Schützen Sie Ihr Netzwerk

Gilt für:

Plattformen

  • Windows
  • macOS
  • Linux

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Übersicht über den Netzwerkschutz

Der Netzwerkschutz trägt zum Schutz von Geräten vor internetbasierten Ereignissen bei. Netzwerkschutz ist eine Funktion zur Verringerung der Angriffsfläche. Es verhindert, dass Mitarbeiter über Anwendungen auf gefährliche Domänen zugreifen. Domänen, die Phishing-Betrug, Exploits und andere schädliche Inhalte im Internet hosten, gelten als gefährlich. Der Netzwerkschutz erweitert den Bereich Microsoft Defender SmartScreen, um den gesamten ausgehenden HTTP(S)-Datenverkehr zu blockieren, der versucht, eine Verbindung mit Quellen mit geringem Ruf herzustellen (basierend auf der Domäne oder dem Hostnamen).

Der Netzwerkschutz erweitert den Schutz im Webschutz auf die Betriebssystemebene und ist eine Kernkomponente für die Webinhaltsfilterung (WCF). Es stellt die Webschutzfunktionen in Microsoft Edge für andere unterstützte Browser und Nicht-Browseranwendungen bereit. Der Netzwerkschutz bietet auch Sichtbarkeit und Blockierung von Indikatoren für Gefährdung (IOCs), wenn er mit Endpunkterkennung und -antwort verwendet wird. Netzwerkschutz funktioniert beispielsweise mit Ihren benutzerdefinierten Indikatoren , die Sie verwenden können, um bestimmte Domänen oder Hostnamen zu blockieren.

Netzwerkschutzabdeckung

In der folgenden Tabelle sind die Bereiche der Netzwerkschutzabdeckung zusammengefasst.

Feature Microsoft Edge Drittanbieterbrowser Nicht-Browser-Prozesse
(z. B. PowerShell)
Web Threat Protection SmartScreen muss aktiviert sein Netzwerkschutz muss sich im Blockmodus befinden Netzwerkschutz muss sich im Blockmodus befinden
Benutzerdefinierte Indikatoren SmartScreen muss aktiviert sein Netzwerkschutz muss sich im Blockmodus befinden Netzwerkschutz muss sich im Blockmodus befinden
Webinhaltsfilterung SmartScreen muss aktiviert sein Netzwerkschutz muss sich im Blockmodus befinden Nicht unterstützt

Hinweis

Unter Mac und Linux müssen Sie über Netzwerkschutz im Blockmodus verfügen, um Unterstützung für diese Features in Edge zu erhalten. Unter Windows überwacht der Netzwerkschutz Microsoft Edge nicht. Für andere Prozesse als Microsoft Edge und Internet Explorer nutzen Webschutzszenarien den Netzwerkschutz zur Überprüfung und Durchsetzung.

  • IP wird für alle drei Protokolle (TCP, HTTP und HTTPS (TLS)) unterstützt.
  • In benutzerdefinierten Indikatoren werden nur einzelne IP-Adressen unterstützt (keine CIDR-Blöcke oder IP-Bereiche).
  • Verschlüsselte URLs (vollständiger Pfad) können nur in Erstanbieterbrowsern (Internet Explorer, Edge) blockiert werden.
  • Verschlüsselte URLs (nur FQDN) können in Browsern von Drittanbietern (d. h. außer Internet Explorer, Edge) blockiert werden.
  • Vollständige URL-Pfadblöcke können auf unverschlüsselte URLs angewendet werden.

Zwischen dem Zeitpunkt, zu dem die Aktion ausgeführt wird, und der URL und der IP-Adresse können bis zu 2 Stunden (in der Regel weniger) vorliegen.

Sehen Sie sich dieses Video an, um zu erfahren, wie Netzwerkschutz dazu beiträgt, die Angriffsfläche Ihrer Geräte durch Phishing-Betrug, Exploits und andere schädliche Inhalte zu reduzieren.

