Kötü amaçlı veya şüpheli sitelerle bağlantıları önlemeye yardımcı olmak için ağ korumasını kullanma
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
- Microsoft Defender Virüsten Koruma
Platform
- Windows
- macOS
- Linux
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Ağ korumasına genel bakış
Ağ koruması, kötü amaçlı veya şüpheli sitelere bağlantıları engelleyerek cihazları belirli İnternet tabanlı olaylardan korumaya yardımcı olur. Ağ koruması, kuruluşunuzdaki kişilerin uygulamalar aracılığıyla tehlikeli kabul edilen etki alanlarına erişmesini önlemeye yardımcı olan bir saldırı yüzeyi azaltma özelliğidir. Tehlikeli etki alanlarına örnek olarak, İnternet'te kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içerikleri barındıran etki alanları verilebilir. Ağ koruması, düşük saygınlık kaynaklarına bağlanmaya çalışan tüm giden HTTP(S) trafiğini engellemek için smartscreen Microsoft Defender kapsamını genişletir (etki alanı veya konak adına göre).
Ağ koruması , Web korumasındaki korumayı işletim sistemi düzeyine genişletir ve Web İçeriği Filtreleme (WCF) için temel bir bileşendir. Microsoft Edge'de bulunan web koruma işlevselliğini desteklenen diğer tarayıcılara ve uygun olmayan uygulamalara sağlar. Ağ koruması ayrıca Uç nokta algılama ve yanıt ile kullanıldığında güvenliğin aşılmasına ilişkin göstergelerin (ICS) görünürlüğünü ve engellenmesini de sağlar. Örneğin, ağ koruması belirli etki alanlarını veya konak adlarını engellemek için kullanabileceğiniz özel göstergelerinizle birlikte çalışır.
Ağ koruma kapsamı
Aşağıdaki tabloda kapsamın ağ koruma alanları özetlemektedir.
Özellik | Microsoft Edge | Üçüncü taraf tarayıcılar | Çatısız işlemler (örneğin, PowerShell) |
---|---|---|---|
Web Tehdit Koruması | SmartScreen etkinleştirilmelidir | Ağ koruması blok modunda olmalıdır | Ağ koruması blok modunda olmalıdır |
Özel Göstergeler | SmartScreen etkinleştirilmelidir | Ağ koruması blok modunda olmalıdır | Ağ koruması blok modunda olmalıdır |
Web İçeriği Filtreleme | SmartScreen etkinleştirilmelidir | Ağ koruması blok modunda olmalıdır | Desteklenmiyor |
Not
Mac ve Linux'ta, Edge'de bu özellikler için destek almak için blok modunda ağ korumasına sahip olmanız gerekir. Windows'da ağ koruması Microsoft Edge'i izlemez. Microsoft Edge ve Internet Explorer dışındaki işlemler için web koruma senaryoları, inceleme ve zorlama için ağ korumasından yararlanıyor.
- IP, üç protokol için de desteklenir (TCP, HTTP ve HTTPS (TLS)).
- Özel göstergelerde yalnızca tek IP adresleri desteklenir (CIDR blokları veya IP aralıkları yoktur).
- Şifrelenmiş URL'ler (tam yol) yalnızca birinci taraf tarayıcılarda (Internet Explorer, Edge) engellenebilir.
- Şifrelenmiş URL'ler (yalnızca FQDN) üçüncü taraf tarayıcılarda (internet explorer, Edge dışında) engellenebilir.
- Şifrelenmemiş URL'ler için tam URL yol blokları uygulanabilir.
Eylemin gerçekleştirilişi ile URL ve IP'nin engellenmesi arasında 2 saate kadar gecikme süresi (genellikle daha az) olabilir.
Ağ korumasının cihazlarınızın saldırı yüzeyini kimlik avı dolandırıcılığı, açıklardan yararlanma ve diğer kötü amaçlı içeriklerden nasıl azaltmaya yardımcı olduğunu öğrenmek için bu videoyu izleyin.
