Auswerten des Netzwerkschutzes

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Der Netzwerkschutz verhindert, dass Mitarbeiter anwendungen verwenden, um auf gefährliche Domänen zuzugreifen, die Phishing-Betrugsversuche, Exploits und andere schädliche Inhalte im Internet hosten könnten.

Dieser Artikel hilft Ihnen bei der Bewertung des Netzwerkschutzes, indem er das Feature aktiviert und Sie zu einer Testwebsite führt. Die Websites in diesem Evaluierungsartikel sind nicht böswillig. Es handelt sich um speziell erstellte Websites, die vorgeben, böswillig zu sein. Die Website repliziert das Verhalten, das auftreten würde, wenn ein Benutzer eine schädliche Website oder Domäne besucht.

Aktivieren des Netzwerkschutzes im Überwachungsmodus

Aktivieren Sie den Netzwerkschutz im Überwachungsmodus, um zu sehen, welche IP-Adressen und Domänen möglicherweise blockiert werden. Sie können sicherstellen, dass dies keine Auswirkungen auf branchenspezifische Apps hat, oder sich eine Vorstellung davon verschaffen, wie oft Blöcke auftreten.

1. Geben Sie im Startmenü powershell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen aus.

2. Führen Sie das folgende Cmdlet aus:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

Besuchen Sie eine (gefälschte) böswillige Domäne

1. Öffnen Sie internet Explorer, Google Chrome oder einen anderen Browser Ihrer Wahl.

2. Gehen Sie zu https://smartscreentestratings2.net.

   Die Netzwerkverbindung ist zulässig, und eine Testmeldung wird angezeigt.

   

Hinweis

Netzwerkverbindungen können erfolgreich sein, obwohl ein Standort durch den Netzwerkschutz blockiert wird. Weitere Informationen finden Sie unter Netzwerkschutz und tcp-Drei-Wege-Handshake.

Überprüfen von Netzwerkschutzereignissen in Windows Ereignisanzeige

Um Apps zu überprüfen, die blockiert worden wären, öffnen Sie Ereignisanzeige, und filtern Sie im Protokoll Microsoft-Windows-Windows Defender/Operational nach Ereignis-ID 1125. In der folgenden Tabelle sind alle Netzwerkschutzereignisse aufgeführt.

Ereignis-ID	Bereitstellen/Quelle	Beschreibung
5007	Windows Defender (betriebsbereit)	Ereignis, wenn Einstellungen geändert werden
1125	Windows Defender (betriebsbereit)	Ereignis, wenn eine Netzwerkverbindung überwacht wird
1126	Windows Defender (betriebsbereit)	Ereignis, wenn eine Netzwerkverbindung blockiert wird

Problembehandlung beim Netzwerkschutz

Wenn der Netzwerkschutz nicht erkannt werden kann, stellen Sie sicher, dass die folgenden Voraussetzungen aktiviert sind:

1. Microsoft Defender Antivirus ist die primäre Antiviren-App (aktiver Modus)

2. Die Verhaltensüberwachung ist aktiviert.

3. Cloud Protection ist aktiviert

4. Cloud Protection-Netzwerkkonnektivität ist funktionsfähig

Verwandte Artikel

• Netzwerkschutz

• Netzwerkschutz und der dreiseitige TCP-Handshake

• Aktivieren des Netzwerkschutzes

• Problembehandlung beim Netzwerkschutz

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.