Anforderungen für den Netzwerkschutz

Netzwerkschutz erfordert Windows 10 oder 11 (Pro oder Enterprise), Windows Server Version 1803 oder höher, macOS Version 11 oder höher oder von Defender unterstützte Linux-Versionen und Microsoft Defender Antivirus-Echtzeitschutz.

Windows-Version Microsoft Defender Antivirus
Windows 10 Version 1709 oder höher, Windows 11, Windows Server 1803 oder höher Stellen Sie sicher, dass Microsoft Defender Antivirus-Echtzeitschutz, Verhaltensüberwachung und Cloudschutz aktiviert (aktiv) sind.
Windows Server 2012 R2 und Windows Server 2016 mit dem einheitlichen Agent Plattformupdateversion 4.18.2001.x.x oder höher

Warum Netzwerkschutz wichtig ist

Der Netzwerkschutz ist Teil der Gruppe der Lösungen zur Verringerung der Angriffsfläche in Microsoft Defender for Endpoint. Der Netzwerkschutz ermöglicht es der Netzwerkschicht, URLs und IP-Adressen zu blockieren. Der Netzwerkschutz kann den Zugriff auf URLs blockieren, indem bestimmte Browser und Standardnetzwerkverbindungen verwendet werden. Standardmäßig schützt der Netzwerkschutz Ihre Computer vor bekannten schädlichen URLs mithilfe des SmartScreen-Feeds, der schädliche URLs ähnlich wie SmartScreen im Microsoft Edge-Browser blockiert. Die Netzwerkschutzfunktion kann auf Folgendes erweitert werden:

Der Netzwerkschutz ist ein wichtiger Bestandteil des Microsoft-Schutz- und Reaktionsstapels.

Tipp

Ausführliche Informationen zum Netzwerkschutz für Windows Server, Linux, MacOS und Mobile Threat Defense (MTD) finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Befehls- und Steuerungsangriffe blockieren

C2-Servercomputer (Command and Control) werden von böswilligen Benutzern verwendet, um Befehle an Systeme zu senden, die zuvor von Schadsoftware kompromittiert wurden. C2-Angriffe werden in der Regel in cloudbasierten Diensten wie Dateifreigabe- und Webmaildiensten verborgen, sodass die C2-Server die Erkennung vermeiden können, indem sie sich mit dem typischen Datenverkehr verbinden.

C2-Server können verwendet werden, um Befehle zu initiieren, die Folgendes ausführen können:

  • Daten stehlen
  • Steuern kompromittierter Computer in einem Botnet
  • Unterbrechen legitimer Anwendungen
  • Verbreitung von Schadsoftware, wie Ransomware

Die Netzwerkschutzkomponente von Defender für Endpunkt identifiziert und blockiert Verbindungen mit C2-Infrastrukturen, die bei von Menschen betriebenen Ransomware-Angriffen verwendet werden, und verwendet Dabei Techniken wie maschinelles Lernen und intelligente Erkennung von Kompromittierungsindikatoren (Intelligent Indicator of Compromise, IoC).

Netzwerkschutz: C2-Erkennung und -Wartung

In ihrer ursprünglichen Form ist Ransomware eine Warenbedrohung, vorprogrammiert und konzentriert sich auf begrenzte, spezifische Ergebnisse (z. B. die Verschlüsselung eines Computers). Ransomware hat sich jedoch zu einer komplexen Bedrohung entwickelt, die menschengesteuert, anpassungsfähig ist und sich auf größeres Ausmaß und weiter verbreitete Ergebnisse konzentriert, z. B. das Halten einer ganzen organization Ressourcen oder Daten für Lösegeld.

