Netzwerkschutz in Defender Exploit Guard konfigurieren


    Tags: ,

    Windows DefenderEines der Features von Defender Exploit Guard ist der so genannte Netz­werk­schutz ("Network Protection"). Es blockiert die Kommunikation mit gefährlichen Domänen oder IP-Adressen auf System­ebene und somit für alle Anwendungen. Der Netzwerk­schutz lässt sich über Gruppen­richt­linien, PowerShell oder Intune konfigurieren.

    Unter dem Begriff Exploit Guard (nicht zu verwechseln mit dem Exploit-Schutz) versammelt Microsoft mehrere Techniken zur Abwehr von Phishing-Angriffen und Malware. Dazu gehören der Überwachte Ordnerzugriff, die Reduktion der Angriffsfläche sowie der Netzwerkschutz.

    Letzterer ist ein enger Verwandter von SmartScreen, das ebenfalls den Zugriff auf bedrohliche Websites unterbinden oder zumindest davor warnen kann. Dieses Feature beschränkt sich indes nur auf Microsofts Web-Browser.

    Systemweites Blockieren unliebsamer Sites

    Der Netzwerkschutz hingegen operiert als Filtertreiber auf Kernel-Ebene und betrifft  daher alle Anwendungen auf dem gesamten Network-Stack. Um die Reputation einer Domäne oder einer IP-Adresse zu bewerten, greift er auf den gleichen Intelligent Security Graph zurück wie SmartScreen.

    Wie dieses lässt sich der Netzwerk­schutz auf zwei Arten betreiben. Im Überwachungs­modus beschränkt er sich darauf, die Benutzer vor möglichen Gefahren zu warnen und einen Eintrag in das Eventlog zu schreiben. Alternativ kann man das Feature so konfigurieren, dass es Verbindungen zu bedrohlichen Hosts blockiert.

    Netzwerkschutz konfigurieren

    Der Schutz­mechanismus ist standardmäßig nicht aktiviert und lässt sich nicht über die App Einstellungen oder eine andere GUI konfigurieren. Um ihn nutzen zu können, müssen folgende Voraus­setzungen gegeben sein.

    • Windows 10 / 11 (Pro oder Enterprise), Windows Server 1803 oder neuer
    • Der Echtzeitschutz von Defender Antivirus muss aktiviert sein
    • Cloudbasierter Schutz
    • Die Clients müssen in der Lage sein, .smartscreen.microsoft.com und .smartscreen-prod.microsoft.com zu kontaktieren.

    Network Protection verlangt, dass der Echtzeitschutz und der Cloudbasierte Schutz aktiviert sind.

    PowerShell

    Die einzige Möglichkeit für die interaktive Konfiguration von Network Protection bietet PowerShell. Mit Hilfe des Cmdlets Get-MpPreference kann man den aktuellen Status des Features anzeigen:

    Get-MpPreference | select *NetworkProtection* | Format-List

    Verfügbare Einstellungen für den Netzwerkschutz

    Die Ausgabe des Befehls enthält gleich vier Einstellungen. Über EnableNetwork­Protection kann man den Netzwerkschutz einschalten, und zwar wahlweise mit den Werten Enabled oder AuditMode:

    Set-MpPreference -EnableNetworkProtection Enabled

    Mit Allow­Network­Protection­OnWinServer kann man die Aktivierung des Features auf einem Windows Server erlauben. Standardmäßig ist dies nicht möglich, so dass man erst

    Set-MpPreference -AllowNetworkProtectionOnWinServer $true

    ausführen muss.

    Network Protection sendet anonymisierte Performance-Daten betreffend die überwachten Verbindungen an Microsoft. Mit

    Set-MpPreference -DisableNetworkProtectionPerfTelemetry $true

    kann man das verhindern. Die Einstellung Allow­Network­Protection­DownLevel diente dazu, den Netzwerk­schutz auch für Versionen von Windows 10 älter als 1709 zu aktivieren. Dies ist mittlerweile jedoch hinfällig.

    Gruppenrichtlinien

    Die Gruppenrichtlinien bieten unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus => Microsoft Defender Exploit Guard => Netzwerkschutz zwei Einstellungen:

    • Benutzer- und App-Zugriff auf gefährliche Websites verhindern ("Prevent users and apps from accessing dangerous websites")
    • Mit dieser Einstellung wird gesteuert, ob der Netzwerkschutz für den Block- oder Überwachungs­modus unter Windows Server konfiguriert werden darf ("This settings controls whether Network Protection is allowed to be configured into block or audit mode on Windows Server").

    Netzwerkschutz über Gruppenrichtlinien aktivieren, Modus auswählen

    Wenn man die erste der beiden aktiviert, dann kann man zwischen dem Überwachungs- und Blockiermodus wählen. Bei der zweiten handelt es sich um das Gegenstück zur oben beschriebenen Eigenschaft Allow­Network­Protection­OnWinServer in PowerShell.

    Zusammenfassung

    Beim Netzwerkschutz handelt es sich um einen weiteren Mechanismus im Rahmen von Exploit Guard. Er erweitert den von SmartScreen bekannten Schutz vor bösartigen Websites und zweifel­haften Domänen vom Web-Browser auf alle Applikationen.

    Standardmäßig ist das Feature abgeschaltet und lässt sich über mehrere Wege konfigurieren, allerdings nicht über eine GUI. Dazu zählen neben den hier besprochenen PowerShell und Gruppen­richtlinien etwa noch Intune oder SCCM.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links