Включить защиту сети

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Microsoft Defender для серверов
• Антивирусная программа в Microsoft Defender

Платформы

• Windows
• Linux (см . раздел Защита сети для Linux)
• macOS (см . раздел Защита сети для macOS)

Защита сети помогает предотвратить использование сотрудниками любого приложения для доступа к опасным доменам, в которых могут размещаться фишинговые аферы, эксплойты и другое вредоносное содержимое в Интернете. Вы можете провести аудит защиты сети в тестовой среде, чтобы узнать, какие приложения будут заблокированы перед включением защиты сети.

Дополнительные сведения о параметрах конфигурации фильтрации сети см. в этой статье.

Проверьте, включена ли защита сети

Для проверка состояния защиты сети можно использовать Редактор реестра.

1. Нажмите кнопку Пуск на панели задач и введите regedit. В списке результатов выберите Редактор реестра, чтобы открыть его.

2. Выберите HKEY_LOCAL_MACHINE в боковом меню.

3. Перейдите через вложенные меню в раздел Software>Policies>Microsoft>Windows Defender>Policy Manager.

   Если ключ отсутствует, перейдите в раздел Software>Microsoft>Windows Defender>Windows Exploit Guard>Network Protection.

4. Выберите EnableNetworkProtection , чтобы просмотреть текущее состояние защиты сети на устройстве:

   • 0 или Выкл.
   • 1 или Включено
   • 2 или режим аудита

   

Включение защиты сети

Чтобы включить защиту сети, можно использовать один из следующих методов:

• PowerShell
• Управление мобильными устройствами (MDM)
• Microsoft Intune
• Групповая политика
• Microsoft Configuration Manager

PowerShell

1. На устройстве с Windows выберите Пуск, введите powershell, щелкните правой кнопкой мыши Windows PowerShell, а затем выберите Запуск от имени администратора.

2. Запустите следующий командлет:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Для Windows Server используйте дополнительные команды, перечисленные в следующей таблице:

   Версия Windows Server	Команды
   Windows Server 2022 и более поздних версий	set-mpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2	set-MpPreference -AllowNetworkProtectionDownLevel $true set-MpPreference -AllowNetworkProtectionOnWinServer $true

4. (Этот шаг является необязательным.) Чтобы настроить защиту сети в режим аудита, используйте следующий командлет:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Чтобы отключить защиту сети, используйте Disabled параметр вместо AuditMode или Enabled.

Управление мобильными устройствами (MDM)

1. Используйте поставщик службы конфигурации EnableNetworkProtection (CSP), чтобы включить или отключить защиту сети или включить режим аудита.

2. Обновите Microsoft Defender платформу защиты от вредоносных программ до последней версии, прежде чем включать или отключать защиту сети или включить режим аудита.

Microsoft Intune

Метод Microsoft Defender для конечной точки Baseline

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в разделБазовые показатели безопасности>конечных> точек Microsoft Defender для конечной точки Базовые показатели.

3. Выберите Создать профиль, укажите имя профиля и нажмите кнопку Далее.

4. В разделе Параметры конфигурации перейдите к разделу Правила> сокращения направлений атаки, задайте для параметра Блокировать, Включить или Аудит для включения защиты сети. Нажмите кнопку Далее.

5. Выберите соответствующие теги области и назначения в соответствии с требованиями вашей организации.

6. Просмотрите все сведения и нажмите кнопку Создать.

Метод политики антивирусной программы

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Антивирусная программа для обеспечения безопасности конечных> точек.

3. Нажмите кнопку Создать политику.

4. Во всплывающем окне Создание политики выберите Windows 10, Windows 11 и Windows Server в списке Платформа.

5. Выберите Microsoft Defender Антивирусная программа в списке Профиль, а затем нажмите кнопку Создать.

6. Укажите имя профиля и нажмите кнопку Далее.

7. В разделе Параметры конфигурации выберите Отключено, Включено (режим блокировки) или Включено (режим аудита) для параметра Включить защиту сети, а затем нажмите кнопку Далее.

8. Выберите соответствующие теги "Назначения " и "Область" в соответствии с требованиями вашей организации.

