5. Дважды щелкните Преобразовать предупреждающий вердикт, чтобы заблокировать и установите для параметра значение Включено.

6. Нажмите OK.

Блокировка интерфейса

Когда пользователь посещает веб-сайт, URL-адрес которого имеет плохую репутацию, всплывающее уведомление предоставляет пользователю следующие варианты:

• Ок. Всплывающее уведомление освобождается (удаляется), а попытка доступа к сайту завершается.
• Отзыв. Всплывающее уведомление предоставляет пользователю ссылку для отправки билета, который пользователь может использовать для отправки отзывов администратору в попытке оправдать доступ к сайту.

Разблокировка SmartScreen

С помощью индикаторов в Defender для конечной точки администраторы могут разрешить конечным пользователям обходить предупреждения, созданные для некоторых URL-адресов и IP-адресов. В зависимости от того, почему URL-адрес заблокирован, при обнаружении блокировки SmartScreen он может предложить пользователю возможность разблокировать сайт в течение 24 часов. В таких случаях отображается всплывающее уведомление Безопасность Windows, позволяющее пользователю выбрать Разблокировать. В таких случаях URL-адрес или IP-адрес разблокируется в течение указанного периода времени.

Microsoft Defender для конечной точки администраторы могут настроить функцию разблокировки SmartScreen на портале Microsoft Defender с помощью индикатора разрешений для IP-адресов, URL-адресов и доменов.

См . статью Создание индикаторов для IP-адресов и URL-адресов и доменов.

Использование защиты сети

Защита сети включена для каждого устройства, что обычно выполняется с помощью инфраструктуры управления. Поддерживаемые методы см . в разделе Включение защиты сети.

Вы можете включить защиту сети в audit режиме или block режиме. Если вы хотите оценить влияние включения защиты сети перед фактической блокировкой IP-адресов или URL-адресов, можно включить защиту сети в режиме аудита. Режим аудита регистрирует в журнале каждый раз, когда конечные пользователи подключаются к адресу или сайту, которые в противном случае были бы заблокированы защитой сети. Чтобы обеспечить блокировку пользовательских индикаторов или категорий фильтрации веб-содержимого, защита сети должна находиться в block режиме .

Сведения о защите сети для Linux и macOS см. в следующих статьях:

• Защита сети для Linux
• Защита сети для macOS

Расширенная охота

Если вы используете расширенную охоту для выявления событий аудита, у вас есть журнал до 30 дней, доступный в консоли. См . раздел Расширенная охота.

События аудита можно найти в разделе Расширенный поиск на портале Defender для конечной точки (https://security.microsoft.com).

События аудита находятся в DeviceEvents с actionType .ExploitGuardNetworkProtectionAudited Блоки отображаются с типом ActionType .ExploitGuardNetworkProtectionBlocked

Ниже приведен пример запроса для просмотра событий защиты сети для браузеров сторонних поставщиков:

DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Вот еще один пример:

DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Категория "Ответ" указывает, что вызвало событие, как показано в следующем примере:

Дополнительные сведения см. в статье Устранение неполадок с блоками конечных точек.

Если вы используете браузер Microsoft Edge, используйте следующий запрос для Microsoft Defender событий SmartScreen:

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Вы можете использовать результирующий список URL-адресов и IP-адресов, чтобы определить, что будет заблокировано, если на устройстве настроен режим блокировки защиты сети. Вы также можете увидеть, какие функции будут блокировать URL-адреса и IP-адреса. Просмотрите список, чтобы определить ВСЕ URL-адреса или IP-адреса, необходимые для вашей среды. Затем можно создать индикатор разрешений для этих URL-адресов или IP-адресов. Разрешить индикаторы имеют приоритет над любыми блоками. См. раздел Порядок приоритета для блоков защиты сети.

После создания индикатора для разблокировки сайта можно попытаться разрешить исходный блок следующим образом:

• SmartScreen: сообщить о ложном срабатывании, если это необходимо
• Индикатор: изменение существующего индикатора
• MCA: проверка несанкционированного приложения
• WCF: перекатегоризация запроса

Сведения о том, как сообщать о ложных срабатываниях в данных SmartScreen, см. в разделе Отчет о ложных срабатываниях.

Дополнительные сведения о создании собственных отчетов Power BI см. в статье Создание пользовательских отчетов с помощью Power BI.

Настройка защиты сети

Дополнительные сведения о включении защиты сети см. в разделе Включение защиты сети. Используйте групповая политика, PowerShell или поставщики СЛУЖБ MDM для включения защиты сети и управления ими.

