增强了 Microsoft Defender SmartScreen 中的网络钓鱼防护

从 Windows 11 版本 22H2 开始,Microsoft Defender SmartScreen 中的增强型网络钓鱼防护可帮助保护Microsoft学校或工作密码免受网站和应用上的网络钓鱼和不安全使用的影响。

如果用户使用密码登录 Windows,则增强型钓鱼防护与 Windows 安全保护一起使用,并通过以下方式帮助保护用于登录 Windows 11 的键入工作或学校密码:

  • 如果用户在任何浏览器中键入或粘贴其工作或学校密码,则将其Microsoft Defender SmartScreen 视为恶意的网站,增强型钓鱼防护会向他们发出警报。 它还会提醒他们更改密码,以便攻击者无法访问其帐户。
  • 重用工作或学校密码可使泄露用户密码的攻击者轻松访问其其他帐户。 增强的钓鱼防护可以警告用户在网站和应用中重复使用其工作或学校Microsoft帐户密码,并提醒他们更改密码。
  • 由于在文本编辑器中存储纯文本密码不安全,因此如果用户将工作或学校密码存储在记事本、Word 或任何 Microsoft 365 Office 应用中,增强型钓鱼防护可能会警告用户,并建议他们从文件中删除其密码。
  • 如果用户在 SmartScreen 发现可疑的网站或应用中键入其工作或学校密码,增强型钓鱼防护可以自动从该网站或应用收集信息,以帮助识别安全威胁。 例如,显示的内容、播放的声音和应用程序内存。

注意

当用户使用 Windows Hello 企业版 PIN 或生物识别登录到设备时,增强型钓鱼防护不会向用户发出警报,也不会将事件发送到 Microsoft Defender for Endpoint (MDE)

Microsoft Defender SmartScreen 中增强的钓鱼防护的优势

增强的钓鱼防护为用于登录 Windows 11 的工作或学校密码提供可靠的网络钓鱼防护。 增强型网络钓鱼防护的优势包括:

  • 防钓鱼支持: 钓鱼攻击通过令人信服地模仿安全内容或通过获取托管在受信任站点和应用程序中的内容的凭据来诱骗用户。 增强的钓鱼防护通过评估网站或应用连接到的 URL 以及其他特征,以确定它们是否已知分发或托管不安全内容,从而帮助保护用户免受报告钓鱼网站的危害。

  • 安全操作系统集成: 增强的钓鱼防护直接集成到 Windows 11 操作系统中,因此它可以了解用户的密码输入上下文 (包括任何浏览器或应用中的进程连接、URL、证书信息) 。 由于增强型网络钓鱼防护对 OS 级别发生的情况具有无与伦比的见解,因此它可以识别用户何时不安全地键入其工作或学校密码。 如果用户确实不安全地使用其工作或学校密码,该功能允许用户更改其密码,以最大程度地降低其泄露凭据遭到武器攻击的可能性。

  • Microsoft的安全套件中共享的无与伦比的遥测数据: 增强的钓鱼防护不断从整个Microsoft安全堆栈中的网络钓鱼攻击中学习。 它与其他Microsoft安全产品一起使用,为密码安全提供分层方法,尤其是对于在无密码身份验证旅程早期的组织。 如果你的组织使用 Microsoft Defender for Endpoint,则可以在 Microsoft 365 Defender 门户中看到有价值的钓鱼传感器数据。 此门户允许你查看环境中不安全密码使用情况的增强型钓鱼防护警报和报告。

  • 通过组策略和 Microsoft Intune 轻松管理: 增强的钓鱼防护可与组策略和移动设备管理 (MDM) 设置配合使用,以帮助管理组织的计算机设置。 根据设置增强型钓鱼防护的方式,可以自定义向用户显示警告对话框的网络钓鱼防护方案。 例如,“已启用服务”设置确定增强型钓鱼防护服务是打开还是关闭。 如果未启用与通知策略对应的其他设置,则该功能处于审核模式。

Windows 版本和许可要求

下表列出了支持 SmartScreen 增强钓鱼防护的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

以下许可证授予 SmartScreen 许可证权利增强的钓鱼防护:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

为组织配置增强的钓鱼防护

可以通过 Microsoft Intune、组策略对象 (GPO) 或配置服务提供商 (CSP) MDM 服务来配置增强的钓鱼防护。 这些设置可用于使用 Microsoft Intune、GPO 或 CSP 配置设备。

