Freigeben über

Netzwerkschutz aktivieren

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Der Netzwerkschutz hilft, Benutzer daran zu hindern, anwendungen für den Zugriff auf gefährliche Domänen zu verwenden, die Phishing-Betrug, Exploits und andere schädliche Inhalte im Internet hosten könnten. Sie können den Netzwerkschutz in einer Testumgebung überwachen, um anzuzeigen, welche Apps blockiert werden, bevor Sie den Netzwerkschutz aktivieren.

Erfahren Sie mehr über Konfigurationsoptionen für die Netzwerkfilterung.

Voraussetzungen

Unterstützte Betriebssysteme

Aktivieren des Netzwerkschutzes

Zum Aktivieren des Netzwerkschutzes können Sie eine der in diesem Artikel beschriebenen Methoden verwenden.

Verwaltung von Microsoft Defender for Endpoint-Sicherheitseinstellungen

Erstellen einer Endpunktsicherheitsrichtlinie

Tipp

Für die folgenden Verfahren ist die Rolle "Sicherheitsadministrator" in Microsoft Entra ID erforderlich.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu EndpunkteKonfigurationsverwaltung>Endpunktsicherheitsrichtlinien>. Oder verwenden Sie https://security.microsoft.com/policy-inventory, um direkt zur Seite Endpunktsicherheitsrichtlinien zu wechseln.

  2. Wählen Sie auf der Registerkarte Windows-Richtlinien der Seite Endpunktsicherheitsrichtlinien die Option Neue Richtlinie erstellen aus.

  3. Konfigurieren Sie im flyout Neue Richtlinie erstellen , das geöffnet wird, die folgenden Einstellungen:

    • Plattform auswählen: Wählen Sie Windows aus.
    • Vorlage auswählen: Wählen Sie Microsoft Defender AntiVirus aus.

    Wählen Sie Richtlinie erstellen aus.

  4. Der Assistent zum Erstellen einer neuen Richtlinie wird geöffnet. Konfigurieren Sie auf der Registerkarte Grundlagen die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung ein.

    Wählen Sie Weiter aus.

  5. Erweitern Sie auf der Registerkarte Konfigurationseinstellungendefender , und wählen Sie dann einen Wert für Netzwerkschutz basierend auf Betriebssystem aktivieren aus:

    • Windows-Clients und Windows-Server: Verfügbare Werte sind:

      • Aktiviert (Blockmodus): Der Blockmodus ist erforderlich, um IP-Adress-/URL-Indikatoren und Webinhaltsfilterung zu blockieren.
      • Aktiviert (Überwachungsmodus)
      • Deaktiviert (Standard)
      • Not Configured

    • Windows Server 2016 und Windows Server 2012 R2: Sie müssen auch die Einstellung Netzwerkschutz nach unten zulassen im Abschnitt Standardaktion für den Bedrohungsschweregrad konfigurieren. Verfügbare Werte:

      • Der Netzwerkschutz wird auf downlevel aktiviert.
      • Der Netzwerkschutz wird auf downlevel deaktiviert. (Standard)
      • Nicht konfiguriert

    • Optionale Netzwerkschutzeinstellungen für Windows-Clients und Windows-Server:

      • Datagrammverarbeitung auf Win Server zulassen: Folgende Werte sind verfügbar:

        • Die Datagrammverarbeitung auf Windows Server ist aktiviert

        • Datagrammverarbeitung auf Windows Server deaktiviert ist (Standard): Wir empfehlen diesen Wert dringend für alle Serverrollen, die große Mengen von UDP-Datenverkehr generieren. Zum Beispiel:

          • Domänencontroller
          • Windows DNS-Server
          • Windows-Dateiserver
          • Microsoft SQL Server
          • Microsoft Exchange-Server

          Das Deaktivieren der Datagrammverarbeitung auf diesen Servern trägt dazu bei, das Netzwerk stabil zu halten und eine bessere Nutzung von Systemressourcen in Umgebungen mit hoher Nachfrage sicherzustellen. Die Aktivierung der Datagrammverarbeitung auf diesen Servern kann die Netzwerkleistung und -zuverlässigkeit verringern.