Ağ koruması gereksinimleri
Ağ koruması için aşağıdaki işletim sistemlerinden birini çalıştıran cihazlar gerekir:
- Windows 10 veya 11 (Pro veya Enterprise) (bkz. Desteklenen Windows sürümleri)
- Windows Server, sürüm 1803 veya üzeri (bkz . Desteklenen Windows sürümleri)
- macOS sürüm 12 (Monterey) veya üzeri (bkz. Mac'te Uç Nokta için Microsoft Defender)
- Desteklenen bir Linux sürümü (bkz. Linux'ta Uç Nokta için Microsoft Defender)
Ağ koruması, gerçek zamanlı korumanın etkinleştirildiği Microsoft Defender Virüsten Koruma gerektirir.
Windows sürümü | Microsoft Defender Virüsten Koruma |
---|---|
Windows 10 sürüm 1709 veya üzeri, Windows 11, Windows Server 1803 veya üzeri | Microsoft Defender Virüsten Koruma gerçek zamanlı koruma, davranış izleme ve bulut tabanlı korumanın etkinleştirildiğinden emin olun (etkin) |
Birleştirilmiş aracıyla R2 ve Windows Server 2016 Windows Server 2012 | Platform Güncelleştirmesi sürüm 4.18.2001.x.x veya üzeri |
Ağ koruması neden önemlidir?
Ağ koruması, Uç Nokta için Microsoft Defender'daki saldırı yüzeyi azaltma çözümleri grubunun bir parçasıdır. Ağ koruması, ağ katmanının URL'leri ve IP adreslerini engellemesini sağlar. Ağ koruması, belirli tarayıcılar ve standart ağ bağlantıları kullanılarak URL'lere erişilebileceğini engelleyebilir. Varsayılan olarak, ağ koruması, Microsoft Edge tarayıcısında SmartScreen'e benzer şekilde kötü amaçlı URL'leri engelleyen SmartScreen akışını kullanarak bilgisayarlarınızı bilinen kötü amaçlı URL'lerden korur. Ağ koruma işlevselliği şu şekilde genişletilebilir:
- Kendi tehdit bilgilerinizden (göstergeler) IP/URL adreslerini engelleme
- Microsoft Defender for Cloud Apps'den tasdik edilmemiş hizmetleri engelleme
- Kategoriye göre web sitelerine tarayıcı erişimini engelleme (Web içeriği filtreleme)
Ağ koruması, Microsoft koruması ve yanıt yığınının kritik bir parçasıdır.
İpucu
Windows Server, Linux, MacOS ve Mobile Threat Defense (MTD) için ağ koruması hakkında ayrıntılı bilgi için bkz. Gelişmiş tehdit avcılığı ile tehditleri proaktif olarak avlama.
Komut ve Denetim saldırılarını engelleme
Komut ve Denetim (C2) sunucu bilgisayarları, kötü amaçlı kullanıcılar tarafından daha önce kötü amaçlı yazılımlar tarafından ele geçirilen sistemlere komut göndermek için kullanılır. C2 saldırıları genellikle dosya paylaşımı ve web posta hizmetleri gibi bulut tabanlı hizmetlerde gizlenir ve C2 sunucularının tipik trafikle karışarak algılamayı önlemesini sağlar.
C2 sunucuları, şu komutları başlatmak için kullanılabilir:
- Verileri çalma
- Botnet'te güvenliği aşılmış bilgisayarları denetleme
- Yasal uygulamaları kesintiye uğratma
- Fidye yazılımı gibi kötü amaçlı yazılımları yayma
Uç Nokta için Defender'ın ağ koruma bileşeni, makine öğrenmesi ve akıllı risk göstergesi (IoC) belirleme gibi teknikleri kullanarak insan tarafından çalıştırılan fidye yazılımı saldırılarında kullanılan C2 altyapılarına yönelik bağlantıları tanımlar ve engeller.
