Slå netværksbeskyttelse til

Netværksbeskyttelse hjælper med at forhindre brugere i at bruge et hvilket som helst program til at få adgang til farlige domæner, der kan hoste phishing-svindel, udnyttelser og andet skadeligt indhold på internettet. Du kan overvåge netværksbeskyttelse i et testmiljø for at få vist, hvilke apps der blokeres, før du aktiverer netværksbeskyttelse.

Få mere at vide om konfigurationsindstillinger for netværksfiltrering.

Forudsætninger

Understøttede operativsystemer

• Windows
• Linux (se Netværksbeskyttelse til Linux)
• macOS (se Netværksbeskyttelse til macOS)

Aktivér netværksbeskyttelse

Hvis du vil aktivere netværksbeskyttelse, kan du bruge en af de metoder, der er beskrevet i denne artikel.

Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger

Opret en sikkerhedspolitik for slutpunkter

1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Endpoints>Configuration management>Endpoint security policies. Du kan også gå direkte til siden Endpoint Security Policies ved at bruge https://security.microsoft.com/policy-inventory.

2. På fanen Windows-politikker på siden Endpoint Security Policies skal du vælge Opret ny politik.

3. Konfigurer følgende indstillinger i pop op-vinduet Opret en ny politik , der åbnes:

   • Vælg platform: Vælg Windows.
   • Vælg skabelon: Vælg Microsoft Defender AntiVirus.

   Vælg Opret politik.

4. Guiden Opret en ny politik åbnes. Konfigurer følgende indstillinger under fanen Grundlæggende :

   • Navn: Angiv et entydigt, beskrivende navn til politikken.
   • Beskrivelse: Angiv en valgfri beskrivelse.

   Vælg Næste.

5. På fanen Konfigurationsindstillinger skal du udvide Defender og derefter vælge en værdi for Aktivér netværksbeskyttelse baseret på operativsystemet:

   • Windows-klienter og Windows-servere: Tilgængelige værdier er:

     • Aktiveret (blokeringstilstand): Blokeringstilstand er nødvendig for at blokere IP-adresse-/URL-indikatorer og filtrering af webindhold.
     • Aktiveret (overvågningstilstand)
     • Deaktiveret (standard)
     • Ikke konfigureret

   • Windows Server 2016 og Windows Server 2012 R2: Du skal også konfigurere indstillingen Tillad nedeniveau for netværksbeskyttelse i afsnittet Standardhandling for trussels alvorsgrad. De tilgængelige værdier er:

     • Netværksbeskyttelse vil blive aktiveret på et lavere niveau
     • Netværksbeskyttelse deaktiveres på et lavere niveau. (Standard)
     • Ikke konfigureret

   • Valgfri indstillinger for Netværksbeskyttelse til Windows-klienter og Windows-servere:

     • Tillad behandling af datagram på Win-server: De tilgængelige værdier er:

       • Behandling af datagram på Windows Server er aktiveret

       • Behandling af datagram på Windows Server er deaktiveret (standard): Vi anbefaler på det kraftigste denne værdi for alle serverroller, der genererer store mængder UDP-trafik. Det kan f.eks. være:

         • Domænecontrollere
         • Windows DNS-servere
         • Windows-filservere
         • Microsoft SQL-servere
         • Microsoft Exchange-servere

         Deaktivering af databehandling på disse servere hjælper med at holde netværket stabilt og sikrer bedre brug af systemressourcer i miljøer med høj efterspørgsel. Aktivering af behandling af datagram på disse servere kan reducere netværkets ydeevne og pålidelighed.

       • Ikke konfigureret

     • Deaktiver DNS via TCP-parsing
       • DNS via TCP-parsing er deaktiveret
       • DNS via TCP-parsing er aktiveret (standard)
       • Ikke konfigureret
     • Deaktiver HTTP-parsing
       • HTTP-parsing er deaktiveret
       • HTTP-fortolkning er aktiveret (standard)
       • Ikke konfigureret
     • Deaktiver SSH-fortolkning
       • SSH-fortolkning er deaktiveret
       • SSH-fortolkning er aktiveret (standard)
       • Ikke konfigureret
     • Deaktiver TLS-fortolkning
       • TLS-fortolkning er deaktiveret
       • TLS-parsing er aktiveret (standard)
       • Ikke konfigureret
     • [Frarådes] Aktivér DNS-hul
       • DNS-hul er deaktiveret
       • DNS Sinkhole er aktiveret. (Standard)
       • Ikke konfigureret

   Når du er færdig under fanen Konfigurationsindstillinger , skal du vælge Næste.

