So geht’s: Eine einfache Anleitung für den MS Defender – wie Sie spezifische URLs ausschließen

In der heutigen digitalen Landschaft ist der Schutz unserer Systeme vor Cyberbedrohungen wichtiger denn je. Microsoft Defender (früher Windows Defender) ist ein integraler Bestandteil von Windows und bietet einen robusten, mehrschichtigen Schutz vor Viren, Malware, Ransomware und Phishing-Angriffen. Doch was passiert, wenn dieser Schutzmechanismus eine vertrauenswürdige Website blockiert oder ein internes Tool fälschlicherweise als Bedrohung einstuft? In solchen Fällen kann es notwendig sein, spezifische URLs auszuschließen, damit diese vom Defender ignoriert werden. Dieser Artikel führt Sie detailliert durch die verschiedenen Methoden, wie Sie dies bewerkstelligen können, und klärt wichtige Missverständnisse.

Was ist Microsoft Defender und wie schützt er?

Microsoft Defender ist die integrierte Antiviren- und Antimalware-Lösung von Windows. Er arbeitet im Hintergrund und schützt Ihr System durch verschiedene Mechanismen:

• Echtzeitschutz: Überwacht kontinuierlich Dateien und Prozesse auf verdächtiges Verhalten.
• Cloud-basierter Schutz: Nutzt Microsofts globale Bedrohungsintelligenz, um neue Bedrohungen schnell zu erkennen.
• SmartScreen: Warnt vor potenziell gefährlichen Websites und Downloads, indem er die Reputation von URLs und Dateien überprüft.
• Netzwerkschutz: Blockiert den Zugriff auf gefährliche Domains und IP-Adressen, die für Phishing oder Malware-Verteilung bekannt sind, auf Netzwerkebene.
• Attack Surface Reduction (ASR) Regeln: Verhindern häufige Verhaltensweisen, die von Malware ausgenutzt werden, wie das Starten ausführbarer Inhalte aus dem Web oder das Blockieren von Office-Anwendungen, die Makros aus dem Internet erstellen.

Gerade der SmartScreen und der Netzwerkschutz sind relevant, wenn es um das Blockieren von URLs geht.

Warum sollte man URLs ausschließen? (Und wann nicht!)

Das Ausschließen von URLs ist eine mächtige Funktion, die jedoch mit Vorsicht eingesetzt werden sollte. Es gibt legitime Gründe dafür:

• False Positives: Der Defender identifiziert eine sichere, vertrauenswürdige Website fälschlicherweise als gefährlich. Dies kann bei neuen Websites, internen Entwicklungsseiten oder sehr spezifischen Web-Anwendungen vorkommen.
• Interne Anwendungen/Umgebungen: Unternehmen nutzen oft interne Webserver, Testumgebungen oder spezielle Software, deren Verhalten vom Defender möglicherweise fälschlicherweise als verdächtig eingestuft wird.
• Kompatibilität: Manchmal verhindern die Schutzmechanismen des Defenders, dass bestimmte Anwendungen oder Dienste korrekt funktionieren, wenn sie mit spezifischen URLs kommunizieren müssen.

Wichtige Warnung: Schließen Sie niemals eine URL aus, der Sie nicht zu 100 % vertrauen. Ein Ausschluss schafft eine Lücke in Ihrer Sicherheitskette. Überprüfen Sie immer die Quelle und den Grund für eine Blockierung gründlich, bevor Sie einen Ausschluss hinzufügen.

Missverständnis klären: URL-Ausschlüsse für Heimanwender

Für den normalen Heimanwender, der lediglich die Windows-Sicherheitsoberfläche (früher Windows Defender Security Center) nutzt, ist der Begriff „URL ausschließen” oft irreführend. Die direkte Funktion „Ausschlüsse hinzufügen oder entfernen” in den Einstellungen für „Viren- & Bedrohungsschutz” ist primär für Dateien, Ordner, Dateitypen oder Prozesse gedacht. Hier können Sie keine spezifischen Webadressen hinterlegen.

Wenn ein Heimanwender beim Surfen eine Warnung erhält, ist in den meisten Fällen der SmartScreen-Filter des Browsers (Microsoft Edge) oder von Windows selbst aktiv. Dieser warnt Sie, bevor Sie eine potenziell schädliche Website besuchen oder eine unsichere Datei herunterladen. In solchen Fällen haben Sie in der Regel die Option, die Warnung zu übergehen („Trotzdem fortfahren” oder „Als sicher melden”), aber dies ist keine dauerhafte, systemweite „Ausschlussliste” für URLs im Defender-Sinne. Es ist eine einmalige Entscheidung für diese spezifische Warnung.

Für echte, dauerhafte und systemweite URL-Ausschlüsse auf Netzwerkebene müssen wir uns tiefer in die erweiterten Funktionen des Microsoft Defender, insbesondere den Netzwerkschutz und die Attack Surface Reduction (ASR) Regeln, begeben. Diese werden in der Regel in verwalteten Umgebungen über Gruppenrichtlinien (GPO) oder Microsoft Intune konfiguriert.