Die Unterstützung von Befehls- und Steuerungsservern (C2) ist ein wichtiger Bestandteil dieser Ransomware-Entwicklung und ermöglicht es diesen Angriffen, sich an die Umgebung anzupassen, auf die sie abzielen. Durch das Unterbrechen der Verbindung mit der Befehls- und Steuerungsinfrastruktur wird das Fortschreiten eines Angriffs auf die nächste Stufe beendet. Weitere Informationen zur C2-Erkennung und -Wartung finden Sie unter Erkennen und Beheben von Befehls- und Steuerungsangriffen auf Netzwerkebene.

Netzwerkschutz: Neue Popupbenachrichtigungen

Neue Zuordnung Antwortkategorie Quellen
Phishing Phishing Smartscreen
Bösartige Bösartig Smartscreen
Befehl und Steuerung C2 Smartscreen
Befehl und Steuerung COCO Smartscreen
Bösartige Vertrauenswürdigen Smartscreen
von Ihrem IT-Administrator CustomBlockList
von Ihrem IT-Administrator CustomPolicy

Hinweis

customAllowList generiert keine Benachrichtigungen für Endpunkte.

Neue Benachrichtigungen zur Bestimmung des Netzwerkschutzes

Eine neue, öffentlich verfügbare Funktion im Netzwerkschutz nutzt Funktionen in SmartScreen, um Phishingaktivitäten von schädlichen Befehls- und Kontrollwebsites zu blockieren.

Wenn ein Endbenutzer versucht, eine Website in einer Umgebung zu besuchen, in der der Netzwerkschutz aktiviert ist, sind drei Szenarien möglich:

  • Die URL hat einen bekannten guten Ruf : In diesem Fall wird dem Benutzer der Zugriff ohne Behinderung gestattet, und es wird keine Popupbenachrichtigung auf dem Endpunkt angezeigt. In der Tat ist die Domäne oder URL auf Zulässig festgelegt.
  • Die URL hat einen unbekannten oder unsicheren Ruf : Der Zugriff des Benutzers wird blockiert, aber mit der Möglichkeit, den Block zu umgehen (die Blockierung aufzuheben). In der Tat ist die Domäne oder URL auf Audit festgelegt.
  • Die URL weist eine bekannte schlechte (böswillige) Reputation auf: Der Benutzer wird am Zugriff gehindert. In der Tat ist die Domäne oder URL auf Blockieren festgelegt.

Warnerfahrung

Ein Benutzer besucht eine Website:

  • Wenn die URL einen unbekannten oder unsicheren Ruf aufweist, werden dem Benutzer in einer Popupbenachrichtigung die folgenden Optionen angezeigt:

    • OK : Die Popupbenachrichtigung wird freigegeben (entfernt), und der Versuch, auf die Website zuzugreifen, wird beendet.

    • Entsperren : Der Benutzer hat 24 Stunden Zugriff auf die Website; An diesem Punkt wird der -Block erneut aktiviert. Der Benutzer kann weiterhin " Blockierung aufheben" verwenden, um auf die Website zuzugreifen, bis der Administrator die Website verbietet (blockiert) und somit die Option zum Aufheben der Blockierung entfernt.

    • Feedback : Die Popupbenachrichtigung zeigt dem Benutzer einen Link zum Übermitteln eines Tickets an, mit dem der Benutzer Feedback an den Administrator übermitteln kann, um den Zugriff auf die Website zu rechtfertigen.

      Zeigt eine Warnungsbenachrichtigung zu Phishinginhalten im Netzwerkschutz an.

    Hinweis

    Die hier gezeigten Bilder für die Benutzeroberfläche "Warn" und "Block" (unten) führen beide "blockierte URL" als Beispielplatzhaltertext auf; in einer funktionierenden Umgebung wird die tatsächliche URL oder Domäne aufgelistet.

Blockierungserfahrung

Ein Benutzer besucht eine Website:

  • Wenn die URL einen schlechten Ruf aufweist, werden dem Benutzer in einer Popupbenachrichtigung die folgenden Optionen angezeigt:
    • Okay Die Popupbenachrichtigung wird freigegeben (entfernt), und der Versuch, auf die Website zuzugreifen, wird beendet.