Ağ koruması: C2 algılama ve düzeltme
fidye yazılımı, ilk biçiminde önceden programlanmış ve sınırlı, belirli sonuçlara (bir bilgisayarı şifrelemek gibi) odaklanmış bir ticari tehdittir. Ancak fidye yazılımı, insan odaklı, uyarlamalı ve daha büyük ölçekli ve daha yaygın sonuçlara odaklanan gelişmiş bir tehdit haline geldi. Örneğin, tüm kuruluşun varlıklarını veya verilerini fidye için tutma.
Komut ve Denetim sunucuları (C2) desteği bu fidye yazılımı evriminin önemli bir parçasıdır ve bu saldırıların hedefledikleri ortama uyum sağlamasını sağlayan da budur. Komut ve denetim altyapısı bağlantısının kesilmesi, saldırının bir sonraki aşamasına ilerlemesini durdurur. C2 algılama ve düzeltme hakkında daha fazla bilgi için bkz. Ağ katmanında komut ve denetim saldırılarını algılama ve düzeltme.
Ağ koruması: Yeni bildirim bildirimleri
Yeni eşleme | Yanıt kategorisi | Kaynak |
---|---|---|
kimlik avı | Kimlik Avı | SmartScreen |
kötü niyetli | Kötü niyetli | SmartScreen |
komut ve denetim | C2 | SmartScreen |
komut ve denetim | COCO | SmartScreen |
kötü niyetli | Güvenilmeyen | SmartScreen |
BT yöneticiniz tarafından | CustomBlockList | |
BT yöneticiniz tarafından | CustomPolicy |
Not
customAllowList uç noktalarda bildirim oluşturmaz.
Ağ koruması belirlemeye yönelik yeni bildirimler
Ağ korumasındaki genel kullanıma açık yeni bir özellik, kötü amaçlı komut ve denetim sitelerindeki kimlik avı etkinliklerini engellemek için SmartScreen'teki işlevleri kullanır. Bir son kullanıcı, ağ korumasının etkinleştirildiği bir ortamda bir web sitesini ziyaret etmeye çalıştığında üç senaryo mümkündür:
- URL'nin bilinen iyi bir üne sahip olması - Bu durumda kullanıcıya engelleme olmadan erişim izni verilir ve uç noktada bildirim sunulmaz. Etki alanı veya URL etkin olarak İzin Verildi olarak ayarlanır.
- URL bilinmeyen veya belirsiz bir üne sahip - Kullanıcının erişimi engellenir, ancak engeli aşma (engellemesini kaldırma) özelliğiyle. Etkin olarak, etki alanı veya URL Denetim olarak ayarlanır.
- URL'nin bilinen kötü (kötü amaçlı) bir itibarı var- Kullanıcının erişimi engellendi. Etkin olarak, etki alanı veya URL Engelle olarak ayarlanır.
Deneyimi uyar
Kullanıcı bir web sitesini ziyaret eder:
URL bilinmeyen veya belirsiz bir üne sahipse, kullanıcıya aşağıdaki seçenekleri sunan bir bildirim sunulur:
Tamam - Bildirim yayımlanır (kaldırılır) ve siteye erişim girişimi sona erer.
Engellemeyi kaldırma - Kullanıcının siteye 24 saat boyunca erişimi vardır; bu noktada bloğun yeniden kullanılabilir duruma gelir. Kullanıcı, yönetici siteyi yasaklayana (engelleyene) kadar siteye erişmek için Engellemeyi Kaldır'ı kullanmaya devam edebilir ve böylece Engellemeyi Kaldırma seçeneğini kaldırır.
Geri Bildirim - Bildirim, kullanıcıya, siteye erişimi gerekçelendirmek amacıyla yöneticiye geri bildirim göndermek için kullanabileceği bir bilet gönderme bağlantısı sunar.
Not
Bu makalede hem deneyim hem de
warn
deneyimblock
için gösterilen görüntülerde örnek yer tutucu metin olarak "engellenen URL" kullanılır. İşlevli bir ortamda gerçek URL veya etki alanı listelenir.
