設定端點 DNS 保護原則

要設定端點 DNS 保護原則，您必須新增欲保護的裝置、啟用 DNS 保護功能，並指定其他設定，例如網域排除清單與封鎖頁面。

需求

要設定此原則，您必須滿足以下要求：

1. 請依照以下步驟升級至 Sophos Endpoint 套件以啟用 DNS 保護功能：

   注意

   這是臨時性的要求。DNS 保護目前要求您使用以下提及的軟體 套件。當此要求不再適用時，您即可使用推薦套件。

   1. 前往 我的產品 > Endpoint > 原則。
   2. 在「更新管理」下，點擊「基本 原則 - 更新管理」。
   3. 在「設定」索引標籤上，前往「選擇軟體 套件」。

   4. 在 Windows 系統中，請選取 FTS 2025.2.3.31.2（DNS 保護更新所需）。

      

2. 請確保您已在所有需要保護的裝置上安裝端點代理程式。請參見 端點。

在端點 代理 程式中啟用 DNS 保護

要在端點代理程式中啟用 DNS 保護，請依下列步驟操作：

1. 前往 我的產品 > Endpoint > 電腦。

2. 選擇您要保護的電腦，然後點擊「管理端點 保護」。

   注意

   您只能新增 Windows 端點。目前暫不支援 Windows Server 與 macOS 端點。

3. 在 DNS 下，選擇安裝程式。

   注意

   若您持有 ZTNA 授權，將會顯示 DNS 與 ZTNA 而非 DNS。

4. 按一下 儲存。

建立端點 DNS 保護原則

要建立終端點 DNS 保護原則，請執行以下操作：

1. 移至 我的產品 > Endpoint > 原則並按一下新增原則。
2. 在類型下拉選單中，選擇裝置。
3. 在「功能」中，選擇「端點 DNS 保護」，然後點擊「繼續」。

4. 新增您要保護的電腦或電腦 群組。

   注意

   您只能新增 Windows 端點。目前暫不支援 Windows Server 與 macOS 端點。

5. 點擊「原則已啟用」，並確保「原則為啟用狀態」已開啟。預設會啟用。

6. 點擊設定以啟用 DNS 保護功能。

設定

您可以啟用 DNS 保護功能、新增網域排除清單，並設定顯示封鎖頁面的相關參數。

開啟 DNS 保護

要啟用 DNS 保護，請依下列步驟操作：

1. 啟用 Sophos DNS 保護功能。

2. 請選擇您要將裝置指派至的位置。您可以選擇預設位置，或在 DNS 保護中設定新位置，然後從此清單中選取該位置。請參見 新增位置。

   注意

   若您在 DNS 保護中建立新位置，請務必選擇 安全 DNS 作為連線方式。

網域排除項

您可以指定不希望 Sophos 端點進行重定向的網域，讓這些網域能透過您的本地或網路 DNS 伺服器進行解析。

• 網域：新增您要排除於 DNS 保護之外的網域。這些網域的所有子網域皆會自動排除。
• 當 DNS Protection 返回 NXDOMAIN 時，請使用系統或應用程式設定的 DNS 服務重試：若查詢的網域名稱無法從公共DNS記錄解析，DNS保護功能將返回一個NXDOMAIN回應。例如，若貴組織使用由內部 DNS 伺服器託管的私有 DNS 區域來管理本地網路資源。選擇此選項可重新嘗試這些請求，同時避免將其轉發至 DNS 保護功能。

顯示封鎖頁面

開啟「自動將 DNS 保護簽署憑證部署至裝置」 以顯示封鎖頁面。

DNS防護功能會顯示您已封鎖網域的阻擋頁面。封鎖頁面會顯示一則訊息，說明這些網域遭封鎖的原因。要確保使用者看到這些封鎖頁面，必須在使用者的裝置中安裝 DNS Protection 根憑證。

啟用此選項可自動在用戶裝置中安裝根憑證。