Verwenden des Netzwerkschutzes, um Verbindungen mit schädlichen oder verdächtigen Websites zu verhindern

Gilt für:

• Microsoft Defender for Endpoint Plan 1 und 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Plattformen

• Windows
• macOS
• Linux

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Übersicht über den Netzwerkschutz

Netzwerkschutz trägt zum Schutz von Geräten bei, indem Verbindungen mit schädlichen oder verdächtigen Websites verhindert werden. Beispiele für gefährliche Domänen sind Domänen, die Phishing-Scams, böswillige Downloads, Tech-Betrugsversuche oder andere schädliche Inhalte hosten. Der Netzwerkschutz erweitert den Bereich von Microsoft Defender SmartScreen, um den gesamten ausgehenden HTTP(S)-Datenverkehr zu blockieren, der versucht, eine Verbindung mit Quellen mit schlechtem Ruf herzustellen (basierend auf der Domäne oder dem Hostnamen).

Der Netzwerkschutz erweitert den Schutz im Webschutz auf die Betriebssystemebene und ist eine Kernkomponente für die Webinhaltsfilterung (WCF ). Es stellt die Webschutzfunktionen in Microsoft Edge für andere unterstützte Browser und Nichtbrowseranwendungen bereit. Der Netzwerkschutz bietet auch Sichtbarkeit und Blockierung von Indikatoren für Gefährdung (IOCs), wenn er mit Endpunkterkennung und -antwort verwendet wird. Der Netzwerkschutz funktioniert beispielsweise mit Ihren benutzerdefinierten Indikatoren , um bestimmte Domänen oder Hostnamen zu blockieren.

Sehen Sie sich dieses Video an, um zu erfahren, wie Netzwerkschutz dazu beiträgt, die Angriffsfläche Ihrer Geräte vor Phishing-Betrug, Exploits und anderen schädlichen Inhalten zu reduzieren:

Netzwerkschutzabdeckung

In der folgenden Tabelle sind die Bereiche der Netzwerkschutzabdeckung zusammengefasst.

Feature	Microsoft Edge	Nicht-Microsoft-Browser	Nichtbrowser-Prozesse (z. B. PowerShell)
Web Threat Protection	SmartScreen muss aktiviert sein	Netzwerkschutz muss sich im Blockmodus befinden	Netzwerkschutz muss sich im Blockmodus befinden
Benutzerdefinierte Indikatoren	SmartScreen muss aktiviert sein	Netzwerkschutz muss sich im Blockmodus befinden	Netzwerkschutz muss sich im Blockmodus befinden
Webinhaltsfilterung	SmartScreen muss aktiviert sein	Netzwerkschutz muss sich im Blockmodus befinden	Nicht unterstützt

Um sicherzustellen, dass SmartScreen für Microsoft Edge aktiviert ist, verwenden Sie Edge-Richtlinie: SmartScreen-Aktiviert.

Hinweis

Unter Windows überwacht der Netzwerkschutz Microsoft Edge nicht. Für andere Prozesse als Microsoft Edge und Internet Explorer nutzen Webschutzszenarien den Netzwerkschutz zur Überprüfung und Durchsetzung. Unter Mac und Linux integriert der Microsoft Edge-Browser nur Web Threat Protection. Der Netzwerkschutz muss im Blockmodus aktiviert sein, um benutzerdefinierte Indikatoren und die Filterung von Webinhalten in Edge und anderen Browsern zu unterstützen.

Bekannte Probleme & Einschränkungen

• IP-Adressen werden für alle drei Protokolle (TCP, HTTP und HTTPS (TLS)) unterstützt.
• In benutzerdefinierten Indikatoren werden nur einzelne IP-Adressen unterstützt (keine CIDR-Blöcke oder IP-Bereiche).
• HTTP-URLs (einschließlich eines vollständigen URL-Pfads) können für jeden Browser oder Prozess blockiert werden.
• Vollqualifizierte HTTPS-Domänennamen (FQDN) können in Nicht-Microsoft-Browsern blockiert werden (Indikatoren, die einen vollständigen URL-Pfad angeben, können nur in Microsoft Edge blockiert werden)
• Das Blockieren von FQDNs in Nicht-Microsoft-Browsern erfordert, dass QUIC und Encrypted Client Hello in diesen Browsern deaktiviert sind.
• FQDNs, die über http2-Verbindungszusammenführung geladen werden, können nur in Microsoft Edge blockiert werden.
• Der Netzwerkschutz blockiert Verbindungen an allen Ports (nicht nur 80 und 443).