9. Просмотрите все сведения и нажмите кнопку Создать.

Метод профиля конфигурации

1. Войдите в Центр администрирования Microsoft Intune (https://intune.microsoft.com).

2. Перейдите в раздел Устройства>Профили конфигурации>Создать профиль.

3. Во всплывающем окне Создание профиля выберите Платформа и выберите Тип профиля как Шаблоны.

4. В поле Имя шаблона выберите Endpoint Protection в списке шаблонов, а затем выберите Создать.

5. Перейдите в разделОсновные сведенияо Endpoint Protection>, укажите имя профиля и нажмите кнопку Далее.

6. В разделе Параметры конфигурации перейдите к разделу Microsoft Defender Exploit Guard>Фильтрация> сетиЗащита сети>Включение или аудит. Нажмите кнопку Далее.

7. Выберите соответствующие теги области, назначения и правила применимости в соответствии с требованиями вашей организации. Администраторы могут устанавливать дополнительные требования.

8. Просмотрите все сведения и нажмите кнопку Создать.

Групповая политика

Используйте следующую процедуру, чтобы включить защиту сети на компьютерах, присоединенных к домену, или на автономном компьютере.

1. На автономном компьютере перейдите в меню Пуск , а затем введите и выберите Изменить групповую политику.

   -Или-

   На присоединенном к домену компьютере управления групповая политика откройте консоль управления групповая политика, щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

3. Разверните дерево для компонентов> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderЗащита сетиExploit Guard>.

   Обратите внимание, что в более старых версиях Windows путь к групповая политика может иметь антивирусная программа Defender Windows, а не антивирусную программу Microsoft Defender.

4. Дважды щелкните параметр Запретить пользователям и приложениям доступ к опасным веб-сайтам и установите для параметра значение Включено. В разделе параметры необходимо указать один из следующих параметров:

   • Блокировать . Пользователи не могут получить доступ к вредоносным IP-адресам и доменам.
   • Отключить (по умолчанию) — функция защиты сети не будет работать. Пользователям не запрещен доступ к вредоносным доменам.
   • Режим аудита . Если пользователь посещает вредоносный IP-адрес или домен, событие будет записано в журнал событий Windows. Однако пользователю не будет запрещено посещать адрес.

   Важно!

   Чтобы полностью включить защиту сети, необходимо задать для параметра групповая политика значение Включено, а также выбрать блокировать в раскрывающемся меню параметров.

5. (Этот шаг является необязательным.) Выполните действия, описанные в разделе Проверка включения защиты сети, чтобы убедиться, что параметры групповая политика верны.

Microsoft Configuration Manager

1. Откройте консоль Configuration Manager.

2. Перейдите в раздел Активы и соответствие>Endpoint Protection>Exploit Guard в Защитнике Windows.

3. Выберите Создать политику Exploit Guard на ленте, чтобы создать новую политику.

   • Чтобы изменить существующую политику, выберите политику, а затем выберите Свойства на ленте или в контекстном меню. Измените параметр Настроить защиту сети на вкладке Защита сети .

4. На странице Общие укажите имя новой политики и убедитесь, что включен параметр Защита сети .

5. На странице Защита сети выберите один из следующих параметров для параметра Настроить защиту сети :

   • Блокировка
   • Аудит
   • Disabled

6. Выполните остальные действия и сохраните политику.

7. На ленте выберите Развернуть , чтобы развернуть политику в коллекции.

Важная информация об удалении параметров Exploit Guard с устройства

После развертывания политики Exploit Guard с помощью Configuration Manager параметры Exploit Guard не удаляются из клиентов при удалении развертывания. Кроме того, если удалить развертывание Exploit Guard клиента, Delete not supported оно записывается в ExploitGuardHandler.log клиенте в Configuration Manager.

Используйте следующий сценарий PowerShell в контексте SYSTEM, чтобы правильно удалить параметры Exploit Guard:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

См. также

• Защита сети
• Защита сети для Linux
• Защита сети для macOS
• Защита сети и трехстороннее подтверждение TCP
• Оценка защиты сети
• Устранение неполадок с защитой сети