Schützen Sie Ihr Netzwerk

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Übersicht über den Netzwerkschutz

Der Netzwerkschutz schützt Geräte vor internetbasierten Ereignissen. Der Netzwerkschutz ist eine Attack Surface Reduction-Funktion. Es verhindert, dass Mitarbeiter über Anwendungen auf gefährliche Domänen zugreifen. Domänen, die Phishing-Angriffe, Exploits und andere schädliche Inhalte im Internet hosten, gelten als gefährlich. Der Netzwerkschutz erweitert den Bereich der Microsoft Defender SmartScreen, um den gesamten ausgehenden HTTP-Datenverkehr zu blockieren, der versucht, eine Verbindung mit Quellen mit niedriger Zuverlässigkeit herzustellen (basierend auf der Domäne oder dem Hostnamen).

Der Netzwerkschutz erweitert den Schutz im Webschutz auf Betriebssystemebene. Es bietet Webschutzfunktionen in Edge für andere unterstützte Browser und Nicht-Browser-Anwendungen. Darüber hinaus bietet der Netzwerkschutz Sichtbarkeit und Blockierung von Gefährdungsindikatoren (Indicators of Compromise, IOCs), wenn sie mit Endpunkterkennung und -reaktionverwendet werden. Der Netzwerkschutz funktioniert beispielsweise mit Ihren benutzerdefinierten Indikatoren, die Sie verwenden können, um bestimmte Domänen oder Hostnamen zu blockieren.

Tipp

Informationen zur Funktionsweise des Netzwerkschutzes finden Sie auf der Testwebsite von Microsoft Defender für Endpunkt unter demo.wd.microsoft.com.

Anforderungen für den Netzwerkschutz

Der Netzwerkschutz erfordert Windows 10 Pro oder Enterprise und Microsoft Defender Antivirus Echtzeitschutz.



Windows-Version Microsoft Defender Antivirus
Windows 10 Version 1709 oder höher

Windows 11

Windows Server 1803 oder höher

Microsoft Defender Antivirus Echtzeitschutz und über die Cloud bereitgestellter Schutz muss aktiviert sein

Nachdem Sie die Dienste aktiviert haben, müssen Sie möglicherweise Ihr Netzwerk oder Ihre Firewall konfigurieren, um die Verbindungen zwischen den Diensten und Ihren Geräten zuzulassen (auch als Endpunkte bezeichnet).

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Konfigurieren des Netzwerkschutzes

Weitere Informationen zum Aktivieren des Netzwerkschutzes finden Sie unter Aktivieren des Netzwerkschutzes. Verwenden Sie Gruppenrichtlinien, PowerShell oder MDM-CSPs, um den Netzwerkschutz in Ihrem Netzwerk zu aktivieren und zu verwalten.

Anzeigen von Netzwerkschutzereignissen

Der Netzwerkschutz funktioniert am besten mit Microsoft Defender für Endpunkt.Dadurch erhalten Sie detaillierte Berichte zu Exploit-Schutz-Ereignissen und -Blockierungen im Rahmen von Warnungsuntersuchungsszenarien.

Wenn der Netzwerkschutz eine Verbindung blockiert, wird im Info-Center eine Benachrichtigung angezeigt. Ihr Sicherheitsteam kann die Benachrichtigung mit den Details und Kontaktinformationen Ihrer Organisation anpassen. Darüber hinaus können einzelne Regeln zur Verringerung der Angriffsfläche aktiviert und an bestimmte Überwachungstechniken angepasst werden.

Sie können auch den Überwachungsmodus verwenden, um zu bewerten, wie sich der Netzwerkschutz auf Ihre Organisation auswirken würde, wenn er aktiviert wäre.

Überprüfen von Netzwerkschutzereignissen im Microsoft 365 Defender-Portal

Microsoft Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen seiner Warnungsuntersuchungsszenarien. Sie können diese Details im Microsoft 365 Defender-Portal ( https://security.microsoft.com ) in der Warnungswarteschlange oder mithilfe der erweiterten Sucheanzeigen. Wenn Sie den Überwachungsmodusverwenden, können Sie die erweiterte Suche verwenden, um zu sehen, wie sich Netzwerkschutzeinstellungen auf Ihre Umgebung auswirken, wenn sie aktiviert sind.