Zwischen dem Hinzufügen eines Indikators/einer Richtlinie und dem Blockieren einer übereinstimmenden URL/IP-Adresse kann eine Wartezeit von bis zu zwei Stunden (in der Regel weniger) auftreten.

Anforderungen für den Netzwerkschutz

Der Netzwerkschutz erfordert Geräte, auf denen eines der folgenden Betriebssysteme ausgeführt wird:

• Windows 10 oder 11 (Pro oder Enterprise) (siehe Unterstützte Windows-Versionen)
• Windows Server, Version 1803 oder höher (siehe Unterstützte Windows-Versionen)
• macOS Version 12 (Monterey) oder höher (siehe Microsoft Defender for Endpoint auf Mac)
• Eine unterstützte Linux-Version (siehe Microsoft Defender for Endpoint unter Linux)

Der Netzwerkschutz erfordert auch Microsoft Defender Antivirus mit aktiviertem Echtzeitschutz.

Windows-Version	Microsoft Defender Antivirus
Windows 10 Version 1709 oder höher, Windows 11, Windows Server 1803 oder höher	Stellen Sie sicher, dass Microsoft Defender Antivirus-Echtzeitschutz, Verhaltensüberwachung und Cloudschutz aktiviert (aktiv) sind.
Windows Server 2012 R2 und Windows Server 2016 mithilfe der modernen einheitlichen Lösung	Plattformupdateversion 4.18.2001.x.x oder höher

Warum Netzwerkschutz wichtig ist

Netzwerkschutz ist Teil der Gruppe der Lösungen zur Verringerung der Angriffsfläche in Microsoft Defender for Endpoint. Der Netzwerkschutz ermöglicht es der Netzwerkschicht, Verbindungen mit Domänen und IP-Adressen zu blockieren. Standardmäßig schützt der Netzwerkschutz Ihre Computer vor bekannten schädlichen Domänen mithilfe des SmartScreen-Feeds, der schädliche URLs ähnlich wie SmartScreen im Microsoft Edge-Browser blockiert. Die Netzwerkschutzfunktion kann auf Folgendes erweitert werden:

• Blockieren von IP-/URL-Adressen ihrer eigenen Threat Intelligence (Indikatoren)
• Nicht sanktionierte Dienste aus Microsoft Defender for Cloud Apps blockieren
• Blockieren des Browserzugriffs auf Websites basierend auf der Kategorie (Filterung von Webinhalten)

Tipp

Ausführliche Informationen zum Netzwerkschutz für Windows Server, Linux, macOS und Mobile Threat Defense (MTD) finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Befehls- und Steuerungsangriffe blockieren

Befehls- und Steuerungsserver (C2) werden verwendet, um Befehle an Systeme zu senden, die zuvor durch Schadsoftware kompromittiert wurden.

C2-Server können verwendet werden, um Befehle zu initiieren, die Folgendes ausführen können:

• Daten stehlen
• Steuern kompromittierter Computer in einem Botnet
• Unterbrechen legitimer Anwendungen
• Verbreitung von Schadsoftware, wie Ransomware

Die Netzwerkschutzkomponente von Defender für Endpunkt identifiziert und blockiert Verbindungen mit C2-Servern, die bei von Menschen betriebenen Ransomware-Angriffen verwendet werden, und verwendet Techniken wie maschinelles Lernen und intelligente Erkennung von Gefährdungsindikatoren (IoC).