Blok deneyimi
Kullanıcı bir web sitesini ziyaret eder:
- URL'nin kötü bir ünü varsa, kullanıcıya aşağıdaki seçenekleri sunan bir bildirim sunulur:
SmartScreen Engellemesini Kaldır
Uç Nokta için Defender'daki göstergelerle, yöneticiler son kullanıcıların bazı URL'ler ve IP'ler için oluşturulan uyarıları atlamasına izin verebilir. URL'nin neden engellendiğine bağlı olarak, bir SmartScreen bloğuyla karşılaşıldığında kullanıcıya sitenin engellemesini 24 saate kadar kaldırma olanağı sunabilir. Bu gibi durumlarda, kullanıcının Engellemeyi Kaldır'ı seçmesine izin Windows Güvenliği bildirim görüntülenir. Bu gibi durumlarda URL veya IP'nin engeli belirtilen süre boyunca kaldırılır.
Uç Nokta için Microsoft Defender yöneticileri IP'ler, URL'ler ve etki alanları için izin verme göstergesini kullanarak Microsoft Defender portalında SmartScreen Engellemesini Kaldırma işlevini yapılandırabilir.
Bkz . IP'ler ve URL'ler/etki alanları için gösterge oluşturma.
Ağ korumasını kullanma
Ağ koruması cihaz başına etkinleştirilir ve bu genellikle yönetim altyapınız kullanılarak gerçekleştirilir. Desteklenen yöntemler için bkz . Ağ korumasını açma.
Not
Microsoft Defender Virüsten Koruma'nın ağ korumasını etkinleştirmek için etkin modda olması gerekir.
Ağ korumasını audit
modda veya block
modda etkinleştirebilirsiniz. IP adreslerini veya URL'leri engellemeden önce ağ korumasını etkinleştirmenin etkisini değerlendirmek istiyorsanız, denetim modunda ağ korumasını etkinleştirebilir ve engellenecek veriler hakkında veri toplayabilirsiniz. Denetim modu, son kullanıcılar ağ koruması tarafından engellenecek bir adrese veya siteye her bağlandığında günlüğe kaydeder. Güvenliğin aşılması (IoC) veya Web içeriği filtreleme (WCF) göstergelerinin çalışması için ağ korumasının modda block
olması gerekir.
Linux ve macOS için ağ koruması hakkında bilgi için aşağıdaki makalelere bakın:
Gelişmiş avcılık örneği
Denetim olaylarını tanımlamak için gelişmiş avcılık kullanıyorsanız konsoldan 30 güne kadar geçmişe sahip olursunuz. Bkz . Gelişmiş avcılık.
Denetim olaylarını Uç Nokta için Defender portalında (https://security.microsoft.com) Gelişmiş avcılık bölümünde bulabilirsiniz.
Denetim olayları, Bir ActionType ile DeviceEvents içindedir ExploitGuardNetworkProtectionAudited
. Bloklar, actionType ile ExploitGuardNetworkProtectionBlocked
gösterilir.
Aşağıda, Microsoft dışı tarayıcılar için Ağ Koruması olaylarını görüntülemeye yönelik örnek bir sorgu verilmiştir:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
İpucu
Bu girdilerin AdditionalFields sütunundaki veriler, eylemle ilgili harika bilgiler sağlar. AdditionalFields'i genişletirseniz IsAudit, ResponseCategory ve DisplayName alanlarını da alabilirsiniz.
İşte başka bir örnek:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
Yanıt kategorisi, bu örnekte olduğu gibi olaya neyin neden olduğunu bildirir:
ResponseCategory | Olaydan sorumlu özellik |
---|---|
CustomPolicy | WCF |
CustomBlockList | Özel göstergeler |
CasbPolicy | Bulut Uygulamaları için Defender |
Kötü niyetli | Web tehditleri |
Kimlik Avı | Web tehditleri |
Daha fazla bilgi için bkz. Uç nokta blokları sorunlarını giderme.