设置 描述
自动数据收集 此策略设置确定当用户在可疑网站或应用中输入其工作或学校密码时,增强型钓鱼防护是否可以收集其他信息,例如显示的内容、播放的声音和应用程序内存。 此信息仅用于安全目的,并帮助 SmartScreen 确定网站或应用是恶意的。
  • 如果启用此策略设置,当用户将工作或学校密码输入到该网站或应用中时,增强型钓鱼防护可能会自动从可疑网站或应用收集其他安全分析内容。
  • 如果禁用此策略设置,当用户在可疑网站或应用中输入工作或学校密码时,增强型钓鱼防护不会收集其他内容用于安全分析。
  • 如果未设置此策略,则增强型钓鱼防护自动数据收集将遵循最终用户的设置。
  • 已启用服务 此策略设置确定增强型钓鱼防护是处于审核模式还是关闭。 当增强型网络钓鱼防护处于审核模式时,用户不会看到任何保护方案的任何通知。 在审核模式下,增强型钓鱼防护捕获不安全的密码输入事件,并通过 Microsoft Defender 发送诊断数据。
  • 如果启用或未配置此设置,则会在审核模式下启用增强型钓鱼防护,从而阻止用户将其关闭。
  • 如果禁用此策略设置,则会关闭增强的钓鱼防护。 关闭时,增强型钓鱼防护不会捕获事件、发送数据或通知用户。 此外,用户无法将其打开。
  • 通知恶意 此策略设置确定如果用户将工作或学校密码键入以下恶意方案之一,是否向用户发出警告:进入报告的钓鱼网站、使用无效证书的登录 URL,或连接到已报告的钓鱼网站或具有无效证书的登录 URL 的应用程序
  • 如果启用此策略设置,如果用户将工作或学校密码键入上述恶意方案之一,则增强型钓鱼防护会发出警告,并鼓励他们更改其密码。
  • 如果禁用或未配置此策略设置,如果用户在上述恶意方案中键入工作或学校密码,增强型钓鱼防护不会警告用户。
  • 通知密码重用 此策略设置确定如果用户重复使用其工作密码或学校密码,则增强型网络钓鱼防护是否会发出警告。
  • 如果启用此策略设置,增强型钓鱼防护会在用户重复使用其工作或学校密码时发出警告,并鼓励他们更改密码。
  • 如果禁用或未配置此策略设置,如果用户重复使用其工作或学校密码,增强型钓鱼防护不会警告用户。
  • 通知不安全的应用 此策略设置确定如果用户在记事本或 Microsoft 365 Office Apps 中键入其工作或学校密码,则增强型钓鱼防护是否会发出警告。
  • 如果启用此策略设置,如果用户将密码存储在记事本或 Microsoft 365 Office Apps 中,则增强型钓鱼防护会发出警告。
  • 如果禁用或未配置此策略设置,如果用户将密码存储在记事本或Microsoft 365 Office Apps 中,增强型钓鱼防护不会警告用户。
  • 增强的钓鱼防护允许组织将其自定义标识提供者登录 URL 添加为可识别的 URL。 然后,增强型钓鱼防护不会将键入内部标识提供者Microsoft密码 (IdP) 视为未知密码或密码重用。 如果不知道企业的自定义标识提供者 URL,SmartScreen 可能没有足够的 URL 信息。 如果为增强型钓鱼防护配置警告对话框,则用户可能会在 URL 中输入其Microsoft密码时显示不安全的密码使用对话框。

    若要将组织的自定义登录 URL 添加到增强型钓鱼防护,请在EnableWebSignIn身份验证策略 CSP 中配置策略。 有关详细信息,请参阅 Windows 的 Web 登录

    按照这些说明使用 Microsoft Intune、GPO 或 CSP 配置设备。

    若要使用 Microsoft Intune 配置设备,请创建 设置目录 策略,并使用类别 SmartScreen > Enhanced Phishing Protection下列出的设置:

    • 自动数据收集
    • 已启用服务
    • 通知恶意
    • 通知密码重用
    • 通知不安全的应用

    将策略分配给安全组,该安全组包含要配置的设备或用户作为成员。

    默认情况下,增强型钓鱼防护部署在审核模式下,从而防止向用户发出任何保护方案的通知。 在审核模式下,增强型钓鱼防护捕获不安全的密码输入事件,并通过 Microsoft Defender 发送诊断数据。 如果用户在钓鱼网站中输入工作或学校密码、重复使用密码,或者他们在应用程序中不安全地存储密码,则不会受到警告。 由于这种可能性,建议配置增强型钓鱼防护,以便在所有保护方案中警告用户。

    设置 默认值 建议
    自动数据收集 为已加入域的设备或已注册 MDM 的设备启用
    已对所有其他设备禁用
    已启用:启用从可疑网站或应用收集用于安全分析的其他内容,以提高Microsoft的威胁情报。 此信息仅用于安全目的,并帮助 SmartScreen 确定网站或应用是恶意的。
    已启用服务 Enabled 已启用:在审核模式下启用增强型钓鱼防护,这会捕获工作或学校密码输入事件并发送诊断数据,但不向用户显示任何通知。
    通知恶意 对于载入 到 MDE 的设备禁用。
    为所有其他设备启用
    已启用:当用户将工作或学校密码键入前面所述的恶意方案之一,并鼓励他们更改其密码时,启用增强的钓鱼防护通知。
    通知密码重用 禁用 已启用:当用户重复使用其工作或学校密码并鼓励他们更改其密码时,启用增强的钓鱼防护通知。
    通知不安全的应用 禁用 已启用:当用户在记事本中键入其工作或学校密码并Microsoft 365 Office 应用时,启用增强型钓鱼防护通知。

    为了更好地帮助保护组织,建议打开并使用这些特定的 Microsoft Defender SmartScreen 设置。

    设置目录元素 建议的值
    自动数据收集 Enabled
    已启用服务 Enabled
    通知恶意 Enabled
    通知密码重用 Enabled
    通知不安全的应用 Enabled