Seit Windows 10 Version 1709 bringt der Windows Defender eine sogenannte Network Protection, oder auf deutsch "Netzwerkschutz", mit. Die Windows Defender Network Protection ist dazu gedacht, den Zugriff auf gefährliche Domains zu sperren, die Phishing-Betrügereien, Exploits und andere bösartige Inhalte im Internet beinhalten.
Damit die Network Protection genutzt werden kann, müssen folgende Anforderungen erfüllt sein:
- Windows 10 Pro oder Enterprise ab Version 1709
- Windows Defender Echtzeitschutz (standardmäßig aktiviert)
- Windows Defender Cloudbasierter Schutz (standardmäßig aktiviert)
Die Network Protection kann auf folgenden Wegen aktiviert werden:
- Microsoft Intune (Teil dieses Artikels)
- Mobile Device Management (MDM)
- Gruppenrichtlinien (Teil dieses Artikels)
- System Center Configuration Manager
- Windows PowerShell (Teil dieses Artikels)
Inhaltsverzeichnis
Network Protection über Gruppenrichtlinien konfigurieren
Um die Network Protection über Gruppenrichtlinien zu aktivieren, muss zunächst die Gruppenrichtlinienverwaltung aufgerufen werden. Die lokale Gruppenrichtlinienverwaltung auf einen einzelnen PC beispielsweise lässt sich über gpedit.msc aufrufen. Die Gruppenrichtlinie ist schließlich hier zu finden:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard > Netzwerkschutz
Die Richtlinie "Benutzer- und App-Zugriff auf gefährliche Websites verhindern" muss schließlich aktiviert und konfiguriert werden:
Die Richtlinie bietet zwei wesentliche Einstellungsmöglichkeiten:
- Blockieren: Gefährliche Websites werden blockiert und der Anwender bekommt eine Notification.
- Überwachungsmodus: Gefährliche Websites können aufgerufen werden, werden aber in der Ereignisanzeige von Windows protokolliert.
Network Protection über PowerShell konfigurieren
Mit einer administrativen PowerShell kann die Network Protection wie folgt aktiviert werden:
Set-MpPreference -EnableNetworkProtection Enabled
Neben Enabled können noch Disabled und AuditMode verwendet werden.
Network Protection über Intune konfigurieren
Wer im Unternehmensumfeld Intune verwendet, muss sich zunächst im entsprechenden Portal mit entsprechenden Rechten anmelden: https://devicemanagement.microsoft.com
Dort kann dann schließlich unter Geräte > Konfigurationsprofile ein neues Profil erstellt werden:
Anschließend muss das Profil nur noch einer Gruppe von Geräten zugewiesen werden.
Network Protection testen
Damit die Network Protection auf korrekte Funktionsweise getestet werden kann, hat Microsoft eine entsprechende Testseite eingerichtet: https://smartscreentestratings2.net
Wenn diese, und natürlich auch jede andere bekannte bösartige Website besucht wird, und konfiguriert wurde, dass die Verbindungen blockiert werden sollen, lässt sich die Website nicht aufrufen und es erscheint folgende Meldung:
Wenn die Verbindung blockiert wurde oder wenn konfiguriert wurde, dass bösartige Verbindungen nur protokolliert werden sollen (Überwachungsmodus), ist das in der Ereignisanzeige unter Windows unter den Ereignis-IDs 1125 (nur protokollieren, Überwachungsmodus) und 1126 (Verbindung blockieren) zu finden:
Weiterführende Links
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/evaluate-network-protection
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/network-protection
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-network-protection
https://demo.wd.microsoft.com/Page/NP