Der wahre Weg zu URL-Ausschlüssen: Für Unternehmen und fortgeschrittene Nutzer

In professionellen Umgebungen, in denen der Microsoft Defender zentral verwaltet wird, können Sie spezifische URLs von den Schutzmechanismen des Netzwerkschutzes und den ASR-Regeln ausnehmen. Hierfür gibt es drei Hauptmethoden:

Methode 1: Über Gruppenrichtlinien (GPO)

Die Gruppenrichtlinienverwaltung ist das klassische Werkzeug in Windows-Domänen, um Systemeinstellungen zentral zu konfigurieren. Dies ist der empfohlene Weg für Unternehmensnetzwerke.

Für lokale Gruppenrichtlinien (Einzelplatz-PC oder Workgroup):

1. Drücken Sie Win + R, geben Sie gpedit.msc ein und drücken Sie Enter, um den Editor für lokale Gruppenrichtlinien zu öffnen.
2. Navigieren Sie im linken Bereich zu:
   Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus > Netzwerkschutz.
3. Suchen Sie im rechten Bereich die Einstellung „URLs für Netzwerkschutz ausschließen”.
4. Doppelklicken Sie darauf, um die Einstellung zu bearbeiten.
5. Wählen Sie „Aktiviert” aus.
6. Klicken Sie unter „Optionen” auf die Schaltfläche „Anzeigen…”.
7. In dem neuen Fenster können Sie nun die spezifischen URLs oder IP-Adressen eingeben, die vom Netzwerkschutz ausgeschlossen werden sollen. Jede URL/IP sollte in einer neuen Zeile stehen. Verwenden Sie vollständige URLs (z.B. https://www.meineseite.de oder 192.168.1.100).
8. Klicken Sie auf „OK”, dann auf „Übernehmen” und erneut auf „OK”.
9. Damit die Änderungen wirksam werden, können Sie den Befehl gpupdate /force in einer erhöhten Eingabeaufforderung ausführen oder den Computer neu starten.

Hinweis zu ASR-Regeln: Wenn die Blockade durch eine ASR-Regel verursacht wird, müssen Sie an einer anderen Stelle ausschließen:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Attack Surface Reduction. Hier finden Sie die Einstellung „Dateien und Pfade von Attack Surface Reduction-Regeln ausschließen”. Dies ist jedoch eher für lokale Dateien oder ausführbare Anwendungen gedacht und weniger für spezifische URLs. Sollte eine ASR-Regel den Zugriff auf eine bestimmte URL blockieren (z.B. „Blockieren der Ausführung ausführbarer Dateien, es sei denn, sie stammen von einer vertrauenswürdigen Quelle”), dann müssten Sie unter Umständen die aufrufende Anwendung oder den Pfad ausschließen, nicht die URL selbst.

Methode 2: Über Microsoft Intune (Endpoint Manager)

Für Organisationen, die ihre Geräte über die Cloud verwalten, ist Microsoft Intune (Teil von Microsoft Endpoint Manager) die zentrale Plattform. Hier können Sie Richtlinien für den Microsoft Defender konfigurieren und auch URL-Ausschlüsse definieren.

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Navigieren Sie im linken Bereich zu „Endpunktsicherheit” (Endpoint security).
3. Wählen Sie „Angriffsflächenreduzierung” (Attack surface reduction) oder „Antivirus” aus, je nachdem, welche Art von Ausschluss Sie vornehmen möchten. Für Netzwerkschutz ist „Angriffsflächenreduzierung” der richtige Ort.
4. Klicken Sie auf „Richtlinie erstellen” (Create Policy).
5. Wählen Sie als Plattform „Windows 10 und höher” und als Profil „Angriffsflächenreduzierung” (Attack Surface Reduction). Klicken Sie auf „Erstellen”.
6. Geben Sie einen Namen (z.B. „Defender URL-Ausschlüsse Netzwerkschutz”) und eine optionale Beschreibung ein. Klicken Sie auf „Weiter”.
7. Im Abschnitt „Konfigurationseinstellungen” finden Sie verschiedene Optionen. Für URL-Ausschlüsse im Netzwerkschutz suchen Sie nach der Einstellung „Netzwerkschutz” (Network protection). Stellen Sie sicher, dass dieser auf „Aktiviert” ist, wenn Sie den Dienst nutzen. Die spezifische Einstellung für URL-Ausschlüsse ist oft im Bereich der „Attack Surface Reduction rules” zu finden oder muss über einen benutzerdefinierten OMA-URI konfiguriert werden, wenn keine direkte GUI-Option verfügbar ist.
   
   Eine direktere Methode für URL-Ausschlüsse des Netzwerkschutzes kann unter Endpoint security > Antivirus in einer neuen Richtlinie vom Typ „Microsoft Defender Antivirus” gefunden werden. Im Abschnitt „Cloudschutz” suchen Sie nach der Option, „Ausschlüsse” zu definieren. Hier können Sie dann in einer Liste spezifische Domains oder IP-Adressen hinzufügen, die vom Schutz ausgenommen werden sollen.
   