    • Feedback Die Popupbenachrichtigung zeigt dem Benutzer einen Link zum Übermitteln eines Tickets an, mit dem der Benutzer Feedback an den Administrator senden kann, um den Zugriff auf die Website zu rechtfertigen.

      Zeigt eine Netzwerkschutz-Benachrichtigung über bekannte Phishing-Inhalte blockiert.

SmartScreen-Entsperrung

Mit Indikatoren in Defender für Endpunkt können Administratoren Endbenutzern ermöglichen, Warnungen zu umgehen, die für einige URLs und IP-Adressen generiert werden. Je nachdem, warum die URL blockiert wurde, bietet sie möglicherweise die Möglichkeit, die Blockierung der Website für bis zu 24 Stunden zu entsperren, wenn ein SmartScreen-Block gefunden wird. In solchen Fällen wird eine Windows-Sicherheit Popupbenachrichtigung angezeigt, mit der der Endbenutzer die Blockierung der URL oder IP-Adresse für den definierten Zeitraum aufheben kann.

Windows-Sicherheit Benachrichtigung zum Netzwerkschutz.

Microsoft Defender for Endpoint Administratoren können die SmartScreen-Entsperrungsfunktionalität im Microsoft Defender-Portal mithilfe eines "Zulassen"-Indikators für IP-Adressen, URLs und Domänen konfigurieren.

Netzwerkschutz SmartScreen Blockkonfiguration ULR und IP-Formular.

Weitere Informationen finden Sie unter Erstellen von Indikatoren für IP-Adressen und URLs/Domänen.

Verwenden des Netzwerkschutzes

Der Netzwerkschutz ist pro Gerät aktiviert, was in der Regel über Ihre Verwaltungsinfrastruktur erfolgt. Informationen zu unterstützten Methoden finden Sie unter Aktivieren des Netzwerkschutzes.

Hinweis

Microsoft Defender Antivirus muss aktiv sein, um den Netzwerkschutz zu aktivieren.

Sie können den Netzwerkschutz im Überwachungsmodus oder im Blockierungsmodus aktivieren. Wenn Sie die Auswirkungen der Aktivierung des Netzwerkschutzes vor dem tatsächlichen Blockieren von IP-Adressen oder URLs bewerten möchten, können Sie den Netzwerkschutz im Überwachungsmodus so lange aktivieren, dass Daten darüber gesammelt werden, was blockiert würde. Der Überwachungsmodus protokolliert, wenn Endbenutzer eine Verbindung mit einer Adresse oder einem Standort hergestellt haben, die andernfalls durch den Netzwerkschutz blockiert worden wären. Beachten Sie, dass sich der Netzwerkschutz im Blockmodus befinden muss, damit Gefährdungsindikatoren (IoC) oder Webinhaltsfilterung (WCF) funktionieren.

Informationen zum Netzwerkschutz für Linux und macOS finden Sie unter Netzwerkschutz für Linux und Netzwerkschutz für macOS.

Erweiterte Bedrohungssuche

Wenn Sie die erweiterte Suche verwenden, um Überwachungsereignisse zu identifizieren, stehen Ihnen über die Konsole bis zu 30 Tage Verlauf zur Verfügung. Weitere Informationen finden Sie unter Erweiterte Suche.

Sie finden die Überwachungsereignisse unter Erweiterte Suche im Defender für Endpunkt-Portal (https://security.microsoft.com).

Überwachungsereignisse befinden sich in DeviceEvents mit einem ActionType von ExploitGuardNetworkProtectionAudited. Blöcke werden mit einem ActionType von ExploitGuardNetworkProtectionBlockedangezeigt.

Hier ist eine Beispielabfrage zum Anzeigen von Netzwerkschutzereignissen für Browser von Drittanbietern:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Erweiterte Suche zum Überwachen und Identifizieren von Ereignissen.

