MD没有加密协议检测？：No，MD有加密协议检测？：Yes【MD：不要小看我的网络保护NP】

驭龙

昨天我看到一个关于MD的说法，说MD没有HTTPS扫描，所以网页打开速度非常快。

这是真的吗？答案肯定不是，MD虽然没有那种抱着完整特征库去扫描网络传输协议的特征码HTTP(S)扫描，但你要说MD没有HTTP(S)或者说TLS扫描，那是不对的，当然前提是你需要通过PowerShell命令：

1. Set-MpPreference -EnableNetworkProtection Enabled

复制代码

开启MD的网络保护，才能获得MD的NP功能，默认状态的MD现在并没有开启NP功能。

关于网络保护功能，微软的技术文档中有详细介绍，这里引用其中一部分内容：

网络保护概述
网络保护有助于保护设备免受基于 Internet 的事件的影响。 网络保护是一种攻击面减少功能。 它有助于防止员工通过应用程序访问危险域。 在 Internet 上托管网络钓鱼欺诈、攻击和其他恶意内容的域被视为危险。 网络保护扩展了 Microsoft Defender SmartScreen 的范围，以阻止所有尝试基于域或主机名) 连接到低信誉源 (的出站 HTTP (S) 流量。

网络保护将 Web 保护 中的保护扩展到操作系统级别，并且是 Web 内容筛选 (WCF) 的核心组件。 它向其他受支持的浏览器和非浏览器应用程序提供 Microsoft Edge 中的 Web 保护功能。 当与 终结点检测和响应一起使用时，网络保护还提供 (IOC 入侵指标的可见性和阻止) 。 例如，网络保护适用于可用于阻止特定域或主机名的 自定义指示器 。

为什么网络保护很重要
网络保护是Microsoft Defender for Endpoint中攻击面减少解决方案组的一部分。 网络保护使网络层能够阻止 URL 和 IP 地址。 网络保护可以阻止使用某些浏览器和标准网络连接访问 URL。 默认情况下，网络保护使用 SmartScreen 源保护计算机免受已知恶意 URL 的侵害，SmartScreen 源会以类似于 Microsoft Edge 浏览器中 SmartScreen 的方式阻止恶意 URL。 网络保护功能可以扩展到：

阻止来自你自己的威胁情报的 IP/URL 地址 (指示器)
阻止未批准的服务Microsoft Defender for Cloud Apps
基于类别 (Web 内容筛选) 阻止浏览器访问网站

MD官方技术文档，明确表示MD可以监控所有域名和主机名的流量，所以MD的NP功能确实是属于流量扫描。

但由于Microsoft Edge浏览器本身内置SmartScreen功能，所以MD的NP不会重复检测edge浏览器，但是除了edge浏览器，第三方浏览器和其他应用程序的流量，都是被MD监控的，也就是被NP功能进行流量扫描检测，这里我使用SS的测试URL，是HTTPS协议的URL，我通过PowerShell命令，使用PS访问测试URL。

1. $Response = Invoke-WebRequest -URI https://smartscreentestratings2.net/

复制代码

PS提示无法建立SSL或TLS安全通道，这就表明MD的网络保护功能，成功阻止了加密连接，这就意味着MD是有网络加密协议检测能力的，而不是没有。


既然今天已经说了这么多，那我就在分享一些关于MD的网络实时检测服务Microsoft Network Realtime Inspection Service也就是NISSrv进程的更多内容吧。

在微软安全软件远古时期，nissrv本意是Network Inspection System (NIS) Service，也就是网络检测系统服务的缩写。

但是到了Windows Defender 4.2以后，NIS组件被重新设计，成为全新的网络实时检测NRI功能，具体细节可以看我当年的帖子。

虽然功能从NIS单纯的防漏洞功能，改成具有网络行为实时遥测的NRI功能，但是进程服务名并没有更改，所以时至今日，我们还能看到nissrv进程的存在，不过已经今时不同往日。

在WD 4.14版本以后，在WD的关于中已经看不到网络行为实时检测的相关信息，也没有了GAPAEngine的身影，而是合并到WD的核心反病毒引擎中，Network Real-Time Inspection功能也并没有消失，现在通过PowerShell命令，依旧可以看到Network Real-Time Inspection（NIS）的存在

1. Get-MpComputerStatus

复制代码

现在NIS和NRI的行为特征码，依然存在于MD的特征库中发挥着网络实时检测行为监控功能，也就是说网络行为实时检测功能，也是MD的重要网络防御功能。
NIS和NRI的行为特征码如下附件：


尽管如此，那时候的WD应该是不算有网络流量监控的，后期MDE出现以后，MD才开放了网络保护NP功能，在2022年的时候，MD再度大更新，为网络基础检测功能，提供更强大的分析能力，融入开源IDS入侵检测系统的Zeek引擎，从此以后，MD的网络基础检测能力才有了突飞猛进的变化，前些天我发的帖子就说明NP功能现在正在不断加强，这也是因为融入Zeek引擎的原因。

好了，今天的帖子就到这里，我们下一个帖子再见！

驭龙

abc531005 发表于 2024-9-15 09:48
请问龙大，假如不想用了。怎样禁用此功能呢？

1. Set-MpPreference -EnableNetworkProtection Disabled

复制代码

这条命令就可以禁用NP保护了

gtc

那默认edge浏览器，这功能有必要开启吗？

驭龙

gtc 发表于 2024-8-23 17:17
那默认edge浏览器，这功能有必要开启吗？

edge本身有SS信誉，但其他进程没有，所以推荐开启，这样其他进程联网也会被NP进行流量监控，比如说PowerShell，所以还是推荐开启MD的NP功能

gtc

驭龙 发表于 2024-8-23 17:22
edge本身有SS信誉，但其他进程没有，所以推荐开启，这样其他进程联网也会被NP进行流量监控，比如说PowerS ...

感谢解答，回家我就开启这功能

klub

驭龙 发表于 2024-8-23 17:22
edge本身有SS信誉，但其他进程没有，所以推荐开启，这样其他进程联网也会被NP进行流量监控，比如说PowerS ...

Set-MpPreference -EnableNetworkProtection Enabled好像不能用，错误，不知道为什么

驭龙

klub 发表于 2024-8-23 19:04
Set-MpPreference -EnableNetworkProtection Enabled好像不能用，错误，不知道为什么

并没有问题

klub

驭龙 发表于 2024-8-23 19:10
并没有问题

龙大，你是怎么打开这个窗口的

驭龙

klub 发表于 2024-8-23 19:22
龙大，你是怎么打开这个窗口的

管理员身份运行PS ISE

klub

驭龙 发表于 2024-8-23 20:01
管理员身份运行PS ISE

龙大，你别笑话我，真不会玩。能说的详细点吗？

驭龙

klub 发表于 2024-8-23 20:32
龙大，你别笑话我，真不会玩。能说的详细点吗？

任务栏搜索框输入PowerShell ISE
管理员身份运行就可以了