Verwenden des Netzwerkschutzes, um Verbindungen mit schädlichen oder verdächtigen Websites zu verhindern

Gilt für:

Plattformen

  • Windows
  • macOS
  • Linux

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Übersicht über den Netzwerkschutz

Der Netzwerkschutz trägt dazu bei, Geräte vor bestimmten internetbasierten Ereignissen zu schützen, indem Verbindungen mit schädlichen oder verdächtigen Websites verhindert werden. Netzwerkschutz ist eine Funktion zur Verringerung der Angriffsfläche, mit der Personen in Ihrem organization daran gehindert werden, auf Domänen zuzugreifen, die durch Anwendungen als gefährlich angesehen werden. Beispiele für gefährliche Domänen sind Domänen, die Phishing-Betrug, Exploits und andere schädliche Inhalte im Internet hosten. Der Netzwerkschutz erweitert den Bereich Microsoft Defender SmartScreen, um den gesamten ausgehenden HTTP(S)-Datenverkehr zu blockieren, der versucht, eine Verbindung mit Quellen mit geringem Ruf herzustellen (basierend auf der Domäne oder dem Hostnamen).

Der Netzwerkschutz erweitert den Schutz im Webschutz auf die Betriebssystemebene und ist eine Kernkomponente für die Webinhaltsfilterung (WCF). Es stellt die Webschutzfunktionen in Microsoft Edge für andere unterstützte Browser und Nicht-Browseranwendungen bereit. Der Netzwerkschutz bietet auch Sichtbarkeit und Blockierung von Indikatoren für Gefährdung (IOCs), wenn er mit Endpunkterkennung und -antwort verwendet wird. Netzwerkschutz funktioniert beispielsweise mit Ihren benutzerdefinierten Indikatoren , die Sie verwenden können, um bestimmte Domänen oder Hostnamen zu blockieren.

Netzwerkschutzabdeckung

In der folgenden Tabelle sind die Bereiche der Netzwerkschutzabdeckung zusammengefasst.

Feature Microsoft Edge Nicht-Microsoft-Browser Nichtbrowser-Prozesse
(z. B. PowerShell)
Web Threat Protection SmartScreen muss aktiviert sein Netzwerkschutz muss sich im Blockmodus befinden Netzwerkschutz muss sich im Blockmodus befinden
Benutzerdefinierte Indikatoren SmartScreen muss aktiviert sein Netzwerkschutz muss sich im Blockmodus befinden Netzwerkschutz muss sich im Blockmodus befinden
Webinhaltsfilterung SmartScreen muss aktiviert sein Netzwerkschutz muss sich im Blockmodus befinden Nicht unterstützt

Hinweis

Unter Mac und Linux müssen Sie über Netzwerkschutz im Blockmodus verfügen, um Unterstützung für diese Features in Edge zu erhalten. Unter Windows überwacht der Netzwerkschutz Microsoft Edge nicht. Für andere Prozesse als Microsoft Edge und Internet Explorer nutzen Webschutzszenarien den Netzwerkschutz zur Überprüfung und Durchsetzung.

  • IP wird für alle drei Protokolle (TCP, HTTP und HTTPS (TLS)) unterstützt.
  • In benutzerdefinierten Indikatoren werden nur einzelne IP-Adressen unterstützt (keine CIDR-Blöcke oder IP-Bereiche).
  • Verschlüsselte URLs (vollständiger Pfad) können nur in Erstanbieterbrowsern (Internet Explorer, Edge) blockiert werden.
  • Verschlüsselte URLs (nur FQDN) können in Browsern von Drittanbietern (d. h. außer Internet Explorer, Edge) blockiert werden.
  • Vollständige URL-Pfadblöcke können auf unverschlüsselte URLs angewendet werden.

Zwischen dem Zeitpunkt, zu dem die Aktion ausgeführt wird, und der URL und der IP-Adresse können bis zu 2 Stunden (in der Regel weniger) vorliegen.

Sehen Sie sich dieses Video an, um zu erfahren, wie Netzwerkschutz dazu beiträgt, die Angriffsfläche Ihrer Geräte vor Phishing-Betrug, Exploits und anderen schädlichen Inhalten zu reduzieren:

Anforderungen für den Netzwerkschutz

Der Netzwerkschutz erfordert Geräte, auf denen eines der folgenden Betriebssysteme ausgeführt wird:

Der Netzwerkschutz erfordert auch Microsoft Defender Antivirus mit aktiviertem Echtzeitschutz.