Tipp

Diese Einträge enthalten Daten in der Spalte AdditionalFields , die Ihnen hervorragende Informationen zur Aktion bietet. Wenn Sie AdditionalFields erweitern, können Sie auch die Felder abrufen: IsAudit, ResponseCategory und DisplayName.

Hier sehen Sie ein weiteres Beispiel:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Die Kategorie Antwort gibt an, was das Ereignis verursacht hat, z. B.:

ResponseCategory Für das Ereignis verantwortliches Feature
CustomPolicy WCF
CustomBlockList Benutzerdefinierte Indikatoren
CasbPolicy Defender for Cloud Apps
Bösartig Webbedrohungen
Phishing Webbedrohungen

Weitere Informationen finden Sie unter Problembehandlung bei Endpunktblöcken.

Beachten Sie, dass Microsoft Defender SmartScreen-Ereignisse speziell für den Microsoft Edge-Browser eine andere Abfrage erfordert:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Sie können die resultierende Liste der URLs und IP-Adressen verwenden, um zu bestimmen, was blockiert worden wäre, wenn sich das Gerät im Blockmodus befunden hätte, und welches Feature sie blockiert hat. Überprüfen Sie jedes Element in der Liste, um URLS oder IP-Adressen zu identifizieren, ob diese für Ihre Umgebung erforderlich sind. Wenn Sie Einträge finden, die überwacht wurden, die für Ihre Umgebung wichtig sind, erstellen Sie einen Indikator, um sie in Ihrem Netzwerk zuzulassen. Zulassen von URL-/IP-Indikatoren hat Vorrang vor jedem Block.

Nachdem Sie einen Indikator erstellt haben, können Sie sich mit der Behebung des zugrunde liegenden Problems befassen:

  • SmartScreen – Überprüfung anfordern
  • Indikator – Vorhandenen Indikator ändern
  • MCA – Nicht genehmigte APP überprüfen
  • WCF – Anforderungsreklassierung

Mithilfe dieser Daten können Sie eine fundierte Entscheidung zur Aktivierung des Netzwerkschutzes im Blockierungsmodus treffen. Weitere Informationen finden Sie unter Rangfolge für Netzwerkschutzblöcke.

Hinweis

Da es sich hierbei um eine gerätespezifische Einstellung handelt, können Sie bei Geräten, die nicht in den Blockmodus wechseln können, einfach die Überwachung beibehalten, bis Sie die Herausforderung beheben können und Sie die Überwachungsereignisse weiterhin erhalten.

Informationen zum Melden falsch positiver Ergebnisse finden Sie unter Melden falsch positiver Ergebnisse.

Ausführliche Informationen zum Erstellen eigener Power BI-Berichte finden Sie unter Erstellen benutzerdefinierter Berichte mit Power BI.

Konfigurieren des Netzwerkschutzes

Weitere Informationen zum Aktivieren des Netzwerkschutzes finden Sie unter Aktivieren des Netzwerkschutzes. Verwenden Sie Gruppenrichtlinie-, PowerShell- oder MDM-CSPs, um den Netzwerkschutz in Ihrem Netzwerk zu aktivieren und zu verwalten.

Nachdem Sie den Netzwerkschutz aktiviert haben, müssen Sie möglicherweise Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass die Verbindungen zwischen Ihren Endpunktgeräten und den Webdiensten zugelassen werden:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Anzeigen von Netzwerkschutzereignissen

Netzwerkschutz funktioniert am besten mit Microsoft Defender for Endpoint, die Ihnen detaillierte Berichte zu Exploit-Schutzereignissen und -blöcken als Teil von Warnungsuntersuchungsszenarien bietet.

Wenn der Netzwerkschutz eine Verbindung blockiert, wird eine Benachrichtigung aus dem Info-Center angezeigt. Ihr Sicherheitsteam kann die Benachrichtigung mit den Details und Kontaktinformationen Ihres organization anpassen. Darüber hinaus können individuelle Regeln zur Verringerung der Angriffsfläche aktiviert und an bestimmte Überwachungstechniken angepasst werden.