Netzwerkschutz: C2-Erkennung und -Wartung

Ransomware hat sich zu einer komplexen Bedrohung entwickelt, die menschengesteuert, anpassungsfähig ist und sich auf umfangreiche Ergebnisse konzentriert, z. B. das Halten von Ressourcen oder Daten einer ganzen organization für Lösegeld.

Die Unterstützung von Befehls- und Steuerungsservern (C2) ist ein wichtiger Teil dieser Ransomware-Entwicklung, und sie ermöglicht es diesen Angriffen, sich an die Umgebung anzupassen, auf die sie abzielen. Durch das Unterbrechen der Verbindung mit der Befehls- und Steuerungsinfrastruktur wird das Fortschreiten eines Angriffs auf die nächste Stufe beendet. Weitere Informationen zur Erkennung und Behebung von C2 finden Sie im Tech Community-Blog: Erkennen und Beheben von Befehls- und Kontrollangriffen auf Netzwerkebene.

Netzwerkschutz: Neue Popupbenachrichtigungen

Neue Zuordnung	Antwortkategorie	Quellen
phishing	Phishing	SmartScreen
malicious	Malicious	SmartScreen
command and control	C2	SmartScreen
command and control	COCO	SmartScreen
malicious	Untrusted	SmartScreen
by your IT admin	CustomBlockList
by your IT admin	CustomPolicy

Hinweis

customAllowList generiert keine Benachrichtigungen für Endpunkte.

Neue Benachrichtigungen zur Bestimmung des Netzwerkschutzes

Wenn ein Endbenutzer versucht, eine Website in einer Umgebung zu besuchen, in der der Netzwerkschutz aktiviert ist, sind drei Szenarien möglich, wie in der folgenden Tabelle beschrieben:

Szenario	Folge
Die URL hat einen bekannten guten Ruf.	Dem Benutzer wird der Zugriff ohne Behinderung gestattet, und es wird keine Popupbenachrichtigung auf dem Endpunkt angezeigt. In der Tat ist die Domäne oder URL auf Zulässig festgelegt.
Die URL hat einen unbekannten oder unsicheren Ruf.	Der Zugriff des Benutzers ist blockiert, aber mit der Möglichkeit, den Block zu umgehen (die Blockierung aufzuheben). In der Tat ist die Domäne oder URL auf Audit festgelegt.
Die URL weist eine bekannte schlechte (böswillige) Reputation auf.	Der Benutzer wird am Zugriff gehindert. In der Tat ist die Domäne oder URL auf Blockieren festgelegt.

Warnerfahrung

Ein Benutzer besucht eine Website. Wenn die URL einen unbekannten oder unsicheren Ruf aufweist, bietet eine Popupbenachrichtigung dem Benutzer die folgenden Optionen:

• Ok: Die Popupbenachrichtigung wird freigegeben (entfernt), und der Versuch, auf die Website zuzugreifen, wird beendet.
• Entsperrung: Der Benutzer hat 24 Stunden Zugriff auf die Website; An diesem Punkt wird der -Block erneut aktiviert. Der Benutzer kann weiterhin " Blockierung aufheben" verwenden, um auf die Website zuzugreifen, bis der Administrator die Website verbietet (blockiert) und somit die Option zum Aufheben der Blockierung entfernt.
• Feedback: Die Popupbenachrichtigung zeigt dem Benutzer einen Link zum Übermitteln eines Tickets an, mit dem der Benutzer Feedback an den Administrator übermitteln kann, um den Zugriff auf die Website zu rechtfertigen.

Hinweis

Die in diesem Artikel gezeigten Bilder für die Benutzeroberfläche und block die warn Benutzeroberfläche verwenden "blockierte URL" als Beispielplatzhaltertext. In einer funktionierenden Umgebung wird die tatsächliche URL oder Domäne aufgeführt.

Verwenden von CSP zum Aktivieren Convert warn verdict to block

SmartScreen-Urteile für schädliche Websites führen standardmäßig zu einer Warnung, die vom Benutzer überschrieben werden kann. Eine Richtlinie kann festgelegt werden, um die Warnung in Blöcke zu konvertieren, um solche Außerkraftsetzungen zu verhindern.