6. På fanen Tildelinger skal du klikke i søgefeltet eller begynde at skrive et gruppenavn og derefter vælge det fra resultaterne.

   Du kan vælge Alle brugere eller Alle enheder.

   Når du vælger en brugerdefineret gruppe, kan du bruge denne gruppe til at inkludere eller udelade gruppemedlemmerne.

   Når du er færdig under fanen Tildelinger , skal du vælge Næste.

7. Gennemse dine indstillinger under fanen Gennemse + opret , og vælg derefter Gem.

Microsoft Intune

Microsoft Defender for Endpoint baselinemetode

Hvis du vil konfigurere netværksbeskyttelse som en del af en baseline for sikkerhed i Microsoft Intune, skal du se Opret en profil for en grundlæggende sikkerhedsplan (åbnes under en ny fane i dokumentationen til Intune). Når du opretter profilen, skal du bruge disse indstillinger:

• Oprindelig plan: Microsoft Defender for Endpoint oprindelig plan for sikkerhed
• Konfigurationsindstillinger: Udvid Defender , og angiv Aktivér Netværksbeskyttelse til Aktiveret (blokeringstilstand) eller Aktiveret (overvågningstilstand)

Du kan finde flere oplysninger om grundlinjer for sikkerhed i Microsoft Intune under Få mere at vide om Intune grundlæggende sikkerhedsgrundlinjer til Windows-enheder.

Når din profil er oprettet og tildelt, skal du vende tilbage til denne artikel for at fortsætte med bekræftelsen.

Antiviruspolitikmetode

Hvis du vil konfigurere netværksbeskyttelse ved hjælp af en Microsoft Intune Endpoint Security Antivirus-politik, skal du se Opret en sikkerhedspolitik for slutpunkter (åbnes under en ny fane i dokumentationen til Intune). Når du opretter politikken, skal du bruge disse indstillinger:

• Politiktype: Antivirus
• Platform: Windows
• Profil: Microsoft Defender Antivirus
• Konfigurationsindstillinger: Angiv Aktivér netværksbeskyttelse til Aktiveret (bloktilstand) til håndhævelse eller Aktiveret (overvågningstilstand) for at vurdere virkningen før håndhævelse

Du kan finde flere oplysninger om Microsoft Defender Antivirus-profiler i Microsoft Intune under Antiviruspolitik for slutpunktsikkerhed.

Når din politik er oprettet og tildelt, skal du vende tilbage til denne artikel for at fortsætte med bekræftelsen.

Profilmetode for enhedskonfiguration

Hvis du vil konfigurere netværksbeskyttelse ved hjælp af en Microsoft Intune enhedskonfigurationsprofil, skal du se Tilføj indstillinger for slutpunktsbeskyttelse i Intune (åbner under en ny fane i dokumentationen til Intune). Når du opretter profilen, skal du bruge disse indstillinger:

• Platform: Windows 10 og nyere
• Profiltype: Beskyttelse af slutpunkter for skabeloner >
• Konfigurationsindstillinger: Udvid Microsoft Defender Exploit Guard>Network-filtrering, og angiv Netværksbeskyttelse til Aktivér eller Overvåg

Du kan finde flere oplysninger om indstillingen Netværksbeskyttelse og tilgængelige værdier under Indstillinger for netværksfiltrering til beskyttelse af slutpunkter.

Når din profil er oprettet og tildelt, skal du vende tilbage til denne artikel for at fortsætte med bekræftelse og alternative udrulningsmetoder.

Administration af mobilenheder (MDM)

1. Brug EnableNetworkProtection CSP (Configuration Service Provider) til at slå netværksbeskyttelse til eller fra eller til at aktivere overvågningstilstand.

2. Opdater Microsoft Defender platform til antimalware til den nyeste version, før du slår netværksbeskyttelse til eller fra.

Gruppepolitik

Brug følgende procedure til at aktivere netværksbeskyttelse på domænetilsluttede computere eller på en separat computer.

1. På en separat computer skal du gå til Start og derefter skrive og vælge Rediger gruppepolitik.

   -Eller-

   Åbn administrationskonsollen Gruppepolitik på en domænetilsluttet Gruppepolitik-administrationscomputer. Højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg Rediger.

2. I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.

3. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Network Protection.

   På ældre versioner af Windows kan stien til Gruppepolitik have Windows Defender Antivirus i stedet for Microsoft Defender Antivirus.

