Zapnutí ochrany sítě

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR
• Microsoft Defender pro servery
• Antivirová ochrana v Microsoft Defenderu

Platformy

• Windows
• Linux (viz Ochrana sítě pro Linux)
• macOS (viz Ochrana sítě pro macOS)

Ochrana sítě pomáhá zabránit zaměstnancům v používání jakékoli aplikace pro přístup k nebezpečným doménám, které můžou na internetu hostovat phishingové podvody, zneužití a další škodlivý obsah. Před povolením ochrany sítě můžete auditovat ochranu sítě v testovacím prostředí a zjistit, které aplikace by byly blokované.

Přečtěte si další informace o možnostech konfigurace filtrování sítě.

Kontrola, jestli je povolená ochrana sítě

Stav ochrany sítě můžete zkontrolovat pomocí Editor registru.

1. Na hlavním panelu vyberte tlačítko Start a zadejte regedit. V seznamu výsledků vyberte Editor registru a otevřete ho.

2. V boční nabídce zvolte HKEY_LOCAL_MACHINE .

3. Ve vnořených nabídkách přejděte naSprávce zásad programuMicrosoft>Windows Defender> Zásady >softwaru>.

   Pokud klíč chybí, přejděte do části SOFTWARE Ochranaochrany Ochrany Exploit Guard > vprogramu Windows Defenderv programu Microsoft>>Windows Defender>.

4. Vyberte EnableNetworkProtection a zobrazte aktuální stav ochrany sítě na zařízení:

   • 0 nebo Vypnuto
   • 1 nebo Zapnuto
   • 2 nebo režim auditování

   

Povolení ochrany sítě

Pokud chcete povolit ochranu sítě, můžete použít jednu z následujících metod:

• PowerShell
• Správa mobilní zařízení (MDM)
• Microsoft Intune
• Zásady skupiny
• Microsoft Configuration Manager

PowerShell

1. Na zařízení s Windows vyberte Start, zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a pak vyberte Spustit jako správce.

2. Spusťte následující rutinu:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Pro Windows Server použijte další příkazy uvedené v následující tabulce:

   Verze Windows Serveru	Příkazy
   Windows Server 2022 a novější	set-mpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2	set-MpPreference -AllowNetworkProtectionDownLevel $true set-MpPreference -AllowNetworkProtectionOnWinServer $true

4. (Tento krok je volitelný.) Pokud chcete nastavit ochranu sítě do režimu auditování, použijte následující rutinu:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Pokud chcete vypnout ochranu sítě, použijte místo parametru DisabledAuditMode nebo Enabledparametr .

Správa mobilních zařízení (MDM)

1. Pomocí zprostředkovatele konfigurační služby EnableNetworkProtection (CSP) povolte nebo zakažte ochranu sítě nebo režim auditování.

2. Než povolíte nebo zakážete ochranu sítě nebo povolíte režim auditování, aktualizujte Microsoft Defender antimalwarovou platformu na nejnovější verzi.

Microsoft Intune

metoda Microsoft Defender for Endpoint Baseline

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Přejděte naStandardní hodnoty>zabezpečení koncového> bodu Microsoft Defender for Endpoint Standardní hodnoty.

3. Vyberte Vytvořit profil, zadejte název profilu a pak vyberte Další.

4. V části Nastavení konfigurace přejděte do části Pravidla> omezení potenciální oblasti útoku nastavte blokování, povolení nebo audit pro povolení ochrany sítě. Vyberte Další.

5. Vyberte odpovídající značky oboru a přiřazení podle požadavků vaší organizace.

6. Zkontrolujte všechny informace a pak vyberte Vytvořit.

Metoda zásad antivirové ochrany

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Přejděte naAntivirová ochrana zabezpečení >koncového bodu.

3. Vyberte Vytvořit zásadu.

4. V rozevíracím seznamu Vytvořit zásadu zvolte ze seznamu PlatformaWindows 10, Windows 11 a Windows Server.

5. V seznamu Profil zvolte Microsoft Defender Antivirus a pak zvolte Vytvořit.

6. Zadejte název svého profilu a pak vyberte Další.

7. V části Nastavení konfigurace vyberte Možnost Zakázáno, Povoleno (režim blokování) nebo Povoleno (režim auditování) v části Povolit ochranu sítě a pak vyberte Další.

