Netzwerkschutz in Defender Exploit Guard konfigurieren

Letzterer ist ein enger Verwandter von SmartScreen, das ebenfalls den Zugriff auf bedrohliche Websites unterbinden oder zumindest davor warnen kann. Dieses Feature beschränkt sich indes nur auf Microsofts Web-Browser.

Systemweites Blockieren unliebsamer Sites

Der Netzwerkschutz hingegen operiert als Filtertreiber auf Kernel-Ebene und betrifft  daher alle Anwendungen auf dem gesamten Network-Stack. Um die Reputation einer Domäne oder einer IP-Adresse zu bewerten, greift er auf den gleichen Intelligent Security Graph zurück wie SmartScreen.

Wie dieses lässt sich der Netzwerk­schutz auf zwei Arten betreiben. Im Überwachungs­modus beschränkt er sich darauf, die Benutzer vor möglichen Gefahren zu warnen und einen Eintrag in das Eventlog zu schreiben. Alternativ kann man das Feature so konfigurieren, dass es Verbindungen zu bedrohlichen Hosts blockiert.

Netzwerkschutz konfigurieren

Der Schutz­mechanismus ist standardmäßig nicht aktiviert und lässt sich nicht über die App Einstellungen oder eine andere GUI konfigurieren. Um ihn nutzen zu können, müssen folgende Voraus­setzungen gegeben sein.

• Windows 10 / 11 (Pro oder Enterprise), Windows Server 1803 oder neuer
• Der Echtzeitschutz von Defender Antivirus muss aktiviert sein
• Cloudbasierter Schutz
• Die Clients müssen in der Lage sein, .smartscreen.microsoft.com und .smartscreen-prod.microsoft.com zu kontaktieren.

PowerShell

Die einzige Möglichkeit für die interaktive Konfiguration von Network Protection bietet PowerShell. Mit Hilfe des Cmdlets Get-MpPreference kann man den aktuellen Status des Features anzeigen:

Get-MpPreference | select *NetworkProtection* | Format-List

Die Ausgabe des Befehls enthält gleich vier Einstellungen. Über EnableNetwork­Protection kann man den Netzwerkschutz einschalten, und zwar wahlweise mit den Werten Enabled oder AuditMode:

Set-MpPreference -EnableNetworkProtection Enabled

Mit Allow­Network­Protection­OnWinServer kann man die Aktivierung des Features auf einem Windows Server erlauben. Standardmäßig ist dies nicht möglich, so dass man erst

Set-MpPreference -AllowNetworkProtectionOnWinServer $true

ausführen muss.

Network Protection sendet anonymisierte Performance-Daten betreffend die überwachten Verbindungen an Microsoft. Mit

Set-MpPreference -DisableNetworkProtectionPerfTelemetry $true

kann man das verhindern. Die Einstellung Allow­Network­Protection­DownLevel diente dazu, den Netzwerk­schutz auch für Versionen von Windows 10 älter als 1709 zu aktivieren. Dies ist mittlerweile jedoch hinfällig.

Gruppenrichtlinien

Die Gruppenrichtlinien bieten unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Netzwerkschutz zwei Einstellungen:

• Benutzer- und App-Zugriff auf gefährliche Websites verhindern ("Prevent users and apps from accessing dangerous websites")
• Mit dieser Einstellung wird gesteuert, ob der Netzwerkschutz für den Block- oder Überwachungs­modus unter Windows Server konfiguriert werden darf ("This settings controls whether Network Protection is allowed to be configured into block or audit mode on Windows Server").

Wenn man die erste der beiden aktiviert, dann kann man zwischen dem Überwachungs- und Blockiermodus wählen. Bei der zweiten handelt es sich um das Gegenstück zur oben beschriebenen Eigenschaft Allow­Network­Protection­OnWinServer in PowerShell.

Zusammenfassung

Beim Netzwerkschutz handelt es sich um einen weiteren Mechanismus im Rahmen von Exploit Guard. Er erweitert den von SmartScreen bekannten Schutz vor bösartigen Websites und zweifel­haften Domänen vom Web-Browser auf alle Applikationen.

Standardmäßig ist das Feature abgeschaltet und lässt sich über mehrere Wege konfigurieren, allerdings nicht über eine GUI. Dazu zählen neben den hier besprochenen PowerShell und Gruppen­richtlinien etwa noch Intune oder SCCM.