4. Dobbeltklik på indstillingen Forbyd brugere og apps at få adgang til farlige websteder , og angiv indstillingen til Aktiveret. I afsnittet indstillinger skal du angive en af følgende indstillinger:

   • Blok: Brugerne kan ikke få adgang til skadelige IP-adresser og domæner.
   • Deaktiver (standard): Funktionen Netværksbeskyttelse fungerer ikke. Brugerne er ikke blokeret i at få adgang til skadelige domæner.
   • Overvågningstilstand: Hvis en bruger besøger en skadelig IP-adresse eller et skadeligt domæne, registreres en hændelse i Windows-hændelsesloggen. Brugeren er dog ikke blokeret fra at besøge adressen.

   Vigtigt!

   Hvis du vil aktivere netværksbeskyttelse fuldt ud, skal du angive indstillingen Gruppepolitik til Aktiveret og også vælge Bloker i rullemenuen med indstillinger.

5. (Dette trin er valgfrit). Følg trinnene i Kontrollér, om netværksbeskyttelse er aktiveret, for at kontrollere, at indstillingerne for Gruppepolitik er korrekte.

Microsoft Configuration Manager

1. Åbn Configuration Manager-konsollen.

2. Gå til Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

3. Vælg Opret Exploit Guard-politik på båndet for at oprette en ny politik.

4. Hvis du vil redigere en eksisterende politik, skal du vælge politikken og derefter vælge Egenskaber på båndet eller i genvejsmenuen. Rediger indstillingen Konfigurer netværksbeskyttelse under fanen Netværksbeskyttelse .

5. Angiv et navn til den nye politik på siden Generelt , og kontrollér, at indstillingen Netværksbeskyttelse er aktiveret.

6. På siden Netværksbeskyttelse skal du vælge en af følgende indstillinger for indstillingen Konfigurer netværksbeskyttelse :

   • Bloker
   • Overvågning
   • Deaktiveret

7. Fuldfør resten af trinnene, og gem politikken.

8. På båndet skal du vælge Installér for at installere politikken i en samling.

PowerShell

1. På din Windows-enhed skal du vælge Start, skrive powershell, højreklikke på Windows PowerShell og derefter vælge Kør som administrator.

2. Kør følgende cmdlet:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Til Windows Server skal du bruge de ekstra kommandoer, der er angivet i følgende tabel:

   Windows Server version	Kommandoer
   Windows Server 2019 og nyere	Set-MpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2 med unified agent for Microsoft Defender for Endpoint	Set-MpPreference -AllowNetworkProtectionDownLevel $true Set-MpPreference -AllowNetworkProtectionOnWinServer $true

1. (Dette trin er valgfrit). Hvis du vil angive netværksbeskyttelse til overvågningstilstand, skal du bruge følgende cmdlet:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Hvis du vil slå netværksbeskyttelse fra, skal du bruge parameteren Disabled i stedet for AuditMode eller Enabled.

Kontrollér, om netværksbeskyttelse er aktiveret

Du kan bruge Registreringseditor til at kontrollere status for netværksbeskyttelse.

1. Åbn Registreringseditor (kør regedit.exef.eks. ).

2. Naviger til følgende sti: HKEY_LOCAL_MACHINE>SOFTWARE-politikker>>Microsoft>Windows Defender>Policy Manager

   Hvis stien ikke findes, skal du gå til HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

3. Vælg EnableNetworkProtection for at se den aktuelle tilstand af netværksbeskyttelse på enheden:

   • 0 er slået fra
   • 1 er slået til
   • 2 er overvågningstilstand

   

Vigtige oplysninger om fjernelse af Exploit Guard-indstillinger fra en enhed

Når du installerer en Exploit Guard-politik ved hjælp af Configuration Manager, forbliver indstillingerne på klienten, selvom du senere fjerner installationen. Hvis installationen fjernes, understøttes klientlogfilerne Delete ikke i ExploitGuardHandler.log filen.

Hvis du vil fjerne Exploit Guard-indstillingerne korrekt, skal du bruge følgende PowerShell-script i konteksten SYSTEM :

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"

$defenderObject.AttackSurfaceReductionRules = $null

$defenderObject.AttackSurfaceReductionOnlyExclusions = $null

$defenderObject.EnableControlledFolderAccess = $null

$defenderObject.ControlledFolderAccessAllowedApplications = $null

$defenderObject.ControlledFolderAccessProtectedFolders = $null

$defenderObject.EnableNetworkProtection = $null

$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"

$exploitGuardObject.ExploitProtectionSettings = $null

$exploitGuardObject.Put()

Se også

• Netværksbeskyttelse
• Netværksbeskyttelse til Linux
• Netværksbeskyttelse til macOS
• Netværksbeskyttelse og TCP-trevejs-håndtryk
• Evaluer netværksbeskyttelse
• Foretag fejlfinding af netværksbeskyttelse