Informationen zu Nicht-Edge-Browsern finden Sie unter Defender CSP: Configuration/EnableConvertWarnToBlock. Informationen zu Edge-Browsern finden Sie unter Edge-Richtlinie: Außerkraftsetzung von SmartScreen-Eingabeaufforderungen verhindern.

Verwenden sie Gruppenrichtlinie, um das Konvertieren von Warnbewertungen zum Blockieren zu aktivieren.

Durch Aktivieren dieser Einstellung blockiert der Netzwerkschutz den Netzwerkdatenverkehr, anstatt eine Warnung anzuzeigen.

1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole.

2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

3. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.

4. Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft DefenderAntivirennetzwerk-Überprüfungssystem>.

5. Doppelklicken Sie auf Warnbewertung konvertieren, um zu blockieren , und legen Sie die Option auf Aktiviert fest.

6. Wählen Sie OK aus.

Blockierungserfahrung

Wenn ein Benutzer eine Website besucht, deren URL einen schlechten Ruf aufweist, werden dem Benutzer in einer Popupbenachrichtigung die folgenden Optionen angezeigt:

• Ok: Die Popupbenachrichtigung wird freigegeben (entfernt), und der Versuch, auf die Website zuzugreifen, wird beendet.
• Feedback: Die Popupbenachrichtigung zeigt dem Benutzer einen Link zum Übermitteln eines Tickets an, mit dem der Benutzer Feedback an den Administrator übermitteln kann, um den Zugriff auf die Website zu rechtfertigen.

SmartScreen-Entsperrung

Mit Indikatoren in Defender für Endpunkt können Administratoren Endbenutzern ermöglichen, Warnungen zu umgehen, die für einige URLs und IP-Adressen generiert werden. Je nachdem, warum die URL blockiert wird, kann der Benutzer beim Auftreten eines SmartScreen-Blocks die Möglichkeit bieten, die Blockierung der Website für bis zu 24 Stunden zu aufheben. In solchen Fällen wird eine Windows-Sicherheit Popupbenachrichtigung angezeigt, die es dem Benutzer ermöglicht, Blockierung aufheben auszuwählen. In solchen Fällen wird die Blockierung der URL oder IP-Adresse für den angegebenen Zeitraum aufgehoben.

Microsoft Defender for Endpoint Administratoren können die SmartScreen-Entsperrungsfunktionalität im Microsoft Defender-Portal mithilfe eines Zulassungsindikators für IP-Adressen, URLs und Domänen konfigurieren.

Weitere Informationen finden Sie unter Erstellen von Indikatoren für IP-Adressen und URLs/Domänen.

Verwenden des Netzwerkschutzes

Der Netzwerkschutz ist pro Gerät aktiviert, was in der Regel über Ihre Verwaltungsinfrastruktur erfolgt. Informationen zu unterstützten Methoden finden Sie unter Aktivieren des Netzwerkschutzes.

Hinweis

Microsoft Defender Antivirus muss sich im aktiven Modus befinden, um den Netzwerkschutz zu aktivieren.

Sie können den Netzwerkschutz im audit Modus oder block Modus aktivieren. Wenn Sie die Auswirkungen der Aktivierung des Netzwerkschutzes bewerten möchten, bevor Ip-Adressen oder URLs tatsächlich blockiert werden, können Sie den Netzwerkschutz im Überwachungsmodus aktivieren. Der Überwachungsmodus protokolliert jedes Mal, wenn Endbenutzer eine Verbindung mit einer Adresse oder einem Standort herstellen, die andernfalls durch den Netzwerkschutz blockiert würden. Um das Blockieren von benutzerdefinierten Indikatoren oder Filterkategorien für Webinhalte zu erzwingen, muss sich der Netzwerkschutz im block Modus befinden.