Hier ist eine Beispielabfrage für die erweiterte Suche:

DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')

Überprüfen von Netzwerkschutzereignissen in Windows Ereignisanzeige

Sie können das Windows Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Netzwerkschutz den Zugriff auf eine schädliche IP oder Domäne blockiert (oder überwacht):

  1. Kopieren Sie den XML-Code direkt.

  2. Wählen Sie OK aus.

Dieses Verfahren erstellt eine benutzerdefinierte Ansicht, die filtert, um nur die folgenden Ereignisse im Zusammenhang mit dem Netzwerkschutz anzuzeigen:



Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1125 Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird
1126 Ereignis, wenn der Netzwerkschutz im Blockierungsmodus ausgelöst wird

Netzwerkschutz und der DREI-Wege-TCP-Handshake

Beim Netzwerkschutz wird nach Abschluss des dreiseitigen Handshake über TCP/IPermittelt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll. Wenn also ein Standort durch den Netzwerkschutz blockiert wird, wird möglicherweise ein Aktionstyp ConnectionSuccess unter NetworkConnectionEvents im Microsoft 365 Defender-Portal angezeigt, obwohl die Website tatsächlich blockiert wurde. NetworkConnectionEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nachdem der Drei-Wege-Handshake abgeschlossen ist, wird der Zugriff auf den Standort zugelassen oder durch Netzwerkschutz blockiert.

Hier ist ein Beispiel dafür, wie dies funktioniert:

  1. Angenommen, ein Benutzer versucht, auf eine Website auf dem Gerät zuzugreifen. Der Standort wird zufällig in einer gefährlichen Domäne gehostet und sollte durch Netzwerkschutz blockiert werden.

  2. Der Drei-Wege-Handshake über TCP/IP erfolgt. Bevor sie abgeschlossen NetworkConnectionEvents ist, wird eine Aktion protokolliert und als ActionType ConnectionSuccess aufgeführt. Sobald der Drei-Wege-Handshake-Prozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht sehr schnell. Ein ähnlicher Prozess erfolgt mit Microsoft Defender SmartScreen; Nach Abschluss des Drei-Wege-Handshakes wird eine Entscheidung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder erlaubt.

  3. Im Microsoft 365 Defender-Portal wird eine Warnung in der Warnungswarteschlangeaufgeführt. Details zu dieser Warnung sind sowohl als auch NetworkConnectionEvents AlertEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch ein NetworkConnectionEvents Element mit dem ActionType von ConnectionSuccess haben.

Überlegungen zum Windows virtuellen Desktops, auf dem Windows 10 Enterprise mehrere Sitzungen ausgeführt werden

Beachten Sie aufgrund der Multibenutzerart von Windows 10 Enterprise die folgenden Punkte:

  1. Der Netzwerkschutz ist ein geräteweites Feature und kann nicht auf bestimmte Benutzersitzungen ausgerichtet werden.

  2. Richtlinien für die Webinhaltsfilterung sind auch geräteweit.

  3. Wenn Sie zwischen Benutzergruppen unterscheiden müssen, sollten Sie separate Windows Virtual Desktop-Hostpools und -Zuweisungen erstellen.

  4. Testen Sie den Netzwerkschutz im Überwachungsmodus, um sein Verhalten vor dem Rollout zu bewerten.

  5. Ziehen Sie in Betracht, die Größe Ihrer Bereitstellung zu ändern, wenn Sie über eine große Anzahl von Benutzern oder eine große Anzahl von Sitzungen mit mehreren Benutzern verfügen.

Alternative Option für Netzwerkschutz

Für Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop on Azure verwendet wird, kann der Netzwerkschutz für Microsoft Edge mithilfe der folgenden Methode aktiviert werden:

  1. Verwenden Sie "Netzwerkschutz aktivieren", und befolgen Sie die Anweisungen, um Ihre Richtlinie anzuwenden.

  2. Führen Sie den folgenden PowerShell-Befehl aus: Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Problembehandlung beim Netzwerkschutz

Aufgrund der Umgebung, in der der Netzwerkschutz ausgeführt wird, kann Microsoft möglicherweise keine Proxyeinstellungen des Betriebssystems erkennen. In einigen Fällen können Netzwerkschutzclients den Clouddienst nicht erreichen. Um das Konnektivitätsproblem zu beheben, sollten Kunden mit E5-Lizenzen einen der folgenden Registrierungsschlüssel konfigurieren:

reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyServer /d "<proxy IP address: Port>" /f
reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyPacUrl /d "<Proxy PAC url>" /f

Siehe auch