Sie können auch den Überwachungsmodus verwenden, um auszuwerten, wie sich der Netzwerkschutz auf Ihre organization auswirken würde, wenn er aktiviert wäre.

Überprüfen von Netzwerkschutzereignissen im Microsoft Defender-Portal

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen der Warnungsuntersuchungsszenarien. Sie können diese Details im Microsoft Defender-Portal (https://security.microsoft.com) in der Warnungswarteschlange oder mithilfe der erweiterten Suche anzeigen. Wenn Sie den Überwachungsmodus verwenden, können Sie die erweiterte Suche verwenden, um zu sehen, wie sich Netzwerkschutzeinstellungen auf Ihre Umgebung auswirken würden, wenn sie aktiviert wären.

Überprüfen von Netzwerkschutzereignissen in Windows Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Netzwerkschutz den Zugriff auf eine böswillige IP-Adresse oder Domäne blockiert (oder überwacht):

  1. Kopieren Sie den XML-Code direkt.

  2. Wählen Sie OK aus.

Mit diesem Verfahren wird eine benutzerdefinierte Ansicht erstellt, die filtert, um nur die folgenden Ereignisse im Zusammenhang mit dem Netzwerkschutz anzuzeigen:

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1125 Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird
1126 Ereignis, wenn der Netzwerkschutz im Blockmodus ausgelöst wird

Netzwerkschutz und der dreiseitige TCP-Handshake

Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn ein Standort durch Netzwerkschutz blockiert wird, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess unter DeviceNetworkEvents angezeigt, obwohl die Website blockiert wurde. DeviceNetworkEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.

Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:

  1. Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.

  2. Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine DeviceNetworkEvents Aktion protokolliert, die ActionType als ConnectionSuccessaufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.

  3. Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als AlertEvidenceauch DeviceNetworkEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über ein DeviceNetworkEvents Element mit dem ActionType von ConnectionSuccessverfügen.

Überlegungen zu virtuellen Windows-Desktops, auf denen Windows 10 Enterprise mehrere Sitzungen ausgeführt werden

Beachten Sie aufgrund des Mehrbenutzercharakters von Windows 10 Enterprise die folgenden Punkte:

  1. Netzwerkschutz ist ein geräteweites Feature und kann nicht auf bestimmte Benutzersitzungen ausgerichtet werden.

  2. Richtlinien zum Filtern von Webinhalten sind auch geräteweit.

  3. Wenn Sie zwischen Benutzergruppen unterscheiden müssen, sollten Sie separate Windows Virtual Desktop-Hostpools und -Zuweisungen erstellen.

  4. Testen Sie den Netzwerkschutz im Überwachungsmodus, um sein Verhalten vor dem Rollout zu bewerten.

  5. Erwägen Sie, die Größe Ihrer Bereitstellung zu ändern, wenn Sie über eine große Anzahl von Benutzern oder eine große Anzahl von Sitzungen mit mehreren Benutzern verfügen.

Alternative Option für den Netzwerkschutz

Für windows Server 2012R2/2016 unified MDE-Client, Windows Server Version 1803 oder höher, Windows Server 2019 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop in Azure verwendet werden, kann der Netzwerkschutz für Microsoft Edge mit der folgenden Methode aktiviert werden:

  1. Verwenden Sie Netzwerkschutz aktivieren , und befolgen Sie die Anweisungen, um Ihre Richtlinie anzuwenden.

  2. Führen Sie die folgenden PowerShell-Befehle aus:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Hinweis

In einigen Fällen kann sich dies abhängig von Ihrer Infrastruktur, dem Datenverkehrsvolumen und anderen Bedingungen Set-MpPreference -AllowDatagramProcessingOnWinServer 1 auf die Netzwerkleistung auswirken.