Informationen zum Netzwerkschutz für Linux und macOS finden Sie in den folgenden Artikeln:

• Netzwerkschutz für Linux
• Netzwerkschutz für macOS

Erweiterte Bedrohungssuche

Wenn Sie die erweiterte Suche verwenden, um Überwachungsereignisse zu identifizieren, stehen Ihnen über die Konsole bis zu 30 Tage Verlauf zur Verfügung. Weitere Informationen finden Sie unter Erweiterte Suche.

Sie finden die Überwachungsereignisse unter Erweiterte Suche im Defender für Endpunkt-Portal (https://security.microsoft.com).

Überwachungsereignisse befinden sich in DeviceEvents mit einem ActionType von ExploitGuardNetworkProtectionAudited. Blöcke werden mit einem ActionType von ExploitGuardNetworkProtectionBlockedangezeigt.

Hier ist eine Beispielabfrage zum Anzeigen von Netzwerkschutzereignissen für Nicht-Microsoft-Browser:

DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Tipp

Diese Einträge enthalten Daten in der Spalte AdditionalFields , die weitere Informationen zur Aktion enthalten, einschließlich der Felder: IsAudit, ResponseCategory und DisplayName.

Hier sehen Sie ein weiteres Beispiel:

DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Die Kategorie Antwort gibt an, was das Ereignis verursacht hat, wie in diesem Beispiel:

ResponseCategory	Für das Ereignis verantwortliches Feature
CustomPolicy	WCF
CustomBlockList	Benutzerdefinierte Indikatoren
CasbPolicy	Defender for Cloud Apps
Malicious	Webbedrohungen
Phishing	Webbedrohungen

Weitere Informationen finden Sie unter Problembehandlung bei Endpunktblöcken.

Wenn Sie den Microsoft Edge-Browser verwenden, verwenden Sie diese Abfrage für Microsoft Defender SmartScreen-Ereignisse:

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Sie können die resultierende Liste der URLs und IP-Adressen verwenden, um zu bestimmen, was blockiert wird, wenn der Netzwerkschutz auf dem Gerät auf den Blockmodus festgelegt ist. Sie können auch sehen, welche Features URLs und IP-Adressen blockieren würden. Überprüfen Sie die Liste, um alle URLs oder IP-Adressen zu identifizieren, die für Ihre Umgebung erforderlich sind. Anschließend können Sie einen Zulassungsindikator für diese URLs oder IP-Adressen erstellen. Zulassen von Indikatoren hat Vorrang vor allen Blöcken. Weitere Informationen finden Sie unter Rangfolge für Netzwerkschutzblöcke.

Nachdem Sie einen Indikator zum Aufheben der Blockierung einer Website erstellt haben, können Sie versuchen, den ursprünglichen Block wie folgt aufzulösen:

• SmartScreen: Falsch positiv melden, falls zutreffend
• Indikator: Vorhandenen Indikator ändern
• MCA: Nicht sanktionierte App überprüfen
• WCF: Anforderungsreklassierung

Hinweis

Da dies eine gerätespezifische Einstellung ist, können Sie bei Geräten, die nicht in den Blockmodus wechseln können, diese einfach bei der Überwachung belassen, um die Überwachungsereignisse zu empfangen.

Informationen zum Melden falsch positiver Ergebnisse in SmartScreen-Daten finden Sie unter Melden falsch positiver Ergebnisse.

Ausführliche Informationen zum Erstellen eigener Power BI-Berichte finden Sie unter Erstellen benutzerdefinierter Berichte mit Power BI.

Konfigurieren des Netzwerkschutzes

Weitere Informationen zum Aktivieren des Netzwerkschutzes finden Sie unter Aktivieren des Netzwerkschutzes. Verwenden Sie Gruppenrichtlinie-, PowerShell- oder MDM-CSPs, um den Netzwerkschutz in Ihrem Netzwerk zu aktivieren und zu verwalten.