        • Nicht konfiguriert

      • Deaktivieren der DNS-analyse über TCP
        • DNS-über-TCP-Analyse ist deaktiviert
        • DNS-über-TCP-Analyse ist aktiviert (Standard)
        • Nicht konfiguriert
      • Deaktivieren der HTTP-Analyse
        • HTTP-Analyse ist deaktiviert
        • HTTP-Analyse ist aktiviert (Standard)
        • Nicht konfiguriert
      • Deaktivieren der SSH-Analyse
        • SSH-Analyse ist deaktiviert
        • SSH-Analyse ist aktiviert (Standard)
        • Nicht konfiguriert
      • Deaktivieren der TLS-Analyse
        • TLS-Analyse ist deaktiviert
        • TLS-Analyse ist aktiviert (Standard)
        • Nicht konfiguriert
      • [Veraltet] Dns-Senkenloch aktivieren
        • DNS-Senke ist deaktiviert
        • DNS-Senke ist aktiviert. (Standard)
        • Nicht konfiguriert

    Wenn Sie auf der Registerkarte Konfigurationseinstellungen fertig sind, wählen Sie Weiter aus.

  6. Klicken Sie auf der Registerkarte Zuweisungen in das Suchfeld, oder beginnen Sie mit der Eingabe eines Gruppennamens, und wählen Sie ihn dann aus den Ergebnissen aus.

    Sie können Alle Benutzer oder Alle Geräte auswählen.

    Wenn Sie eine benutzerdefinierte Gruppe auswählen, können Sie diese Gruppe verwenden, um die Gruppenmitglieder einzu- oder auszuschließen.

    Wenn Sie auf der Registerkarte Zuweisungen fertig sind, wählen Sie Weiter aus.

  7. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Speichern aus.

Microsoft Intune

Microsoft Defender for Endpoint Baseline-Methode

Wichtig

Sicherheitsbaselines wenden eine breite Palette von von Microsoft empfohlenen Einstellungen auf Ihre Geräte an . Netzwerkschutz ist eine Einstellung unter vielen. Wenn Ihre Geräte noch nicht baselineverwaltet sind, erzwingt die Bereitstellung einer Baseline ausschließlich zum Aktivieren des Netzwerkschutzes auch alle anderen Baselineeinstellungen, was zu Konflikten mit Ihren vorhandenen Konfigurationen führen kann. Um nur den Netzwerkschutz zu konfigurieren, verwenden Sie stattdessen die Antivirus-Richtlinienmethode oder die Gerätekonfigurationsprofilmethode .

Informationen zum Konfigurieren des Netzwerkschutzes als Teil einer Sicherheitsbaseline in Microsoft Intune finden Sie unter Erstellen eines Profils für eine Sicherheitsbaseline (wird in der Intune Dokumentation auf einer neuen Registerkarte geöffnet). Verwenden Sie beim Erstellen des Profils die folgenden Einstellungen:

  • Baseline: Microsoft Defender for Endpoint Sicherheitsbaseline
  • Konfigurationseinstellungen: Erweitern Sie Defender , und legen Sie Netzwerkschutz aktivieren auf Aktiviert (Blockmodus) oder Aktiviert (Überwachungsmodus) fest.

Weitere Informationen zu Sicherheitsbaselines in Microsoft Intune finden Sie unter Informationen zu Intune Sicherheitsbaselines für Windows-Geräte.

Nachdem Ihr Profil erstellt und zugewiesen wurde, kehren Sie zu diesem Artikel zurück, um mit der Überprüfung fortzufahren.

Antivirenrichtlinienmethode

Informationen zum Konfigurieren des Netzwerkschutzes mithilfe einer Microsoft Intune Endpoint Security Antivirus-Richtlinie finden Sie unter Erstellen einer Endpunktsicherheitsrichtlinie (wird in der Intune-Dokumentation auf einer neuen Registerkarte geöffnet). Verwenden Sie beim Erstellen der Richtlinie die folgenden Einstellungen:

  • Richtlinientyp: Antivirus
  • Plattform: Windows
  • Profil: Microsoft Defender Antivirus
  • Konfigurationseinstellungen: Legen Sie Netzwerkschutz aktivieren für die Erzwingung auf Aktiviert (Blockmodus) oder Aktiviert (Überwachungsmodus) fest, um die Auswirkungen vor der Erzwingung zu bewerten.

Weitere Informationen zu Microsoft Defender Antivirusprofilen in Microsoft Intune finden Sie unter Antivirusrichtlinie für Endpunktsicherheit.

Nachdem Ihre Richtlinie erstellt und zugewiesen wurde, kehren Sie zu diesem Artikel zurück, um mit der Überprüfung fortzufahren.