Netzwerkschutz für Windows Server

Im Folgenden finden Sie informationen speziell für Windows-Server.

Überprüfen, ob der Netzwerkschutz aktiviert ist

Überprüfen Sie mithilfe der Registrierungs-Editor, ob der Netzwerkschutz auf einem lokalen Gerät aktiviert ist.

  1. Wählen Sie in der Taskleiste die Schaltfläche Start aus, und geben Sie regedit ein, um die Registrierungs-Editor zu öffnen.

  2. Wählen Sie im seitlichen Menü HKEY_LOCAL_MACHINE aus.

  3. Navigieren Sie durch die geschachtelten Menüs zu SOFTWARErichtlinien>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Network Protection.

    (Wenn der Schlüssel nicht vorhanden ist, navigieren Sie zu SOFTWARE>.Microsoft>> Windows Defender Windows Defender Exploit Guard>Network Protection)

  4. Wählen Sie EnableNetworkProtection aus, um den aktuellen Status des Netzwerkschutzes auf dem Gerät anzuzeigen:

    • 0 = Aus
    • 1 = Ein (aktiviert)
    • 2 = Überwachungsmodus

Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

Vorschlag zum Netzwerkschutz

Für windows Server 2012R2/2016 Unified MDE-Client, Windows Server Version 1803 oder höher, Windows Server 2019 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher (in Windows Virtual Desktop in Azure verwendet) müssen zusätzliche Registrierungsschlüssel aktiviert werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\ Windows Defender Windows Defender ExploitGuard-Netzwerkschutz\

  • AllowNetworkProtectionOnWinServer (dword) 1 (hex)
  • EnableNetworkProtection (dword) 1 (hex)
  • AllowNetworkProtectionDownLevel (dword) 1 (hex) – nur Windows Server 2012R2 und Windows Server 2016

Hinweis

Je nach Infrastruktur, Datenverkehrsvolumen und anderen Bedingungen können HKEY_LOCAL_MACHINE\SOFTWARErichtlinien\\Microsoft\Windows Defender \NIS\\Consumers IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) auswirkungen auf die Netzwerkleistung haben.

Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

Windows Server- und Windows-Konfiguration mit mehreren Sitzungen erfordert PowerShell

Für Windows Server und Windows Multi-Session gibt es zusätzliche Elemente, die Sie mithilfe von PowerShell-Cmdlets aktivieren müssen. Für windows Server 2012R2/2016 Unified MDE-Client, Windows Server Version 1803 oder höher, Windows Server 2019 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop in Azure verwendet werden.

  1. Set-MpPreference -EnableNetworkProtection Enabled
  2. Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  3. Set-MpPreference -AllowNetworkProtectionDownLevel 1
  4. Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Hinweis

In einigen Fällen kann sich Set-MpPreference -AllowDatagramProcessingOnWinServer 1 abhängig von Ihrer Infrastruktur, dem Datenverkehrsvolumen und anderen Bedingungen auf die Netzwerkleistung auswirken.

Problembehandlung für den Netzwerkschutz

Aufgrund der Umgebung, in der der Netzwerkschutz ausgeführt wird, kann das Feature möglicherweise keine Proxyeinstellungen des Betriebssystems erkennen. In einigen Fällen können Netzwerkschutzclients den Clouddienst nicht erreichen. Um das Konnektivitätsproblem zu beheben, konfigurieren Sie einen statischen Proxy für Microsoft Defender Antivirus.

Optimieren der Netzwerkschutzleistung

Der Netzwerkschutz verfügt jetzt über eine Leistungsoptimierung, die es dem Blockmodus ermöglicht, die asynchrone Überprüfung langlebiger Verbindungen zu starten. Dies kann eine Leistungsverbesserung bieten und auch bei App-Kompatibilitätsproblemen helfen. Diese Optimierungsfunktion ist standardmäßig aktiviert. Sie können diese Funktion mit dem folgenden PowerShell-Cmdlet deaktivieren:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.