Nachdem Sie den Netzwerkschutz aktiviert haben, müssen Sie möglicherweise Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass die Verbindungen zwischen Ihren Endpunktgeräten und den Webdiensten zugelassen werden:

• .smartscreen.microsoft.com
• .smartscreen-prod.microsoft.com

Erforderliche Browserkonfiguration

In Nicht-Microsoft Edge-Prozessen bestimmt Netzwerkschutz den vollqualifizierten Domänennamen für jede HTTPS-Verbindung, indem der Inhalt des TLS-Handshakes untersucht wird, der nach einem TCP/IP-Handshake auftritt. Dies erfordert, dass die HTTPS-Verbindung TCP/IP (nicht UDP/QUIC) verwendet und die ClientHello-Nachricht nicht verschlüsselt ist. Informationen zum Deaktivieren von QUIC und Encrypted Client Hello in Google Chrome finden Sie unter QuicAllowed und EncryptedClientHelloEnabled. Informationen zu Mozilla Firefox finden Sie unter Disable EncryptedClientHello und network.http.http3.enable.

Anzeigen von Netzwerkschutzereignissen

Netzwerkschutz funktioniert am besten mit Microsoft Defender for Endpoint, die Ihnen detaillierte Berichte zu Exploit-Schutzereignissen und -blöcken als Teil von Warnungsuntersuchungsszenarien bietet.

Wenn der Netzwerkschutz eine Verbindung blockiert, wird eine Benachrichtigung auf dem Client angezeigt. Ihr Sicherheitsteam kann die Benachrichtigung mit den Details und Kontaktinformationen Ihres organization anpassen.

Überprüfen von Netzwerkschutzereignissen im Microsoft Defender-Portal

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen der Warnungsuntersuchungsszenarien. Sie können diese Details im Microsoft Defender-Portal (https://security.microsoft.com) in der Warnungswarteschlange oder mithilfe der erweiterten Suche anzeigen. Wenn Sie den Überwachungsmodus verwenden, können Sie die erweiterte Suche verwenden, um zu sehen, wie sich Netzwerkschutzeinstellungen auf Ihre Umgebung auswirken würden, wenn sie aktiviert wären.

Überprüfen von Netzwerkschutzereignissen in Windows Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Netzwerkschutz den Zugriff auf eine böswillige IP-Adresse oder Domäne blockiert (oder überwacht):

1. Erstellen Sie eine XML-Abfrage.

2. Wählen Sie OK aus.

Mit diesem Verfahren wird eine benutzerdefinierte Ansicht erstellt, die filtert, um nur die folgenden Ereignisse im Zusammenhang mit dem Netzwerkschutz anzuzeigen:

Ereignis-ID	Beschreibung
5007	Ereignis, wenn Einstellungen geändert werden
1125	Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird
1126	Ereignis, wenn der Netzwerkschutz im Blockmodus ausgelöst wird

Netzwerkschutz und der dreiseitige TCP-Handshake

Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn der Netzwerkschutz eine Website blockiert, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess unter DeviceNetworkEvents angezeigt, obwohl die Website blockiert wurde. DeviceNetworkEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des TCP/IP-Handshakes und eines TLS-Handshakes wird der Zugriff auf den Standort durch den Netzwerkschutz zugelassen oder blockiert.

Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:

1. Angenommen, ein Benutzer versucht, auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.

2. Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine DeviceNetworkEvents Aktion protokolliert, die ActionType als ConnectionSuccessaufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell.

3. Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als AlertEvidenceauch DeviceNetworkEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über ein DeviceNetworkEvents Element mit dem ActionType von ConnectionSuccessverfügen.

Überlegungen zu virtuellen Windows-Desktops, auf denen Windows 10 Enterprise mehrere Sitzungen ausgeführt werden

Beachten Sie aufgrund des Mehrbenutzercharakters von Windows 10 Enterprise die folgenden Punkte:

• Netzwerkschutz ist ein geräteweites Feature und kann nicht auf bestimmte Benutzersitzungen ausgerichtet werden.
• Wenn Sie zwischen Benutzergruppen unterscheiden müssen, sollten Sie separate Windows Virtual Desktop-Hostpools und -Zuweisungen erstellen.
• Testen Sie den Netzwerkschutz im Überwachungsmodus, um sein Verhalten vor dem Rollout zu bewerten.
• Erwägen Sie, die Größe Ihrer Bereitstellung zu ändern, wenn Sie über eine große Anzahl von Benutzern oder eine große Anzahl von Sitzungen mit mehreren Benutzern verfügen.