После включения защиты сети может потребоваться настроить сеть или брандмауэр, чтобы разрешить подключения между устройствами конечных точек и веб-службами:

• .smartscreen.microsoft.com
• .smartscreen-prod.microsoft.com

Необходимая конфигурация браузера

В процессах, отличных от Microsoft Edge, защита сети определяет полное доменное имя для каждого подключения HTTPS, проверяя содержимое подтверждения TLS, которое происходит после подтверждения TCP/IP. Для этого требуется, чтобы httpS-подключение использовало TCP/IP (не UDP/QUIC), а сообщение ClientHello не было зашифровано. Чтобы отключить QUIC и Encrypted Client Hello в Google Chrome, см. статьи QuicAllowed и EncryptedClientHelloEnabled. Сведения о Mozilla Firefox см . в разделах Отключение EncryptedClientHello и network.http.http3.enable.

Просмотр событий защиты сети

Защита сети лучше всего работает с Microsoft Defender для конечной точки, которая предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках сценариев исследования оповещений.

Когда защита сети блокирует подключение, на клиенте отображается уведомление. Ваша команда по обеспечению безопасности может настроить уведомление с помощью сведений о вашей организации и контактных данных.

Просмотр событий защиты сети на портале Microsoft Defender

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений. Эти сведения можно просмотреть на портале Microsoft Defender (https://security.microsoft.com) в очереди оповещений или с помощью расширенной охоты. Если вы используете режим аудита, вы можете использовать расширенную охоту, чтобы узнать, как параметры защиты сети повлияют на вашу среду, если они были включены.

Просмотр событий защиты сети в Windows Просмотр событий

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, которые создаются, когда защита сети блокирует (или выполняет аудит) доступ к вредоносному IP-адресу или домену:

1. Создайте XML-запрос.

2. Нажмите OK.

Эта процедура создает пользовательское представление, которое фильтрует только следующие события, связанные с защитой сети:

Защита сети и трехстороннее подтверждение TCP

В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, когда защита сети блокирует сайт, на портале Microsoft Defender может отображаться тип ConnectionSuccessDeviceNetworkEvents действия в разделе, даже если сайт был заблокирован. DeviceNetworkEvents отображаются на уровне TCP, а не из защиты сети. После завершения подтверждения TCP/IP и подтверждения TLS доступ к сайту разрешается или блокируется защитой сети.

Ниже приведен пример того, как это работает.

1. Предположим, что пользователь пытается получить доступ к веб-сайту. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.

2. Начинается трехстороннее подтверждение через TCP/IP. Перед его завершением DeviceNetworkEvents действие регистрируется и отображается ActionType как ConnectionSuccess. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро.

3. На портале Microsoft Defender в очереди оповещений отображается оповещение. Сведения об этом оповещении включают и DeviceNetworkEventsAlertEvidence. Вы видите, что сайт был заблокирован, даже если у вас также есть DeviceNetworkEvents элемент с ActionType .ConnectionSuccess

Рекомендации по работе с виртуальным рабочим столом Windows, работающим Windows 10 Корпоративная несколькими сеансами

Учитывая многопользовательскую природу Windows 10 Корпоративная, учитывайте следующие моменты:

• Защита сети — это функция на уровне всего устройства, которая не может быть ориентирована на определенные сеансы пользователя.
• Если необходимо различать группы пользователей, рассмотрите возможность создания отдельных пулов узлов и назначений Виртуального рабочего стола Windows.
• Протестируйте защиту сети в режиме аудита, чтобы оценить ее поведение перед развертыванием.
• Рассмотрите возможность изменения размера развертывания, если у вас есть большое количество пользователей или большое количество многопользовательских сеансов.

Альтернативный вариант защиты сети

Для Windows Server 2012 R2 и Windows Server 2016 с использованием современного унифицированного решения Windows Server версии 1803 или более поздней и Windows 10 Корпоративная Многосеансовая защита microsoft Edge 1909 и более поздних версий, используемая в Виртуальном рабочем столе Windows в Azure, может быть включена с помощью следующего метода:

1. Включите защиту сети и следуйте инструкциям, чтобы применить политику.

2. Выполните следующие команды PowerShell:

   • Set-MpPreference -EnableNetworkProtection Enabled
   • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
   • Set-MpPreference -AllowNetworkProtectionDownLevel 1
   • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

   Примечание.

   В некоторых случаях, в зависимости от инфраструктуры, объема трафика и других условий, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 может влиять на производительность сети.

Защита сети для серверов Windows

Следующие сведения относятся к Серверам Windows.

Убедитесь, что защита сети включена

Проверьте, включена ли защита сети на локальном устройстве с помощью Редактор реестра.