Microsoft Edge tarayıcısını kullanıyorsanız Microsoft Defender SmartScreen olayları için şu sorguyu kullanın:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
Ağ koruması cihazda engelleme moduna ayarlanırsa nelerin engelleneceğini belirlemek için url'lerin ve IP'lerin sonuç listesini kullanabilirsiniz. Hangi özelliklerin URL'leri ve IP'leri engellediğini de görebilirsiniz. Ortamınız için gerekli olan URL'leri veya IP'leri belirlemek için listeyi gözden geçirin. Daha sonra bu URL'ler veya IP adresleri için bir izin verme göstergesi oluşturabilirsiniz. İzin verilen göstergeler tüm bloklara göre önceliklidir.
Bir gösterge oluşturduktan sonra, temel alınan sorunu aşağıdaki gibi çözmeye bakabilirsiniz:
- SmartScreen – gözden geçirme isteği
- Gösterge – var olan göstergeyi değiştirme
- MCA – tasdik edilmemiş uygulamayı gözden geçirme
- WCF – yeniden kategorilere ayırma isteği
Bu verileri kullanarak, Ağ korumasını Engelleme modunda etkinleştirme konusunda bilinçli bir karar vekleyebilirsiniz. Bkz . Ağ koruma blokları için öncelik sırası.
Not
Bu cihaz başına bir ayar olduğundan, Engelleme moduna geçemeyen cihazlar varsa, sınamayı düzeltene ve denetim olaylarını almaya devam edene kadar bunları denetimde bırakabilirsiniz.
Hatalı pozitifleri bildirme hakkında bilgi için bkz. Hatalı pozitifleri raporlama.
Kendi Power BI raporlarınızı oluşturma hakkında ayrıntılı bilgi için bkz. Power BI kullanarak özel raporlar oluşturma.
Ağ korumasını yapılandırma
Ağ korumasını etkinleştirme hakkında daha fazla bilgi için bkz. Ağ korumasını etkinleştirme. Ağınızda ağ korumasını etkinleştirmek ve yönetmek için grup ilkesi, PowerShell veya MDM CSP'lerini kullanın.
Ağ korumasını etkinleştirdikten sonra, uç nokta cihazlarınızla web hizmetleri arasındaki bağlantılara izin vermek için ağınızı veya güvenlik duvarınızı yapılandırmanız gerekebilir:
.smartscreen.microsoft.com
.smartscreen-prod.microsoft.com
Ağ koruma olaylarını görüntüleme
Ağ koruması en iyi Uç Nokta için Microsoft Defender ile çalışır ve bu da uyarı araştırma senaryolarının bir parçası olarak açıklardan yararlanma koruma olayları ve blokları hakkında ayrıntılı raporlama sağlar.
Ağ koruması bir bağlantıyı engellediğinde, İşlem Merkezi'nden bir bildirim görüntülenir. Güvenlik operasyonları ekibiniz, kuruluşunuzun ayrıntıları ve iletişim bilgileriyle bildirimi özelleştirebilir . Ayrıca, tek tek saldırı yüzeyi azaltma kuralları etkinleştirilebilir ve izlemek için belirli tekniklere uyacak şekilde özelleştirilebilir.
Ağ korumasının etkinleştirildiğinde kuruluşunuzu nasıl etkileyeceğini değerlendirmek için denetim modunu da kullanabilirsiniz.
Microsoft Defender portalında ağ koruma olaylarını gözden geçirme
Uç Nokta için Defender , uyarı araştırma senaryolarının bir parçası olarak olaylara ve bloklara ayrıntılı raporlama sağlar. Bu ayrıntıları uyarı kuyruğundaki Microsoft Defender portalında (https://security.microsoft.com) veya gelişmiş avcılığı kullanarak görüntüleyebilirsiniz. Denetim modunu kullanıyorsanız, ağ koruma ayarlarının etkinleştirildiğinde ortamınızı nasıl etkileyeceğini görmek için gelişmiş avcılığı kullanabilirsiniz.