Windows-Version Microsoft Defender Antivirus
Windows 10 Version 1709 oder höher, Windows 11, Windows Server 1803 oder höher Stellen Sie sicher, dass Microsoft Defender Antivirus-Echtzeitschutz, Verhaltensüberwachung und Cloudschutz aktiviert (aktiv) sind.
Windows Server 2012 R2 und Windows Server 2016 mit dem einheitlichen Agent Plattformupdateversion 4.18.2001.x.x oder höher

Warum Netzwerkschutz wichtig ist

Der Netzwerkschutz ist Teil der Gruppe der Lösungen zur Verringerung der Angriffsfläche in Microsoft Defender for Endpoint. Der Netzwerkschutz ermöglicht es der Netzwerkschicht, URLs und IP-Adressen zu blockieren. Der Netzwerkschutz kann den Zugriff auf URLs blockieren, indem bestimmte Browser und Standardnetzwerkverbindungen verwendet werden. Standardmäßig schützt der Netzwerkschutz Ihre Computer vor bekannten schädlichen URLs mithilfe des SmartScreen-Feeds, der schädliche URLs ähnlich wie SmartScreen im Microsoft Edge-Browser blockiert. Die Netzwerkschutzfunktion kann auf Folgendes erweitert werden:

Der Netzwerkschutz ist ein wichtiger Bestandteil des Microsoft-Schutz- und Reaktionsstapels.

Tipp

Ausführliche Informationen zum Netzwerkschutz für Windows Server, Linux, MacOS und Mobile Threat Defense (MTD) finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche.

Befehls- und Steuerungsangriffe blockieren

C2-Servercomputer (Command and Control) werden von böswilligen Benutzern verwendet, um Befehle an Systeme zu senden, die zuvor von Schadsoftware kompromittiert wurden. C2-Angriffe werden in der Regel in cloudbasierten Diensten wie Dateifreigabe- und Webmaildiensten verborgen, sodass die C2-Server die Erkennung vermeiden können, indem sie sich mit dem typischen Datenverkehr verbinden.

C2-Server können verwendet werden, um Befehle zu initiieren, die Folgendes ausführen können:

  • Daten stehlen
  • Steuern kompromittierter Computer in einem Botnet
  • Unterbrechen legitimer Anwendungen
  • Verbreitung von Schadsoftware, wie Ransomware

Die Netzwerkschutzkomponente von Defender für Endpunkt identifiziert und blockiert Verbindungen mit C2-Infrastrukturen, die bei von Menschen betriebenen Ransomware-Angriffen verwendet werden, und verwendet Dabei Techniken wie maschinelles Lernen und intelligente Erkennung von Kompromittierungsindikatoren (Intelligent Indicator of Compromise, IoC).

Netzwerkschutz: C2-Erkennung und -Wartung

In ihrer ursprünglichen Form ist Ransomware eine Bedrohung, die vorprogrammiert ist und sich auf begrenzte, spezifische Ergebnisse konzentriert (z. B. die Verschlüsselung eines Computers). Ransomware hat sich jedoch zu einer komplexen Bedrohung entwickelt, die menschengesteuert, anpassungsfähig ist und sich auf größeres Ausmaß und weiter verbreitete Ergebnisse konzentriert, z. B. das Halten einer ganzen organization Ressourcen oder Daten für Lösegeld.

Die Unterstützung von Befehls- und Steuerungsservern (C2) ist ein wichtiger Teil dieser Ransomware-Entwicklung, und sie ermöglicht es diesen Angriffen, sich an die Umgebung anzupassen, auf die sie abzielen. Durch das Unterbrechen der Verbindung mit der Befehls- und Steuerungsinfrastruktur wird das Fortschreiten eines Angriffs auf die nächste Stufe beendet. Weitere Informationen zur C2-Erkennung und -Korrektur finden Sie unter Erkennen und Beheben von Befehls- und Steuerungsangriffen auf Netzwerkebene.

Netzwerkschutz: Neue Popupbenachrichtigungen

Neue Zuordnung Antwortkategorie Quellen
Phishing Phishing SmartScreen
böswillig Bösartig SmartScreen
Befehl und Steuerung C2 SmartScreen
Befehl und Steuerung COCO SmartScreen
böswillig Vertrauenswürdigen SmartScreen
von Ihrem IT-Administrator CustomBlockList
von Ihrem IT-Administrator CustomPolicy

Hinweis

customAllowList generiert keine Benachrichtigungen für Endpunkte.

