Freigeben über

Einrichten authentifizierter Netzwerküberprüfungen in Microsoft Defender for Endpoint

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Vulnerability Management

Authentifizierte Netzwerkscans bieten eine Möglichkeit ohne Agent, Netzwerkinfrastrukturgeräte wie Switches, Router, WLAN-Controller, Firewalls und VPN-Gateways zu ermitteln und zu bewerten.

Weitere Informationen finden Sie unter Authentifizierte Netzwerkscans.

Hinweis

Die windows-authentifizierte Überprüfung ist ab dem 18. Dezember 2025 veraltet. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der veralteten Windows-Überprüfung.

Voraussetzungen

Zum Konfigurieren von Scanaufträgen benötigen Sie die Berechtigung Sicherheitseinstellungen in Defender verwalten . Weitere Informationen finden Sie unter Erstellen und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung.

Unterstützte Geräte

Jedes Netzwerkgerät, das auf SNMPv2- oder SNMPv3-Abfragen antwortet, kann durch authentifizierte Netzwerkscans ermittelt werden. Es wird empfohlen, alle Netzwerkgeräte unabhängig vom Hersteller oder Betriebssystem für die Überprüfung zu konfigurieren.

Unterstützte Windows-Versionen für den Scanner

Der Scanner wird unter Windows 10 Version 1903 und Windows Server Version 1903 und höher unterstützt. Weitere Informationen finden Sie unter Windows 10, Version 1903 und Windows Server, Version 1903.

Hinweis

Sie können bis zu 40 Scanner pro Mandant installieren.

Scannergerät auswählen

So wählen Sie ein Gerät aus, das die authentifizierten Netzwerkscans durchführt:

  • Entscheiden Sie sich für ein integriertes Defender für Endpunkt-Gerät (Client oder Server), das über eine Netzwerkverbindung mit dem Verwaltungsport für die Netzwerkgeräte verfügt, die Sie überprüfen möchten.

  • Lassen Sie SNMP-Datenverkehr zwischen dem Defender für Endpunkt-Scangerät und den Zielnetzwerkgeräten (z. B. durch die Firewall) zu.

  • Entscheiden Sie, welche Netzwerkgeräte auf Sicherheitsrisiken geprüft werden (z. B. ein Cisco Switch oder eine Palo Alto Networks-Firewall).

  • Stellen Sie sicher, dass snmp schreibgeschützt auf allen konfigurierten Netzwerkgeräten aktiviert ist, damit das Defender für Endpunkt-Scangerät die konfigurierten Netzwerkgeräte abfragen kann. SNMP write ist für die ordnungsgemäße Funktionalität dieses Features nicht erforderlich.

  • Rufen Sie die IP-Adressen der zu überprüfenden Netzwerkgeräte ab (oder die Subnetze, in denen diese Geräte bereitgestellt werden).

  • Rufen Sie die SNMP-Anmeldeinformationen der Netzwerkgeräte ab (z. B. Community String, noAuthNoPriv, authNoPriv, authPriv). Sie müssen die Anmeldeinformationen angeben, wenn Sie einen neuen Scanauftrag konfigurieren.

  • Proxyclientkonfiguration: Außer den Proxyanforderungen für Defender für Endpunkt-Geräte ist keine zusätzliche Konfiguration erforderlich.

  • Fügen Sie die folgenden Domänen/URLs hinzu, damit der Scanner authentifiziert und ordnungsgemäß funktioniert:

    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Hinweis

    In der dokumentierten Liste der zulässigen Datensammlungen von Defender für Endpunkt sind nicht alle URLs angegeben.

Installieren des Scanners

  1. Wählen Sie im Microsoft Defender Portal Einstellungen>Geräteermittlung>Authentifizierte Überprüfungen aus.

  2. Laden Sie den Scanner herunter, und installieren Sie ihn auf dem angegebenen Defender für Endpunkt-Scangerät.

    Screenshot des Bildschirms

Registrieren des Scanners

Sie können die Registrierung auf dem angegebenen Scangerät oder jedem anderen Gerät (z. B. Ihrem persönlichen Clientgerät) abschließen.

Das Konto, mit dem sich der Benutzer anmeldet, und das Gerät, das zum Abschließen des Anmeldevorgangs verwendet wird, muss sich in demselben Mandanten befinden, in dem das Gerät in Microsoft Defender for Endpoint integriert ist.

So schließen Sie den Registrierungsprozess für den Scanner ab:

  1. Kopieren Sie die URL, die in der Befehlszeile angezeigt wird, und befolgen Sie sie, und verwenden Sie den bereitgestellten Installationscode, um den Registrierungsvorgang abzuschließen. Möglicherweise müssen Sie die Eingabeaufforderungseinstellungen ändern, um die URL zu kopieren.

  2. Geben Sie den Code ein, und melden Sie sich mit einem Microsoft-Konto an, das über die Berechtigung Sicherheitseinstellungen in Defender verwalten verfügt.

Wenn Sie fertig sind, sollte eine Meldung angezeigt werden, die bestätigt, dass Sie sich angemeldet haben.