Alternative Option für den Netzwerkschutz

Für Windows Server 2012 R2 und Windows Server 2016 mit der modernen einheitlichen Lösung Windows Server Version 1803 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop in Azure verwendet werden, kann der Netzwerkschutz für Microsoft Edge mithilfe der folgenden Methode aktiviert werden:

1. Verwenden Sie Netzwerkschutz aktivieren , und befolgen Sie die Anweisungen, um Ihre Richtlinie anzuwenden.

2. Führen Sie die folgenden PowerShell-Befehle aus:

   • Set-MpPreference -EnableNetworkProtection Enabled
   • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
   • Set-MpPreference -AllowNetworkProtectionDownLevel 1
   • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

   Hinweis

   In einigen Fällen kann sich dies abhängig von Ihrer Infrastruktur, dem Datenverkehrsvolumen und anderen Bedingungen Set-MpPreference -AllowDatagramProcessingOnWinServer 1 auf die Netzwerkleistung auswirken.

Netzwerkschutz für Windows Server

Die folgenden Informationen gelten spezifisch für Windows-Server.

Überprüfen, ob der Netzwerkschutz aktiviert ist

Überprüfen Sie mithilfe der Registrierungs-Editor, ob der Netzwerkschutz auf einem lokalen Gerät aktiviert ist.

1. Wählen Sie in der Taskleiste die Schaltfläche Start aus, und geben Sie einregedit, um die Registrierungs-Editor zu öffnen.

2. Wählen Sie im seitlichen Menü HKEY_LOCAL_MACHINE aus.

3. Navigieren Sie durch die geschachtelten Menüs zu SOFTWARErichtlinien>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz.

   (Wenn der Schlüssel nicht vorhanden ist, navigieren Sie zu SOFTWARE>.Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz)

4. Wählen Sie EnableNetworkProtection aus, um den aktuellen Status des Netzwerkschutzes auf dem Gerät anzuzeigen:

   • 0 = Aus
   • 1 = Ein (aktiviert)
   • 2 = Überwachungsmodus

Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

Empfohlene Registrierungsschlüssel für den Netzwerkschutz

Aktivieren Sie für Windows Server 2012 R2 und Windows Server 2016 mit der modernen einheitlichen Lösung Windows Server Version 1803 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher (in Windows Virtual Desktop in Azure verwendet) andere Registrierungsschlüssel als folgt:

1. Wechseln Sie zu HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz.

2. Konfigurieren Sie die folgenden Schlüssel:

   • AllowNetworkProtectionOnWinServer (DWORD) auf 1 (hexadezim) festgelegt
   • EnableNetworkProtection (DWORD) auf 1 (hexadezim) festgelegt
   • (Nur bei Windows Server 2012 R2 und Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) auf 1 (hexadezim) festgelegt

Hinweis

Je nach Infrastruktur, Datenverkehrsvolumen und anderen Bedingungen können sich HKEY_LOCAL_MACHINE>SOFTWARErichtlinien>>Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) auf die Netzwerkleistung auswirken.

Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

Windows Server- und Windows-Konfiguration mit mehreren Sitzungen erfordert PowerShell

Für Windows Server und Windows Multi-Session müssen Sie weitere Elemente mithilfe von PowerShell-Cmdlets aktivieren. Führen Sie für Windows Server 2012 R2 und Windows Server 2016 mit der modernen einheitlichen Lösung Windows Server Version 1803 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop in Azure verwendet werden, die folgenden PowerShell-Befehle aus.:

Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Hinweis

In einigen Fällen kann sich die Netzwerkleistung abhängig von Ihrer Infrastruktur, dem Datenverkehrsvolumen und anderen Bedingungen Set-MpPreference -AllowDatagramProcessingOnWinServer 1 auswirken.