Neue Benachrichtigungen zur Bestimmung des Netzwerkschutzes

Eine neue, öffentlich verfügbare Funktion im Netzwerkschutz nutzt Funktionen in SmartScreen, um Phishingaktivitäten von schädlichen Befehls- und Kontrollwebsites zu blockieren. Wenn ein Endbenutzer versucht, eine Website in einer Umgebung zu besuchen, in der der Netzwerkschutz aktiviert ist, sind drei Szenarien möglich:

  • Die URL hat einen bekannten guten Ruf : In diesem Fall wird dem Benutzer der Zugriff ohne Behinderung gestattet, und es wird keine Popupbenachrichtigung auf dem Endpunkt angezeigt. In der Tat ist die Domäne oder URL auf Zulässig festgelegt.
  • Die URL hat einen unbekannten oder unsicheren Ruf : Der Zugriff des Benutzers wird blockiert, aber mit der Möglichkeit, den Block zu umgehen (die Blockierung aufzuheben). In der Tat ist die Domäne oder URL auf Audit festgelegt.
  • Die URL weist eine bekannte schlechte (böswillige) Reputation auf: Der Benutzer wird am Zugriff gehindert. In der Tat ist die Domäne oder URL auf Blockieren festgelegt.

Warnerfahrung

Ein Benutzer besucht eine Website. Wenn die URL einen unbekannten oder unsicheren Ruf aufweist, bietet eine Popupbenachrichtigung dem Benutzer die folgenden Optionen:

  • Ok: Die Popupbenachrichtigung wird freigegeben (entfernt), und der Versuch, auf die Website zuzugreifen, wird beendet.
  • Entsperrung: Der Benutzer hat 24 Stunden Zugriff auf die Website; An diesem Punkt wird der -Block erneut aktiviert. Der Benutzer kann weiterhin " Blockierung aufheben" verwenden, um auf die Website zuzugreifen, bis der Administrator die Website verbietet (blockiert) und somit die Option zum Aufheben der Blockierung entfernt.
  • Feedback: Die Popupbenachrichtigung zeigt dem Benutzer einen Link zum Übermitteln eines Tickets an, mit dem der Benutzer Feedback an den Administrator übermitteln kann, um den Zugriff auf die Website zu rechtfertigen.

Zeigt eine Warnungsbenachrichtigung zu Phishinginhalten im Netzwerkschutz an.

Hinweis

Die in diesem Artikel gezeigten Bilder für die Benutzeroberfläche und block die warn Benutzeroberfläche verwenden "blockierte URL" als Beispielplatzhaltertext. In einer funktionierenden Umgebung wird die tatsächliche URL oder Domäne aufgeführt.

Blockierungserfahrung

Ein Benutzer besucht eine Website. Wenn die URL einen schlechten Ruf aufweist, werden dem Benutzer in einer Popupbenachrichtigung die folgenden Optionen angezeigt:

  • Ok: Die Popupbenachrichtigung wird freigegeben (entfernt), und der Versuch, auf die Website zuzugreifen, wird beendet.
  • Feedback: Die Popupbenachrichtigung zeigt dem Benutzer einen Link zum Übermitteln eines Tickets an, mit dem der Benutzer Feedback an den Administrator übermitteln kann, um den Zugriff auf die Website zu rechtfertigen.

Zeigt eine Netzwerkschutz-Benachrichtigung über bekannte Phishing-Inhalte blockiert.

SmartScreen-Entsperrung

Mit Indikatoren in Defender für Endpunkt können Administratoren Endbenutzern ermöglichen, Warnungen zu umgehen, die für einige URLs und IP-Adressen generiert werden. Je nachdem, warum die URL blockiert wird, kann der Benutzer beim Auftreten eines SmartScreen-Blocks die Möglichkeit bieten, die Blockierung der Website für bis zu 24 Stunden zu aufheben. In solchen Fällen wird eine Windows-Sicherheit Popupbenachrichtigung angezeigt, die es dem Benutzer ermöglicht, Blockierung aufheben auszuwählen. In solchen Fällen wird die Blockierung der URL oder IP-Adresse für den angegebenen Zeitraum aufgehoben.

Windows-Sicherheit Benachrichtigung zum Netzwerkschutz.