Gerätekonfigurationsprofilmethode

Informationen zum Konfigurieren des Netzwerkschutzes mithilfe eines Microsoft Intune Gerätekonfigurationsprofils finden Sie unter Hinzufügen von Endpoint Protection-Einstellungen in Intune (wird in der Intune-Dokumentation auf einer neuen Registerkarte geöffnet). Verwenden Sie beim Erstellen des Profils die folgenden Einstellungen:

  • Plattform: Windows 10 und höher
  • Profiltyp: Templates > Endpoint Protection
  • Konfigurationseinstellungen: Erweitern Sie Microsoft Defender ExploitGuard-Netzwerkfilterung>, und legen Sie Netzwerkschutz auf Aktivieren oder Überwachen fest.

Weitere Informationen zur Netzwerkschutzeinstellung und den verfügbaren Werten finden Sie unter Netzwerkfiltereinstellungen für Endpoint Protection.

Nachdem Ihr Profil erstellt und zugewiesen wurde, kehren Sie zu diesem Artikel zurück, um mit der Überprüfung und alternativen Bereitstellungsmethoden fortzufahren.

Mobile Geräteverwaltung (MDM)

  1. Verwenden Sie den EnableNetworkProtection-Konfigurationsdienstanbieter (CSP), um den Netzwerkschutz zu aktivieren oder zu deaktivieren oder um den Überwachungsmodus zu aktivieren.

  2. Aktualisieren Sie Microsoft Defender Antischadsoftwareplattform auf die neueste Version, bevor Sie den Netzwerkschutz aktivieren oder deaktivieren.

Gruppenrichtlinien

Gehen Sie wie folgt vor, um den Netzwerkschutz auf Computern, die in die Domäne eingebunden sind, oder auf einem eigenständigen Computer zu aktivieren.

  1. Wechseln Sie auf einem eigenständigen Computer zu Start , geben Sie gruppenrichtlinie bearbeiten ein, und wählen Sie sie aus.

    -Oder-

    Öffnen Sie auf einem in die Domäne eingebundenen Gruppenrichtlinie Verwaltungscomputer die Gruppenrichtlinie Management Console. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft Defender Antivirus>Microsoft Defender ExploitGuard-Netzwerkschutz>.

    Bei älteren Versionen von Windows enthält der Gruppenrichtlinie Pfad möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus.

  4. Doppelklicken Sie auf die Einstellung Verhindern, dass Benutzer und Apps auf gefährliche Websites zugreifen , und legen Sie die Option auf Aktiviert fest. Im Abschnitt "Optionen" müssen Sie eine der folgenden Optionen angeben:

    • Blockieren: Benutzer können nicht auf böswillige IP-Adressen und Domänen zugreifen.
    • Deaktivieren (Standard): Das Netzwerkschutzfeature funktioniert nicht. Benutzer werden nicht am Zugriff auf schädliche Domänen gehindert.
    • Überwachungsmodus: Wenn ein Benutzer eine schädliche IP-Adresse oder Domäne besucht, wird ein Ereignis im Windows-Ereignisprotokoll aufgezeichnet. Der Benutzer wird jedoch nicht daran gehindert, die Adresse zu besuchen.

    Wichtig

    Um den Netzwerkschutz vollständig zu aktivieren, müssen Sie die Option Gruppenrichtlinie auf Aktiviert festlegen und im Dropdownmenü optionen auch Blockieren auswählen.

  5. (Dieser Schritt ist optional.) Führen Sie die Schritte unter Überprüfen, ob der Netzwerkschutz aktiviert ist aus, um zu überprüfen, ob Ihre Gruppenrichtlinie Einstellungen korrekt sind.

Microsoft Configuration Manager

  1. Öffnen Sie die Configuration Manager-Konsole.

  2. Wechseln Sie zu Bestand und Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  3. Wählen Sie im Menüband Exploit Guard-Richtlinie erstellen aus, um eine neue Richtlinie zu erstellen.

  4. Um eine vorhandene Richtlinie zu bearbeiten, wählen Sie die Richtlinie aus, und wählen Sie dann eigenschaften im Menüband oder im Kontextmenü aus. Bearbeiten Sie die Option Netzwerkschutz konfigurieren auf der Registerkarte Netzwerkschutz .

  5. Geben Sie auf der Seite Allgemein einen Namen für die neue Richtlinie an, und überprüfen Sie, ob die Option Netzwerkschutz aktiviert ist.

