Innerhalb des Organisationsnetzwerk wird der Traffic meist durch eine interne Firewall überwacht. Ist das Gerät aber ausserhalb der "vier Wände" und kein VPN, Proxy oder Dritt-Tool für die Überwachung des Internetverkehrs im Einsatz, so kann sich der Endbenutzer im Internet frei bewegen. Dies ist nicht immer gewünscht. Dazu kannst du aber mit relativ wenig Aufwand den Webfilter im Defender for Endpoint und auch im Defender for Business konfigurieren.
Table of Contents
- Voraussetzungen
- Feature aktivieren
- Smartscreen und Network Protection mit Intune aktivieren
- Richtlinie erstellen & zuweisen
- Verhalten überwachen
- Ausnahmen definieren
- User Experience
Voraussetzungen
Eine dieser Lizenzen:
- Windows 10/11 Enterprise E5
- Microsoft 365 E5
- Microsoft 365 E5 Security
- Microsoft 365 E3
- Microsoft Defender for Endpoint Plan 1 or Plan 2
- Microsoft Defender for Business
- Microsoft 365 Business Premium
Betriebssystem:
- Windows 11
- Windows 10 (version 1607 oder neuer)
Konfiguration:
- Smart Screen - aktiv
- Network Protection - aktiv
Feature aktivieren
Aktiver ist das feature ganz schnell im Security Center unter:
Settings > Endpoints > Advanced features > Web content filtering
Smartscreen und Network Protection mit Intune aktivieren
Die beiden Richtlinien kannst du an verschiedenen Orten aktivieren. Ich zeige dir hier, wie du beide in einem "Setting catalog" Profil aktivieren kannst. Weitere Möglichkeiten sind via "Security Baseline", Antivirus Profil oder mit einer klassischen GPO.
Erstelle dazu ein neues Profil:
Intune > Devices > Windows > Configuration profiles > + Create profile
(Windows 10 and later / Settings catalog)
Nun fügst du eine Option hinzu und suchst anschliessend nach "Configure Microsoft Defender SmartScreen":
Im Anschluss fügst du auf die gleiche Weise die "Network protection" hinzu:
Sind beide Einstellungen hinzugefügt, aktivierst du sie wie folgt:
Zum Schluss weisst du die Richtlinie nur noch einer gewünschten Gerätegruppe zu.
Richtlinie erstellen & zuweisen
Eine Richtline kannst du nun ebenfalls in den Endpoint Einstellungen des Security Centers erstellen:
Settings > Endpoints > Web content filtering
Falls du die Option erst grade aktiviert hast und der Menüpunkt nicht ersichtlich sein sollte, melde dich am besten einmal neu an.
Bei der Erstellung kannst du auswählen, welche Kategorien gesperrt werden sollen. Alle Kategorien, die du nicht auswählst, werden überwacht. Wenn du keine Kategorie zum Blockieren definierst wird läuft die Richtline im Audit-Modus.
Hier eine Übersicht zu allen Kategorien inklusive Unterkategorien:
Im Defender for Business sind dies bereits alle Einstellungen, die du machen musst, beziehungsweise machen kannst. Sie werden direkt auf alle Geräte angewendet.
Im Defender for Endpoint hast du zusätzlich die Möglichkeit, Webfilter Richtlinien nur auf gewisse Scopes anzuwenden.
Wie die Scopes funktionieren und wo du sie erstellen kannst, habe ich dir hier zusammengestellt:
Defender for Endpoint Scope-Tag via Intune | scloud
Verhalten überwachen
Im Security Center fast zuunterst findest du die Reports un in diesen den Punkt "Web protection".
Hier hast du eine schöne visualisierte Übersicht über Zugriffe, Blockaden und was betroffen war:
Mit einem Klick auf die Details wird dir auch genauer angezeigt, von welcher Unterkategorie, Domäne oder Gruppe die Zugriffe blockiert oder nur überwacht wurden:
Ausnahmen definieren
Ausnahmen fügst du in den "Indicators" hinzu:
Settings > Endpoints > Indicators > URLs/Domains > + Add item
Du kannst ganze Domänen oder spezifische URLs freigeben. Zusätzlich kannst du definieren, ob diese komplett ignoriert werden, überwacht, gewarnt oder immer gebockt werden.
User Experience
Je nach Browser werden geblockte Inhalte unterschiedlich angezeigt. Im Wesentlichen gibt es zwei Unterschiede, Edge mit Smart Screen und alle anderen Browser, die über die "Network Protection" geschützt werden.
Microsoft Edge - Webfilter
3rd Party Browser - Webfilter
Wie beispielweise Google Chrome, Mozilla Firefox oder Opera.