Microsoft Defender for Endpoint Administratoren können die SmartScreen-Entsperrungsfunktionalität im Microsoft Defender-Portal mithilfe eines Zulassungsindikators für IP-Adressen, URLs und Domänen konfigurieren.

SmartScreen-Blockkonfigurations-URL und IP-Formular für Netzwerkschutz.

Weitere Informationen finden Sie unter Erstellen von Indikatoren für IP-Adressen und URLs/Domänen.

Verwenden des Netzwerkschutzes

Der Netzwerkschutz ist pro Gerät aktiviert, was in der Regel über Ihre Verwaltungsinfrastruktur erfolgt. Informationen zu unterstützten Methoden finden Sie unter Aktivieren des Netzwerkschutzes.

Hinweis

Microsoft Defender Antivirus muss sich im aktiven Modus befinden, um den Netzwerkschutz zu aktivieren.

Sie können den Netzwerkschutz im audit Modus oder block Modus aktivieren. Wenn Sie die Auswirkungen der Aktivierung des Netzwerkschutzes vor dem tatsächlichen Blockieren von IP-Adressen oder URLs auswerten möchten, können Sie den Netzwerkschutz im Überwachungsmodus aktivieren und Daten darüber sammeln, was blockiert würde. Der Überwachungsmodus protokolliert jedes Mal, wenn Endbenutzer eine Verbindung mit einer Adresse oder einem Standort herstellen, die andernfalls durch den Netzwerkschutz blockiert würden. Damit Indikatoren der Kompromittierung (IoC) oder Webinhaltsfilterung (WCF) funktionieren, muss sich der Netzwerkschutz im block Modus befinden.

Informationen zum Netzwerkschutz für Linux und macOS finden Sie in den folgenden Artikeln:

Erweiterte Bedrohungssuche

Wenn Sie die erweiterte Suche verwenden, um Überwachungsereignisse zu identifizieren, stehen Ihnen über die Konsole bis zu 30 Tage Verlauf zur Verfügung. Weitere Informationen finden Sie unter Erweiterte Suche.

Sie finden die Überwachungsereignisse unter Erweiterte Suche im Defender für Endpunkt-Portal (https://security.microsoft.com).

Überwachungsereignisse befinden sich in DeviceEvents mit einem ActionType von ExploitGuardNetworkProtectionAudited. Blöcke werden mit einem ActionType von ExploitGuardNetworkProtectionBlockedangezeigt.

Hier ist eine Beispielabfrage zum Anzeigen von Netzwerkschutzereignissen für Nicht-Microsoft-Browser:


DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Erweiterte Suche zum Überwachen und Identifizieren von Ereignissen.

Tipp

Diese Einträge enthalten Daten in der Spalte AdditionalFields , die Ihnen hervorragende Informationen zur Aktion bietet. Wenn Sie AdditionalFields erweitern, können Sie auch die Felder abrufen: IsAudit, ResponseCategory und DisplayName.

Hier sehen Sie ein weiteres Beispiel:


DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

Die Kategorie Antwort gibt an, was das Ereignis verursacht hat, wie in diesem Beispiel:

ResponseCategory Für das Ereignis verantwortliches Feature
CustomPolicy WCF
CustomBlockList Benutzerdefinierte Indikatoren
CasbPolicy Defender for Cloud Apps
Bösartig Webbedrohungen
Phishing Webbedrohungen

Weitere Informationen finden Sie unter Problembehandlung bei Endpunktblöcken.

Wenn Sie den Microsoft Edge-Browser verwenden, verwenden Sie diese Abfrage für Microsoft Defender SmartScreen-Ereignisse:


DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName 

Sie können die resultierende Liste der URLs und IP-Adressen verwenden, um zu bestimmen, was blockiert wird, wenn der Netzwerkschutz auf dem Gerät auf den Blockmodus festgelegt ist. Sie können auch sehen, welche Features URLs und IP-Adressen blockieren würden. Überprüfen Sie die Liste, um alle URLs oder IP-Adressen zu identifizieren, die für Ihre Umgebung erforderlich sind. Anschließend können Sie einen Zulassungsindikator für diese URLs oder IP-Adressen erstellen. Zulassen von Indikatoren hat Vorrang vor allen Blöcken.