8. Vyberte odpovídající značky Přiřazení a Rozsah podle požadavků vaší organizace.

9. Zkontrolujte všechny informace a pak vyberte Vytvořit.

Metoda profilu konfigurace

1. Přihlaste se do centra pro správu Microsoft Intune (https://intune.microsoft.com).

2. Přejděte naProfily> konfigurace zařízení>Vytvořit profil.

3. V rozevíracím seznamu Vytvořit profil vyberte Platforma a jako Typ profilu zvolte Šablony.

4. V části Název šablony zvolte Ze seznamu šablon možnost Endpoint Protection a pak vyberte Vytvořit.

5. Přejděte na Základy služby Endpoint Protection>, zadejte název svého profilu a pak vyberte Další.

6. V části Nastavení konfigurace přejděte na Microsoft DefenderFiltrování> sítě Ochranasítě>Exploit Guard>Povolení nebo Audit. Vyberte Další.

7. Vyberte odpovídající značky oboru, přiřazení a pravidla použitelnosti podle požadavků vaší organizace. Správci můžou nastavit další požadavky.

8. Zkontrolujte všechny informace a pak vyberte Vytvořit.

Zásady skupiny

Pomocí následujícího postupu povolte ochranu sítě na počítačích připojených k doméně nebo na samostatném počítači.

1. Na samostatném počítači přejděte na Start a pak zadejte a vyberte Upravit zásady skupiny.

   -Nebo-

   Na počítači pro správu Zásady skupiny připojeném k doméně otevřete konzolu pro správu Zásady skupiny, klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a vyberte Upravit.

2. V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.

3. Rozbalte strom na Součásti> systému Windows Microsoft Defender Antivirová ochrana>Microsoft Defender Ochrana sítě Exploit Guard>.

   Všimněte si, že ve starších verzích Windows může cesta Zásady skupiny obsahovat windows Antivirová ochrana v programu Defender místo Microsoft Defender Antivirové ochrany.

4. Poklikejte na nastavení Zabránit uživatelům a aplikacím v přístupu k nebezpečným webům a nastavte možnost na Povoleno. V části Options (Možnosti) musíte zadat jednu z následujících možností:

   • Blokovat – uživatelé nemají přístup k škodlivým IP adresám a doménám.
   • Zakázat (výchozí) – Funkce ochrany sítě nebude fungovat. Uživatelům se neblokuje přístup k doménám se zlými úmysly.
   • Režim auditování – Pokud uživatel navštíví škodlivou IP adresu nebo doménu, zaznamená se událost do protokolu událostí Systému Windows. Uživatel ale nebude mít přístup k adrese zablokovaný.

   Důležité

   Pokud chcete plně povolit ochranu sítě, musíte nastavit možnost Zásady skupiny na Povoleno a také vybrat Blokovat v rozevírací nabídce možností.

5. (Tento krok je volitelný.) Postupujte podle kroků v tématu Kontrola, jestli je povolená ochrana sítě a ověřte správnost nastavení Zásady skupiny.

Microsoft Configuration Manager

1. Otevřete konzolu Configuration Manager.

2. Přejděte na Prostředky a dodržování předpisů>Endpoint Protection>Ochrana Exploit Guard v programu Windows Defender.

3. Na pásu karet vyberte Vytvořit zásadu ochrany Exploit Guard a vytvořte novou zásadu.

   • Pokud chcete upravit existující zásadu, vyberte ji a pak na pásu karet nebo v nabídce po kliknutí pravým tlačítkem vyberte Vlastnosti . Na kartě Ochranasítě upravte možnost Konfigurovat ochranu sítě.

4. Na stránce Obecné zadejte název nové zásady a ověřte, že je povolená možnost Ochrana sítě .

5. Na stránce Ochrana sítě vyberte jedno z následujících nastavení pro možnost Konfigurovat ochranu sítě :

   • Blokování
   • Auditování
   • Zakázáno

6. Dokončete zbývající kroky a zásadu uložte.

7. Na pásu karet vyberte Nasadit a nasaďte zásadu do kolekce.

Důležité informace o odebrání nastavení ochrany Exploit Guard ze zařízení

Jakmile se zásady Ochrany Exploit Guard nasadí pomocí Configuration Manager, nastavení ochrany Exploit Guard se z klientů neodeberou, pokud nasazení odeberete. Pokud navíc odeberete nasazení Ochrany Exploit Guard klienta, Delete not supported zaznamená se v klientovi ExploitGuardHandler.log v Configuration Manager.

Pomocí následujícího skriptu PowerShellu v kontextu SYSTEM odeberte nastavení ochrany Exploit Guard správně:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Viz také

• Ochrana sítě
• Ochrana sítě pro Linux
• Ochrana sítě pro macOS
• Ochrana sítě a třícestné metody handshake protokolu TCP
• Vyhodnocení ochrany sítě
• Řešení potíží s ochranou sítě