1. Нажмите кнопку Пуск на панели задач и введите , regedit чтобы открыть Редактор реестра.

2. Выберите HKEY_LOCAL_MACHINE в боковом меню.

3. Перейдите через вложенные меню в раздел Software>Policies>Microsoft>Windows Defender>Windows Exploit Guard>Network Protection.

   (Если ключ отсутствует, перейдите в раздел ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ>.Майкрософт>Защитник> WindowsExploit Guard >в Защитнике WindowsЗащита сети)

4. Выберите EnableNetworkProtection , чтобы просмотреть текущее состояние защиты сети на устройстве:

   • 0 = Выкл.
   • 1 = Включено (включено)
   • 2 = режим аудита

Дополнительные сведения см . в разделе Включение защиты сети.

Рекомендуемые разделы реестра для защиты сети

Для Windows Server 2012 R2 и Windows Server 2016 с использованием современного унифицированного решения, Windows Server версии 1803 или более поздней, а также Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий (используется в Виртуальном рабочем столе Windows в Azure), включите другие разделы реестра, как Следует:

1. Перейдите в раздел HKEY_LOCAL_MACHINE>SOFTWARE>>Microsoft Windows Defender>Windows Exploit Guard>Network Protection.

2. Настройте следующие ключи:

   • AllowNetworkProtectionOnWinServer (DWORD) имеет значение 1 (шестнадцатеричный)
   • EnableNetworkProtection (DWORD) имеет значение 1 (шестнадцатеричный)
   • (Только на Windows Server 2012 R2 и Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) имеет значение 1 (шестнадцатеричный)

Дополнительные сведения см. в статье Включение защиты сети.

Для windows Server и конфигурации windows multi-session требуется PowerShell

Для Windows Server и Windows Multi-session существуют другие элементы, которые необходимо включить с помощью командлетов PowerShell. Для Windows Server 2012 R2 и Windows Server 2016 с использованием современного унифицированного решения Windows Server версии 1803 или более поздней, а также Windows 10 Корпоративная многосеансовой версии 1909 и более поздних версий, используемых в Виртуальном рабочем столе Windows в Azure, выполните следующую команду PowerShell. Команды:

Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Устранение неполадок с защитой сети

Из-за среды, в которой выполняется защита сети, компонент может не обнаружить параметры прокси-сервера операционной системы. В некоторых случаях клиентам защиты сети не удается связаться с облачной службой. Чтобы устранить проблему с подключением, настройте статический прокси-сервер для Microsoft Defender антивирусной программы.

Чтобы отключить QUIC во всех клиентах, можно заблокировать трафик QUIC через брандмауэр Windows.

Отключение QUIC в брандмауэре Windows

Этот метод влияет на все приложения, включая браузеры и клиентские приложения (например, Microsoft Office). В PowerShell выполните New-NetFirewallRule командлет , чтобы добавить новое правило брандмауэра, которое отключает QUIC, блокируя весь исходящий трафик UDP на порт 443:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Оптимизация производительности защиты сети

Защита сети включает оптимизацию производительности, которая позволяет block режиму асинхронно проверять длительные подключения, что может обеспечить повышение производительности. Эта оптимизация также может помочь в устранении проблем совместимости приложений. Эта возможность включена по умолчанию.

Использование CSP для включения AllowSwitchToAsyncInspection

Поставщик служб CSP Defender: Configuration/AllowSwitchToAsyncInspection

Использование групповая политика для включения включения асинхронной проверки

Эта процедура позволяет повысить производительность сети, переключившись с проверки в режиме реального времени на асинхронную проверку.

1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.

2. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите команду Изменить.

3. В Редактор управления групповая политика перейдите в раздел Конфигурация компьютера, а затем выберите Административные шаблоны.

4. Разверните дерево до компонентов> Windows Microsoft Defenderсистемы проверкиантивирусной> сети.

5. Дважды щелкните Включить асинхронную проверку и задайте для параметра значение Включено.

6. Нажмите OK.

Включение асинхронной проверки с помощью командлета PowerShell для антивирусной программы Microsoft Defender

Эту возможность можно включить с помощью следующего командлета PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $true

См. также

• Оценка защиты сети | Выполните быстрый сценарий, демонстрирующий, как работает функция и какие события обычно создаются.
• Включение защиты сети | Используйте групповая политика, PowerShell или поставщики СЛУЖБ MDM для включения защиты сети и управления ими.
• Настройка возможностей сокращения направлений атак в Microsoft Intune
• Защита сети для Linux | Сведения об использовании защиты сети Майкрософт для устройств Linux.
• Защита сети для macOS | Дополнительные сведения о защите сети Майкрософт для macOS