Windows Olay Görüntüleyicisi'de ağ koruma olaylarını gözden geçirme
Ağ koruması kötü amaçlı bir IP'ye veya etki alanına erişimi engellediğinde (veya denetlediğinde) oluşturulan olayları görmek için Windows olay günlüğünü gözden geçirebilirsiniz:
Tamam'ı seçin.
Bu yordam, yalnızca ağ korumasıyla ilgili aşağıdaki olayları gösterecek şekilde filtreleyen özel bir görünüm oluşturur:
Olay Kimliği | Açıklama |
---|---|
5007 | Ayarlar değiştirildiğinde gerçekleşen olay |
1125 | Ağ koruması denetim modunda tetiklendiğinde gerçekleşen olay |
1126 | Ağ koruması blok modunda tetiklendiğinde gerçekleşen olay |
Ağ koruması ve TCP üç yönlü el sıkışması
Ağ koruması ile, TCP/IP aracılığıyla üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilip verilmeyeceğinin veya engellenip engellenmeyeceğinin belirlenmesi yapılır. Bu nedenle, ağ koruması bir siteyi engellediğinde, site engellenmiş olsa bile Microsoft Defender portalında altında DeviceNetworkEvents
bir eylem türü ConnectionSuccess
görebilirsiniz.
DeviceNetworkEvents
ağ korumasından değil TCP katmanından bildirilir. Üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilir veya ağ koruması tarafından engellenir.
Bunun nasıl çalıştığına dair bir örnek aşağıda verilmişti:
Bir kullanıcının cihazında bir web sitesine erişmeye çalıştığı varsayılmaktadır. Site tehlikeli bir etki alanında barındırılacak ve ağ koruması tarafından engellenmelidir.
TCP/IP aracılığıyla üç yönlü el sıkışması başlar. İşlem tamamlanmadan önce bir
DeviceNetworkEvents
eylem günlüğe kaydedilir ve eylemiActionType
olarakConnectionSuccess
listelenir. Ancak, üç yönlü el sıkışma işlemi tamamlandığında ağ koruması siteye erişimi engeller. Tüm bunlar hızlı bir şekilde gerçekleşir. Benzer bir işlem Microsoft Defender SmartScreen ile gerçekleşir; üç yönlü el sıkışması tamamlandığında belirleme yapılır ve siteye erişim engellenir veya izin verilir.Microsoft Defender portalında, uyarılar kuyruğunda bir uyarı listelenir. Bu uyarının ayrıntıları hem hem
AlertEvidence
deDeviceNetworkEvents
içerir. ActionType içeren birDeviceNetworkEvents
öğeniz de olsa, siteninConnectionSuccess
engellendiğini görebilirsiniz.
Çoklu Oturum Windows 10 Enterprise çalışan Windows sanal masaüstü için dikkat edilmesi gerekenler
Windows 10 Enterprise çok kullanıcılı yapısı nedeniyle aşağıdaki noktaları göz önünde bulundurun:
Ağ koruması cihaz genelindeki bir özelliktir ve belirli kullanıcı oturumlarına hedeflenemez.
Web içeriği filtreleme ilkeleri de cihaz genelindedir.
Kullanıcı grupları arasında ayrım yapmanız gerekiyorsa, ayrı Windows Sanal Masaüstü konak havuzları ve atamaları oluşturmayı göz önünde bulundurun.
Dağıtımdan önce davranışını değerlendirmek için ağ korumasını denetim modunda test edin.
Çok fazla sayıda kullanıcınız veya çok sayıda çok kullanıcılı oturumunuz varsa dağıtımınızı yeniden boyutlandırmayı göz önünde bulundurun.