Nachdem Sie einen Indikator erstellt haben, können Sie sich die Behebung des zugrunde liegenden Problems wie folgt ansehen:

  • SmartScreen – Überprüfung anfordern
  • Indikator – Vorhandenen Indikator ändern
  • MCA – Nicht genehmigte App überprüfen
  • WCF – Anforderungsreklassierung

Mithilfe dieser Daten können Sie eine fundierte Entscheidung zur Aktivierung des Netzwerkschutzes im Blockierungsmodus treffen. Weitere Informationen finden Sie unter Rangfolge für Netzwerkschutzblöcke.

Hinweis

Da es sich hierbei um eine gerätespezifische Einstellung handelt, können Sie bei Geräten, die nicht in den Blockmodus wechseln können, einfach die Überwachung beibehalten, bis Sie die Herausforderung beheben können und Sie die Überwachungsereignisse weiterhin erhalten.

Informationen zum Melden falsch positiver Ergebnisse finden Sie unter Melden falsch positiver Ergebnisse.

Ausführliche Informationen zum Erstellen eigener Power BI-Berichte finden Sie unter Erstellen benutzerdefinierter Berichte mit Power BI.

Konfigurieren des Netzwerkschutzes

Weitere Informationen zum Aktivieren des Netzwerkschutzes finden Sie unter Aktivieren des Netzwerkschutzes. Verwenden Sie Gruppenrichtlinie-, PowerShell- oder MDM-CSPs, um den Netzwerkschutz in Ihrem Netzwerk zu aktivieren und zu verwalten.

Nachdem Sie den Netzwerkschutz aktiviert haben, müssen Sie möglicherweise Ihr Netzwerk oder Ihre Firewall so konfigurieren, dass die Verbindungen zwischen Ihren Endpunktgeräten und den Webdiensten zugelassen werden:

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Anzeigen von Netzwerkschutzereignissen

Netzwerkschutz funktioniert am besten mit Microsoft Defender for Endpoint, die Ihnen detaillierte Berichte zu Exploit-Schutzereignissen und -blöcken als Teil von Warnungsuntersuchungsszenarien bietet.

Wenn der Netzwerkschutz eine Verbindung blockiert, wird eine Benachrichtigung aus dem Info-Center angezeigt. Ihr Sicherheitsteam kann die Benachrichtigung mit den Details und Kontaktinformationen Ihres organization anpassen. Darüber hinaus können individuelle Regeln zur Verringerung der Angriffsfläche aktiviert und an bestimmte Überwachungstechniken angepasst werden.

Sie können auch den Überwachungsmodus verwenden, um auszuwerten, wie sich der Netzwerkschutz auf Ihre organization auswirken würde, wenn er aktiviert wäre.

Überprüfen von Netzwerkschutzereignissen im Microsoft Defender-Portal

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken im Rahmen der Warnungsuntersuchungsszenarien. Sie können diese Details im Microsoft Defender-Portal (https://security.microsoft.com) in der Warnungswarteschlange oder mithilfe der erweiterten Suche anzeigen. Wenn Sie den Überwachungsmodus verwenden, können Sie die erweiterte Suche verwenden, um zu sehen, wie sich Netzwerkschutzeinstellungen auf Ihre Umgebung auswirken würden, wenn sie aktiviert wären.

Überprüfen von Netzwerkschutzereignissen in Windows Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Netzwerkschutz den Zugriff auf eine böswillige IP-Adresse oder Domäne blockiert (oder überwacht):

  1. Kopieren Sie den XML-Code direkt.

  2. Wählen Sie OK aus.

Mit diesem Verfahren wird eine benutzerdefinierte Ansicht erstellt, die filtert, um nur die folgenden Ereignisse im Zusammenhang mit dem Netzwerkschutz anzuzeigen:

Ereignis-ID Beschreibung
5007 Ereignis, wenn Einstellungen geändert werden
1125 Ereignis, wenn der Netzwerkschutz im Überwachungsmodus ausgelöst wird
1126 Ereignis, wenn der Netzwerkschutz im Blockmodus ausgelöst wird

Netzwerkschutz und der dreiseitige TCP-Handshake

Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn der Netzwerkschutz eine Website blockiert, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess unter DeviceNetworkEvents angezeigt, obwohl die Website blockiert wurde. DeviceNetworkEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.

Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:

  1. Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.

  2. Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine DeviceNetworkEvents Aktion protokolliert, die ActionType als ConnectionSuccessaufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.

  3. Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als AlertEvidenceauch DeviceNetworkEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über ein DeviceNetworkEvents Element mit dem ActionType von ConnectionSuccessverfügen.

