Kategorien
Tutorials

Windows Defender Network Protection konfigurieren

Seit Windows 10 Version 1709 bringt der Windows Defender eine sogenannte Network Protection, oder auf deutsch "Netzwerkschutz", mit. Die Windows Defender Network Protection ist dazu gedacht, den Zugriff auf gefährliche Domains zu sperren, die Phishing-Betrügereien, Exploits und andere bösartige Inhalte im Internet beinhalten.

Dieser Artikel wurde sowohl unter Windows 10 Pro 1909 (Einzelplatzinstallation) als auch unter Windows Server 2019 als DC mit Windows 10 Enterprise 1903 als Client (Domänenumgebung) getestet.

Damit die Network Protection genutzt werden kann, müssen folgende Anforderungen erfüllt sein:

  • Windows 10 Pro oder Enterprise ab Version 1709
  • Windows Defender Echtzeitschutz (standardmäßig aktiviert)
  • Windows Defender Cloudbasierter Schutz (standardmäßig aktiviert)

Die Network Protection kann auf folgenden Wegen aktiviert werden:

  • Microsoft Intune (Teil dieses Artikels)
  • Mobile Device Management (MDM)
  • Gruppenrichtlinien (Teil dieses Artikels)
  • System Center Configuration Manager
  • Windows PowerShell (Teil dieses Artikels)

Network Protection über Gruppenrichtlinien konfigurieren

Um die Network Protection über Gruppenrichtlinien zu aktivieren, muss zunächst die Gruppenrichtlinienverwaltung aufgerufen werden. Die lokale Gruppenrichtlinienverwaltung auf einen einzelnen PC beispielsweise lässt sich über gpedit.msc aufrufen. Die Gruppenrichtlinie ist schließlich hier zu finden:

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard > Netzwerkschutz

Über eine GPO kann die Windows Defender Network Protection konfiguriert werden.

Die Richtlinie "Benutzer- und App-Zugriff auf gefährliche Websites verhindern" muss schließlich aktiviert und konfiguriert werden:

Die GPO bietet verschiedene Einstellungsmöglichkeiten an.

Die Richtlinie bietet zwei wesentliche Einstellungsmöglichkeiten:

  • Blockieren: Gefährliche Websites werden blockiert und der Anwender bekommt eine Notification.
  • Überwachungsmodus: Gefährliche Websites können aufgerufen werden, werden aber in der Ereignisanzeige von Windows protokolliert.

Network Protection über PowerShell konfigurieren

Mit einer administrativen PowerShell kann die Network Protection wie folgt aktiviert werden:

Set-MpPreference -EnableNetworkProtection Enabled

Neben Enabled können noch Disabled und AuditMode verwendet werden.

Network Protection über Intune konfigurieren

Wer im Unternehmensumfeld Intune verwendet, muss sich zunächst im entsprechenden Portal mit entsprechenden Rechten anmelden: https://devicemanagement.microsoft.com

Dort kann dann schließlich unter Geräte > Konfigurationsprofile ein neues Profil erstellt werden:

Intune Windows Defender Network Protection konfigurieren
Mit einem entsprechenden Konfigurationsprofil kann die Network Protection auch über Intune aktiviert werden.

Anschließend muss das Profil nur noch einer Gruppe von Geräten zugewiesen werden.

Network Protection testen

Damit die Network Protection auf korrekte Funktionsweise getestet werden kann, hat Microsoft eine entsprechende Testseite eingerichtet: https://smartscreentestratings2.net

Wenn diese, und natürlich auch jede andere bekannte bösartige Website besucht wird, und konfiguriert wurde, dass die Verbindungen blockiert werden sollen, lässt sich die Website nicht aufrufen und es erscheint folgende Meldung:

Windows Defender Network Protection
Bei aktivierter Network Protection erscheint eine entsprechende Meldung.

Wenn die Verbindung blockiert wurde oder wenn konfiguriert wurde, dass bösartige Verbindungen nur protokolliert werden sollen (Überwachungsmodus), ist das in der Ereignisanzeige unter Windows unter den Ereignis-IDs 1125 (nur protokollieren, Überwachungsmodus) und 1126 (Verbindung blockieren) zu finden:

Bösartige Verbindungen werden schließlich in der Ereignisanzeige protokolliert.
Wer die Network Protection auf "Nur protokollieren" konfiguriert hat, kann an dem entsprechenden Ereignis in der Ereignisanzeige eine Aufgabe koppeln, damit man aktiv informiert, wenn eine bösartige Verbindung aufgebaut wurde.

Weiterführende Links
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/evaluate-network-protection
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/network-protection
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-network-protection
https://demo.wd.microsoft.com/Page/NP

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.