Ağ koruması için alternatif seçenek
Azure'da Windows Sanal Masaüstü'nde kullanılan modern birleştirilmiş çözüm, Windows Server sürüm 1803 veya üzeri ve Windows 10 Enterprise Çoklu Oturum 1909 ve üzerini kullanan Windows Server 2012 R2 ve Windows Server 2016 için, microsoft edge için ağ koruması aşağıdaki yöntem kullanılarak etkinleştirilebilir:
Ağ korumasını aç'ı kullanın ve ilkenizi uygulamak için yönergeleri izleyin.
Aşağıdaki PowerShell komutlarını yürütür:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Not
Bazı durumlarda altyapınıza, trafik hacminize ve diğer koşullara
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
bağlı olarak ağ performansı üzerinde bir etkisi olabilir.
Windows Sunucuları için ağ koruması
Aşağıda Windows Sunucularına özgü bilgiler yer alır.
Ağ korumasının etkinleştirildiğini doğrulama
Registry Düzenleyici kullanarak yerel bir cihazda ağ korumasının etkinleştirilip etkinleştirilmediğini doğrulayın.
Görev çubuğunda başlangıç düğmesini seçin ve kayıt defteri Düzenleyici açmak için regedit yazın.
Yan menüden HKEY_LOCAL_MACHINE'ı seçin.
İç içe menülerde YAZıLıM>İlkeleri>Microsoft>Windows Defender Windows Defender>Exploit GuardAğ Koruması'na> gidin.
(Anahtar yoksa YAZILIM'a> gidinMicrosoft>Windows Defender>Windows Defender Exploit Guard>Ağ Koruması)
Cihazdaki ağ korumasının geçerli durumunu görmek için EnableNetworkProtection öğesini seçin:
-
0
= Kapalı -
1
= Açık (etkin) -
2
= Denetim modu
-
Daha fazla bilgi için bkz . Ağ korumasını açma.
Ağ koruması önerilen kayıt defteri anahtarları
Modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2 ve Windows Server 2016 için, Windows Server sürüm 1803 veya üzeri ve Windows 10 Enterprise Çoklu Oturum 1909 ve üzeri (Azure'da Windows Sanal Masaüstü'nde kullanılır) aşağıdaki gibi diğer kayıt defteri anahtarlarını etkinleştirin:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender Windows Defender>Exploit Guard>Ağ Koruması'na gidin.
Aşağıdaki anahtarları yapılandırın:
-
AllowNetworkProtectionOnWinServer
(DWORD) ayarı1
(onaltılık) -
EnableNetworkProtection
(DWORD) ayarı1
(onaltılık) - (Windows Server 2012 R2 ve yalnızca Windows Server 2016)
AllowNetworkProtectionDownLevel
(DWORD) ayarı1
(onaltılık)
-
Not
Altyapınıza, trafik hacmine ve diğer koşullara bağlı olarak,>HKEY_LOCAL_MACHINE YAZILIM>İlkeleri>Microsoft>Windows Defender>NIS>Tüketiciler>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (onaltılık) ağ performansı üzerinde bir etki oluşturabilir.
Daha fazla bilgi için bkz. Ağ korumasını açma
Windows Sunucuları ve Windows Çoklu oturum yapılandırması için PowerShell gerekir
Windows Sunucuları ve Windows Multi-session için, PowerShell cmdlet'lerini kullanarak etkinleştirmeniz gereken başka öğeler de vardır. Modern birleştirilmiş çözümü kullanarak Windows Server 2012 R2 ve Windows Server 2016 için, Windows Server sürüm 1803 veya üzeri ile Azure'daki Windows Sanal Masaüstü'nde kullanılan Çok Oturumlu 1909 ve sonraki Windows 10 Enterprise aşağıdaki PowerShell komutlarını çalıştırın:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Not
Bazı durumlarda altyapınıza, trafik hacminize ve diğer koşullara Set-MpPreference -AllowDatagramProcessingOnWinServer 1
bağlı olarak ağ performansını etkileyebilir.
Ağ koruması sorunlarını giderme
Ağ korumasının çalıştığı ortam nedeniyle, özellik işletim sistemi proxy ayarlarını algılayamayabilir. Bazı durumlarda ağ koruma istemcileri bulut hizmetine erişemez. Bağlantı sorununu çözmek için Microsoft Defender Virüsten Koruma için statik bir ara sunucu yapılandırın.