Überlegungen zu virtuellen Windows-Desktops, auf denen Windows 10 Enterprise mehrere Sitzungen ausgeführt werden

Beachten Sie aufgrund des Mehrbenutzercharakters von Windows 10 Enterprise die folgenden Punkte:

  1. Netzwerkschutz ist ein geräteweites Feature und kann nicht auf bestimmte Benutzersitzungen ausgerichtet werden.

  2. Richtlinien zum Filtern von Webinhalten sind auch geräteweit.

  3. Wenn Sie zwischen Benutzergruppen unterscheiden müssen, sollten Sie separate Windows Virtual Desktop-Hostpools und -Zuweisungen erstellen.

  4. Testen Sie den Netzwerkschutz im Überwachungsmodus, um sein Verhalten vor dem Rollout zu bewerten.

  5. Erwägen Sie, die Größe Ihrer Bereitstellung zu ändern, wenn Sie über eine große Anzahl von Benutzern oder eine große Anzahl von Sitzungen mit mehreren Benutzern verfügen.

Alternative Option für den Netzwerkschutz

Für Windows Server 2012 R2 und Windows Server 2016, die die moderne einheitliche Lösung verwenden, Windows Server Version 1803 oder höher, und Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop in Azure verwendet werden, kann der Netzwerkschutz für Microsoft Edge mit der folgenden Methode aktiviert werden:

  1. Verwenden Sie Netzwerkschutz aktivieren , und befolgen Sie die Anweisungen, um Ihre Richtlinie anzuwenden.

  2. Führen Sie die folgenden PowerShell-Befehle aus:

    • Set-MpPreference -EnableNetworkProtection Enabled

    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1

    • Set-MpPreference -AllowNetworkProtectionDownLevel 1

    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

      Hinweis

      In einigen Fällen kann sich dies abhängig von Ihrer Infrastruktur, dem Datenverkehrsvolumen und anderen Bedingungen Set-MpPreference -AllowDatagramProcessingOnWinServer 1 auf die Netzwerkleistung auswirken.

Netzwerkschutz für Windows Server

Im Folgenden finden Sie informationen speziell für Windows-Server.

Überprüfen, ob der Netzwerkschutz aktiviert ist

Überprüfen Sie mithilfe der Registrierungs-Editor, ob der Netzwerkschutz auf einem lokalen Gerät aktiviert ist.

  1. Wählen Sie in der Taskleiste die Schaltfläche Start aus, und geben Sie regedit ein, um die Registrierungs-Editor zu öffnen.

  2. Wählen Sie im seitlichen Menü HKEY_LOCAL_MACHINE aus.

  3. Navigieren Sie durch die geschachtelten Menüs zu SOFTWARErichtlinien>>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz.

    (Wenn der Schlüssel nicht vorhanden ist, navigieren Sie zu SOFTWARE>.Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz)

  4. Wählen Sie EnableNetworkProtection aus, um den aktuellen Status des Netzwerkschutzes auf dem Gerät anzuzeigen:

    • 0 = Aus
    • 1 = Ein (aktiviert)
    • 2 = Überwachungsmodus

Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

Empfohlene Registrierungsschlüssel für den Netzwerkschutz

Aktivieren Sie für Windows Server 2012 R2 und Windows Server 2016 mit der modernen einheitlichen Lösung, Windows Server Version 1803 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher (in Windows Virtual Desktop in Azure verwendet), andere Registrierungsschlüssel wie folgt:

  1. Wechseln Sie zu HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows Defender>Windows Defender Exploit Guard>Netzwerkschutz.

  2. Konfigurieren Sie die folgenden Schlüssel:

    • AllowNetworkProtectionOnWinServer (DWORD) auf 1 (hexadezim) festgelegt
    • EnableNetworkProtection (DWORD) auf 1 (hexadezim) festgelegt
    • (Nur bei Windows Server 2012 R2 und Windows Server 2016) AllowNetworkProtectionDownLevel (DWORD) auf 1 (hexadezim) festgelegt

Hinweis

Je nach Infrastruktur, Datenverkehrsvolumen und anderen Bedingungen können sich HKEY_LOCAL_MACHINE>SOFTWARErichtlinien>>Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hex) auf die Netzwerkleistung auswirken.

Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.