Hinweis

Eine geplante Aufgabe, die nach Updates sucht, wird regelmäßig ausgeführt. Wenn der Task ausgeführt wird, wird die Version des Scanners auf dem Clientgerät mit der Version des Agents am Updatespeicherort verglichen. Der Updatespeicherort ist der Ort, an dem Windows nach Updates sucht, z. B. auf einer Netzwerkfreigabe oder aus dem Internet.

Wenn ein Unterschied zwischen den beiden Versionen besteht, wird im Updateprozess ermittelt, welche Dateien unterschiedlich sind und auf dem lokalen Computer aktualisiert werden müssen. Sobald die erforderlichen Updates ermittelt wurden, wird der Download der Updates gestartet.

Konfigurieren einer neuen authentifizierten Netzwerküberprüfung

  1. Wählen Sie im Microsoft Defender Portal Einstellungen>Geräteermittlung>Authentifizierte Überprüfungen aus.

  2. Wählen Sie Neue Überprüfung hinzufügen und dann Überprüfung mit Netzwerkgerätauthentifizierung aus, und wählen Sie Weiter aus.

    Screenshot des Bildschirms

  3. Wählen Sie aus, ob scan aktiviert werden soll.

  4. Geben Sie einen Scannamen ein.

  5. Wählen Sie das Gerät scannen aus: Das integrierte Gerät, das Sie zum Scannen der Netzwerkgeräte verwenden.

  6. Geben Sie das Ziel (Bereich) ein: Die IP-Adressbereiche oder Hostnamen, die Sie überprüfen möchten. Sie können entweder die Adressen eingeben oder eine CSV-Datei importieren. Beim Importieren einer Datei werden alle manuell hinzugefügten Adressen überschrieben.

  7. Wählen Sie das Scanintervall aus: Standardmäßig wird die Überprüfung alle vier Stunden ausgeführt. Sie können das Überprüfungsintervall ändern oder es nur einmal ausführen lassen, indem Sie Nicht wiederholen auswählen.

  8. Wählen Sie Ihre Authentifizierungsmethode aus.

    Sie können azure KeyVault zum Bereitstellen von Anmeldeinformationen verwenden auswählen: Wenn Sie Ihre Anmeldeinformationen in Azure KeyVault verwalten, können Sie die Azure KeyVault-URL eingeben und Azure KeyVault-Geheimnisnamen, auf den das überprüfende Gerät zugreifen kann, um Anmeldeinformationen bereitzustellen. Der Geheimniswert hängt von der gewählten Methode ab, wie in der folgenden Tabelle beschrieben:

    Authentifizierungsmethode Azure KeyVault-Geheimniswert
    AuthPriv Nutzername; AuthPassword; PrivPassword
    AuthNoPriv Nutzername; AuthPassword
    CommunityString CommunityString

  9. Wählen Sie Weiter aus, um den Testscan auszuführen oder zu überspringen.

  10. Wählen Sie Weiter aus, um die Einstellungen zu überprüfen, und wählen Sie Senden aus, um den Authentifizierungsscan Ihres neuen Netzwerkgeräts zu erstellen.

Hinweis

Um eine Geräteduplizierung im Netzwerkgerätebestand zu verhindern, stellen Sie sicher, dass jede IP-Adresse nur einmal für mehrere Scangeräte konfiguriert ist.

Überprüfen und Hinzufügen von Netzwerkgeräten

Während des Setupvorgangs können Sie einen einmaligen Testscan durchführen, um Folgendes zu überprüfen:

  • Es besteht Konnektivität zwischen dem Defender für Endpunkt-Scangerät und den konfigurierten Zielnetzwerkgeräten.
  • Die konfigurierten SNMP-Anmeldeinformationen sind richtig.

Jedes Scangerät kann bis zu 1.500 erfolgreiche IP-Adressenscans unterstützen. Wenn Sie beispielsweise 10 verschiedene Subnetze überprüfen, bei denen nur 100 IP-Adressen erfolgreiche Ergebnisse zurückgeben, können Sie 1.400 IP-Adressen aus anderen Subnetzen auf demselben Scangerät überprüfen.

Wenn mehrere IP-Adressbereiche/Subnetze zu überprüfen sind, dauert es einige Minuten, bis die Testscanergebnisse angezeigt werden. Ein Testscan ist für bis zu 1.024 Adressen verfügbar.

Wenn die Ergebnisse angezeigt werden, können Sie auswählen, welche Geräte in die regelmäßige Überprüfung einbezogen werden sollen. Wenn Sie die Anzeige der Überprüfungsergebnisse überspringen, werden alle konfigurierten IP-Adressen zum authentifizierten Scan des Netzwerkgeräts hinzugefügt (unabhängig von der Antwort des Geräts). Die Scanergebnisse können auch exportiert werden.

Anzeigen von Netzwerkgeräten im Gerätebestand

Neu ermittelte Geräte werden unter dem Gerätebestand auf der neuen Registerkarte Netzwerkgeräte angezeigt. Nach dem Hinzufügen eines Scanauftrags kann es bis zu zwei Stunden dauern, bis die Geräte aktualisiert werden.

Screenshot der Registerkarte

  • Last updated on