Not
Sorun gidermeye başlamadan önce kullanılan tarayıcılarda QUIC protokollerini disabled
olarak ayarladığınızdan emin olun. QUIC protokolü ağ koruma işlevselliğiyle desteklenmez.
Genel Güvenli Erişim şu anda UDP trafiğini desteklemediğinden, bağlantı noktasına 443
UDP trafiği tünellenemez. Genel Güvenli Erişim istemcilerinin HTTPS kullanmaya (443 numaralı bağlantı noktasında TCP trafiği) geri dönebilmesi için QUIC protokolünü devre dışı bırakabilirsiniz. Erişmeye çalıştığınız sunucular QUIC'yi destekliyorsa (örneğin, Microsoft Exchange Online aracılığıyla) bu değişikliği yapmalısınız. QUIC'yi devre dışı bırakmak için aşağıdaki eylemlerden birini gerçekleştirebilirsiniz:
Windows Güvenlik Duvarı'nda QUIC'yi devre dışı bırakma
QUIC'yi devre dışı bırakmak için en genel yöntem, Bu özelliği Windows Güvenlik Duvarı'nda devre dışı bırakmaktır. Bu yöntem tarayıcılar ve istemci uygulamaları (Microsoft Office gibi) dahil olmak üzere tüm uygulamaları etkiler. PowerShell'de cmdlet'ini çalıştırarak cihazdan New-NetFirewallRule
giden tüm trafik için QUIC'yi devre dışı bırakmaya yönelik yeni bir güvenlik duvarı kuralı ekleyin:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
Web tarayıcısında QUIC'yi devre dışı bırakma
QUIC'yi web tarayıcısı düzeyinde devre dışı bırakabilirsiniz. Ancak, QUIC'yi devre dışı bırakmanın bu yöntemi, QUIC'nin uyumlu olmayan uygulamalarda çalışmaya devam etmesi anlamına gelir. Microsoft Edge veya Google Chrome'da QUIC'yi devre dışı bırakmak için tarayıcıyı açın, Deneysel QUIC protokolü ayarını (#enable-quic
bayrağı) bulun ve ardından ayarı olarak Disabled
değiştirin. Aşağıdaki tabloda, tarayıcının adres çubuğuna hangi URI'nin girildiği gösterilir ve böylece bu ayara erişebilirsiniz.
Tarayıcı | URI |
---|---|
Microsoft Edge | edge://flags/#enable-quic |
Google Chrome | chrome://flags/#enable-quic |
Ağ koruma performansını iyileştirme
Ağ koruması, modun uzun süreli bağlantıları zaman uyumsuz olarak incelemesine olanak tanıyan block
performans iyileştirmesini içerir ve bu da performans iyileştirmesi sağlayabilir. Bu iyileştirme, uygulama uyumluluk sorunlarına da yardımcı olabilir. Bu özellik varsayılan olarak açıktır. Aşağıdaki PowerShell cmdlet'ini kullanarak bu özelliği kapatabilirsiniz:
Set-MpPreference -AllowSwitchToAsyncInspection $false
Ayrıca bkz.
- Ağ korumasını değerlendirme | Özelliğin nasıl çalıştığını ve genellikle hangi olayların oluşturulacağını gösteren hızlı bir senaryoyu üstlenin.
- Ağ korumasını etkinleştirme | Ağınızda ağ korumasını etkinleştirmek ve yönetmek için grup ilkesi, PowerShell veya MDM CSP'lerini kullanın.
- Microsoft Intune'de saldırı yüzeyi azaltma özelliklerini yapılandırma
- Linux için ağ koruması | Linux cihazları için Microsoft Ağ koruması kullanma hakkında bilgi edinmek için.
- macOS için ağ koruması | macOS için Microsoft Ağ koruması hakkında daha fazla bilgi edinmek için
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.