  6. Wählen Sie auf der Seite Netzwerkschutz eine der folgenden Einstellungen für die Option Netzwerkschutz konfigurieren aus:

    • Blockieren
    • Überwachung
    • Disabled

  7. Führen Sie die restlichen Schritte aus, und speichern Sie die Richtlinie.

  8. Wählen Sie im Menüband Bereitstellen aus, um die Richtlinie in einer Sammlung bereitzustellen.

PowerShell

  1. Wählen Sie auf Ihrem Windows-Gerät Start aus, geben Sie einpowershell, klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie dann Als Administrator ausführen aus.

  2. Führen Sie das folgende Cmdlet aus:

    Set-MpPreference -EnableNetworkProtection Enabled

  3. Verwenden Sie für Windows Server die zusätzlichen Befehle, die in der folgenden Tabelle aufgeführt sind:

    Windows Server-Version Befehle
    Windows Server 2019 und höher Set-MpPreference -AllowNetworkProtectionOnWinServer $true
    Windows Server 2016
    Windows Server 2012 R2 mit dem einheitlichen Agent für Microsoft Defender for Endpoint    		 Set-MpPreference -AllowNetworkProtectionDownLevel $true
    Set-MpPreference -AllowNetworkProtectionOnWinServer $true

Wichtig

Deaktivieren Sie die Einstellung "AllowDatagramProcessingOnWinServer". Das Deaktivieren dieser Einstellung ist wichtig für alle Rollen, die große Mengen von UDP-Datenverkehr generieren, z. B. Domänencontroller, Windows DNS-Server, Windows-Dateiserver, Microsoft SQL-Server, Microsoft Exchange-Server und andere. Die Aktivierung der Datagrammverarbeitung in diesen Fällen kann die Netzwerkleistung und -zuverlässigkeit beeinträchtigen. Die Deaktivierung trägt dazu bei, das Netzwerk stabil zu halten und eine bessere Nutzung von Systemressourcen in Umgebungen mit hoher Nachfrage sicherzustellen.

  1. (Dieser Schritt ist optional.) Verwenden Sie das folgende Cmdlet, um den Netzwerkschutz auf den Überwachungsmodus festzulegen:

    Set-MpPreference -EnableNetworkProtection AuditMode

    Um den Netzwerkschutz zu deaktivieren, verwenden Sie den Disabled Parameter anstelle von AuditMode oder Enabled.

Überprüfen, ob der Netzwerkschutz aktiviert ist

Sie können den Registrierungs-Editor verwenden, um die status des Netzwerkschutzes zu überprüfen.

  1. Öffnen Sie den Registrierungs-Editor (z. B. ausführen regedit.exe).

  2. Navigieren Sie zum folgenden Pfad: HKEY_LOCAL_MACHINE>SOFTWARErichtlinien>>Microsoft>Windows Defender>Policy Manager

    Wenn dieser Pfad nicht vorhanden ist, navigieren Sie zu HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz.

  3. Wählen Sie EnableNetworkProtection aus, um den aktuellen Status des Netzwerkschutzes auf dem Gerät anzuzeigen:

    • 0 ist aus
    • 1 ist aktiviert.
    • 2 ist der Überwachungsmodus .

    Screenshot des Registrierungsschlüssels

Wichtige Informationen zum Entfernen von Exploit Guard-Einstellungen von einem Gerät

Wenn Sie eine Exploit Guard-Richtlinie mit Configuration Manager bereitstellen, bleiben die Einstellungen auf dem Client, auch wenn Sie die Bereitstellung später entfernen. Wenn die Bereitstellung entfernt wird, wird Delete der Client in der ExploitGuardHandler.log Datei nicht unterstützt.

Verwenden Sie das folgende PowerShell-Skript im SYSTEM Kontext, um Exploit Guard-Einstellungen ordnungsgemäß zu entfernen:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"

$defenderObject.AttackSurfaceReductionRules = $null

$defenderObject.AttackSurfaceReductionOnlyExclusions = $null

$defenderObject.EnableControlledFolderAccess = $null

$defenderObject.ControlledFolderAccessAllowedApplications = $null

$defenderObject.ControlledFolderAccessProtectedFolders = $null

$defenderObject.EnableNetworkProtection = $null

$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"

$exploitGuardObject.ExploitProtectionSettings = $null

$exploitGuardObject.Put()

Siehe auch

  • Last updated on