Windows Server- und Windows-Konfiguration mit mehreren Sitzungen erfordert PowerShell

Für Windows Server und Windows Multi-Session müssen Sie weitere Elemente mithilfe von PowerShell-Cmdlets aktivieren. Führen Sie für Windows Server 2012 R2 und Windows Server 2016 mit der modernen einheitlichen Lösung Windows Server Version 1803 oder höher und Windows 10 Enterprise Multi-Session 1909 und höher, die in Windows Virtual Desktop in Azure verwendet werden, die folgenden PowerShell-Befehle aus:


Set-MpPreference -EnableNetworkProtection Enabled

Set-MpPreference -AllowNetworkProtectionOnWinServer 1

Set-MpPreference -AllowNetworkProtectionDownLevel 1

Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Hinweis

In einigen Fällen kann sich die Netzwerkleistung abhängig von Ihrer Infrastruktur, dem Datenverkehrsvolumen und anderen Bedingungen Set-MpPreference -AllowDatagramProcessingOnWinServer 1 auswirken.

Problembehandlung für den Netzwerkschutz

Aufgrund der Umgebung, in der der Netzwerkschutz ausgeführt wird, kann das Feature möglicherweise keine Proxyeinstellungen des Betriebssystems erkennen. In einigen Fällen können Netzwerkschutzclients den Clouddienst nicht erreichen. Um das Konnektivitätsproblem zu beheben, konfigurieren Sie einen statischen Proxy für Microsoft Defender Antivirus.

Hinweis

Bevor Sie mit der Problembehandlung beginnen, stellen Sie sicher, dass Sie das QUIC-Protokoll in verwendeten Browsern auf disabled festlegen. Das QUIC-Protokoll wird nicht mit Netzwerkschutzfunktionen unterstützt.

Da der globale sichere Zugriff derzeit keinen UDP-Datenverkehr unterstützt, kann UDP-Datenverkehr zum Port 443 nicht getunnelt werden. Sie können das QUIC-Protokoll deaktivieren, damit Global Secure Access-Clients auf HTTPS (TCP-Datenverkehr an Port 443) zurückgreifen. Sie müssen diese Änderung vornehmen, wenn die Server, auf die Sie zugreifen möchten, QUIC unterstützen (z. B. über Microsoft Exchange Online). Zum Deaktivieren von QUIC können Sie eine der folgenden Aktionen ausführen:

Deaktivieren von QUIC in der Windows-Firewall

Die generischste Methode zum Deaktivieren von QUIC besteht darin, dieses Feature in der Windows-Firewall zu deaktivieren. Diese Methode wirkt sich auf alle Anwendungen aus, einschließlich Browsern und Client-Apps (z. B. Microsoft Office). Führen Sie in PowerShell das New-NetFirewallRule Cmdlet aus, um eine neue Firewallregel hinzuzufügen, die QUIC für den gesamten ausgehenden Datenverkehr vom Gerät deaktiviert:

Copy
$ruleParams = @{
    DisplayName = "Block QUIC"
    Direction = "Outbound"
    Action = "Block"
    RemoteAddress = "0.0.0.0/0"
    Protocol = "UDP"
    RemotePort = 443
}
New-NetFirewallRule @ruleParams

Deaktivieren von QUIC in einem Webbrowser

Sie können QUIC auf Webbrowserebene deaktivieren. Diese Methode zum Deaktivieren von QUIC bedeutet jedoch, dass QUIC weiterhin auf Nichtbrowseranwendungen funktioniert. Um QUIC in Microsoft Edge oder Google Chrome zu deaktivieren, öffnen Sie den Browser, suchen Sie die Experimentelle QUIC-Protokolleinstellung (#enable-quic Flag), und ändern Sie dann die Einstellung in Disabled. Die folgende Tabelle zeigt, welcher URI in die Adressleiste des Browsers eingegeben werden soll, damit Sie auf diese Einstellung zugreifen können.

Browser URI
Microsoft Edge edge://flags/#enable-quic
Google Chrome chrome://flags/#enable-quic

Optimieren der Netzwerkschutzleistung

Der Netzwerkschutz umfasst eine Leistungsoptimierung, die es dem Modus ermöglicht block , langlebige Verbindungen asynchron zu überprüfen, was zu einer Leistungsverbesserung führen kann. Diese Optimierung kann auch bei App-Kompatibilitätsproblemen helfen. Diese Funktion ist standardmäßig aktiviert. Sie können diese Funktion mit dem folgenden PowerShell-Cmdlet deaktivieren:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.