Auswerten des Netzwerkschutzes

Gilt für:

Der Netzwerkschutz verhindert, dass Mitarbeiter eine beliebige Anwendung verwenden, um auf gefährliche Domänen zuzugreifen, die Phishing-Angriffe, Exploits und andere schädliche Inhalte im Internet hosten können.

Dieser Artikel hilft Ihnen bei der Bewertung des Netzwerkschutzes, indem er das Feature aktiviert und Sie zu einer Testwebsite führt. Die Websites in diesem Evaluierungsartikel sind nicht bösartig. Es handelt sich um speziell erstellte Websites, die vorgeben, bösartig zu sein. Die Website repliziert das Verhalten, das auftreten würde, wenn ein Benutzer eine schädliche Website oder Domäne besucht.

Tipp

Sie können auch die Website für Microsoft Defender-Demoszenarien unter demo.wd.microsoft.com besuchen, um zu sehen, wie andere Schutzfeatures funktionieren.

Aktivieren des Netzwerkschutzes im Überwachungsmodus

Aktivieren Sie den Netzwerkschutz im Überwachungsmodus, um festzustellen, welche IP-Adressen und Domänen blockiert worden wären. Sie können sicherstellen, dass dies keine Auswirkungen auf Branchen-Apps hat, oder sich ein Bild davon machen, wie oft Blöcke auftreten.

  1. Geben Sie powershell in die Startmenü ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie "Als Administrator ausführen" aus.

  2. Geben Sie das folgende Cmdlet ein:

    Set-MpPreference -EnableNetworkProtection AuditMode
    

Besuchen einer (gefälschten) schädlichen Domäne

  1. Öffnen Sie Internet Explorer, Google Chrome oder einen anderen Browser Ihrer Wahl.

  2. Wechseln Sie zu https://smartscreentestratings2.net.

    Die Netzwerkverbindung ist zulässig, und es wird eine Testmeldung angezeigt.

    Beispielbenachrichtigung, die besagt, dass die Verbindung blockiert ist: Ihr IT-Administrator hat bewirkt, dass Windows-Sicherheit diese Netzwerkverbindung blockiert hat. Wenden Sie sich an Ihren IT-Helpdesk.

Hinweis

Netzwerkverbindungen können erfolgreich sein, auch wenn ein Standort durch Netzwerkschutz blockiert wird. Weitere Informationen finden Sie unter Netzwerkschutz und dem dreistufigen TCP-Handshake.

Überprüfen von Netzwerkschutzereignissen in Windows Ereignisanzeige

Um Apps zu überprüfen, die blockiert worden wären, öffnen Sie die Ereignisanzeige, und filtern Sie im Microsoft-Windows-Windows-Defender/Operational-Protokoll nach Ereignis-ID 1125. In der folgenden Tabelle sind alle Netzwerkschutzereignisse aufgeführt.

Ereignis-ID Bereitstellen/Quelle Beschreibung
5007 Windows Defender (Betriebsbereit) Ereignis, wenn Einstellungen geändert werden
1125 Windows Defender (Betriebsbereit) Ereignis, wenn eine Netzwerkverbindung überwacht wird
1126 Windows Defender (Betriebsbereit) Ereignis, wenn eine Netzwerkverbindung blockiert wird

Siehe auch