Problembehandlung für den Netzwerkschutz

Aufgrund der Umgebung, in der der Netzwerkschutz ausgeführt wird, kann das Feature möglicherweise keine Proxyeinstellungen des Betriebssystems erkennen. In einigen Fällen können Netzwerkschutzclients den Clouddienst nicht erreichen. Um das Konnektivitätsproblem zu beheben, konfigurieren Sie einen statischen Proxy für Microsoft Defender Antivirus.

Hinweis

Verschlüsselter Client Hello und das QUIC-Protokoll werden nicht mit Netzwerkschutzfunktionen unterstützt. Stellen Sie sicher, dass diese Protokolle in Browsern deaktiviert sind, wie oben unter Erforderliche Browserkonfiguration beschrieben.

Um QUIC auf allen Clients zu deaktivieren, können Sie QUIC-Datenverkehr über die Windows-Firewall blockieren.

Deaktivieren von QUIC in der Windows-Firewall

Diese Methode wirkt sich auf alle Anwendungen aus, einschließlich Browsern und Client-Apps (z. B. Microsoft Office). Führen Sie in PowerShell das New-NetFirewallRule Cmdlet aus, um eine neue Firewallregel hinzuzufügen, die QUIC durch Blockieren des gesamten ausgehenden UDP-Datenverkehrs an Port 443 deaktiviert:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Optimieren der Netzwerkschutzleistung

Der Netzwerkschutz umfasst eine Leistungsoptimierung, die es dem Modus ermöglicht block , langlebige Verbindungen asynchron zu überprüfen, was zu einer Leistungsverbesserung führen kann. Diese Optimierung kann auch bei App-Kompatibilitätsproblemen helfen. Diese Funktion ist standardmäßig aktiviert.

Verwenden von CSP zum Aktivieren von AllowSwitchToAsyncInspection

Defender CSP: Configuration/AllowSwitchToAsyncInspection

Aktivieren der asynchronen Überprüfung mithilfe von Gruppenrichtlinie

Dieses Verfahren ermöglicht es dem Netzwerkschutz, die Leistung zu verbessern, indem von der Echtzeitüberprüfung zur asynchronen Inspektion gewechselt wird.

1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole.

2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinie Objekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

3. Wechseln Sie im Gruppenrichtlinie Management Editor zu Computerkonfiguration, und wählen Sie dann Administrative Vorlagen aus.

4. Erweitern Sie die Struktur zu Windows-Komponenten>Microsoft DefenderAntivirennetzwerk-Überprüfungssystem>.

5. Doppelklicken Sie auf Asynchrone Überprüfung aktivieren, und legen Sie dann die Option auf Aktiviert fest.

6. Wählen Sie OK aus.

Verwenden Microsoft Defender Antivirus PowerShell-Cmdlets zum Aktivieren der asynchronen Überprüfung aktivieren

Sie können diese Funktion mit dem folgenden PowerShell-Cmdlet aktivieren:

Set-MpPreference -AllowSwitchToAsyncInspection $true

Siehe auch

• Auswerten des Netzwerkschutzes | Erstellen Sie ein kurzes Szenario, in dem veranschaulicht wird, wie das Feature funktioniert und welche Ereignisse normalerweise erstellt werden.
• Aktivieren des Netzwerkschutzes | Verwenden Sie Gruppenrichtlinie-, PowerShell- oder MDM-CSPs, um den Netzwerkschutz in Ihrem Netzwerk zu aktivieren und zu verwalten.
• Konfigurieren von Funktionen zur Verringerung der Angriffsfläche in Microsoft Intune
• Netzwerkschutz für Linux | Weitere Informationen zur Verwendung des Microsoft-Netzwerkschutzes für Linux-Geräte.
• Netzwerkschutz für macOS | Weitere Informationen zum Microsoft-Netzwerkschutz für macOS

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.