   Sollten Sie Ausschlüsse für ASR-Regeln benötigen, bleiben Sie im Bereich „Angriffsflächenreduzierung”. Hier können Sie die spezifische ASR-Regel auswählen, die Sie konfigurieren möchten (z.B. „Blockieren der Ausführung ausführbarer Dateien, es sei denn, sie stammen von einer vertrauenswürdigen Quelle”) und unter „Ausnahmen für ASR-Regeln” die entsprechenden Dateien oder Pfade eintragen, die von dieser Regel ausgenommen werden sollen. Wie bei GPO ist dies primär für Dateien/Pfade, nicht für URLs direkt.
8. Nachdem Sie die Ausschlüsse konfiguriert haben, klicken Sie auf „Weiter”.
9. Weisen Sie die Richtlinie den entsprechenden Benutzergruppen oder Geräten zu. Klicken Sie auf „Weiter”.
10. Überprüfen Sie Ihre Einstellungen und klicken Sie auf „Erstellen”.
11. Intune rollt die Richtlinie dann auf die zugewiesenen Geräte aus.

Methode 3: Über PowerShell

Für Skripte und automatisierte Bereitstellungen können Sie auch PowerShell nutzen, um Defender-Einstellungen zu konfigurieren. Dies ist jedoch komplexer, da direkte Cmdlets für URL-Ausschlüsse im Netzwerkschutz nicht so intuitiv sind wie für Datei-Ausschlüsse (`Add-MpPreference -ExclusionPath`).

PowerShell-Cmdlets wie Set-MpPreference können hauptsächlich globale Einstellungen oder Ausschlüsse für ASR-Regeln verwalten. Zum Beispiel:

• Zum Hinzufügen von Ausschlüssen zu ASR-Regeln (z.B. für eine Anwendung, die auf eine bestimmte Ressource zugreift):
  Set-MpPreference -AttackSurfaceReductionOnlyExclusions @("C:ProgrammeMeineApp","C:TestOrdner")
  Dies schließt Dateipfade von ASR-Regeln aus, nicht direkt URLs.
• Um den Netzwerkschutz zu aktivieren oder deaktivieren:
  Set-MpPreference -EnableNetworkProtection Enabled oder Disabled

Für die spezifische Liste der ausgeschlossenen URLs im Netzwerkschutz werden in der Regel die Gruppenrichtlinien oder Intune im Hintergrund verwendet, welche die entsprechenden Registry-Schlüssel setzen. Wenn Sie diese Einstellung direkt über PowerShell ändern möchten, müssten Sie tiefer in die Registry eingreifen, was nicht empfohlen wird, da es zu Fehlern führen kann. Die GPO- oder Intune-Methoden sind robuster und sicherer für diese Art von Konfiguration.

Wichtige Überlegungen und Best Practices bei URL-Ausschlüssen

• Risikobewertung ist entscheidend: Bevor Sie eine URL ausschließen, stellen Sie sicher, dass Sie die Notwendigkeit und das potenzielle Risiko vollständig verstanden haben. Ist die Website absolut vertrauenswürdig? Kann der Ausschluss eine Schwachstelle erzeugen?
• Granularität: Seien Sie so spezifisch wie möglich. Schließen Sie nur die exakte URL aus, die Probleme verursacht, anstatt eine ganze Domäne, wenn nicht unbedingt nötig. Vermeiden Sie Wildcards (*.domain.com), es sei denn, es ist unvermeidlich und das Risiko wurde bewertet.
• Dokumentation: Halten Sie fest, welche URLs aus welchem Grund ausgeschlossen wurden. Dies ist essenziell für die Fehlersuche und die Einhaltung von Sicherheitsrichtlinien.
• Regelmäßige Überprüfung: Überprüfen Sie Ihre Ausschlusslisten regelmäßig. Sind die ausgeschlossenen URLs immer noch notwendig? Hat sich die Sicherheitslage einer Website geändert? Entfernen Sie Ausschlüsse, die nicht mehr benötigt werden.
• Testen: Testen Sie Ausschlüsse in einer kontrollierten Umgebung, bevor Sie sie flächendeckend implementieren, um sicherzustellen, dass sie die gewünschte Wirkung haben und keine unerwarteten Nebenwirkungen verursachen.
• Alternative Lösungen: Ist ein Ausschluss wirklich die beste Lösung? Manchmal können False Positives durch Aktualisierungen der Software, durch die Kontaktaufnahme mit dem Softwarehersteller (um die Software signieren zu lassen) oder durch die Konfiguration anderer Defender-Einstellungen behoben werden.
• Benutzer informieren: Wenn Sie als Administrator Ausschlüsse vornehmen, informieren Sie die betroffenen Benutzer über die Gründe und potenziellen Risiken.

Fazit

Der Microsoft Defender ist ein leistungsstarkes Werkzeug zur Absicherung Ihrer Systeme. Obwohl er in den meisten Fällen hervorragend funktioniert, kann es vorkommen, dass Sie spezifische URLs von seinen Schutzmechanismen ausschließen müssen. Für Heimanwender bedeutet dies meist das temporäre Übergehen von SmartScreen-Warnungen. Für fortgeschrittene Nutzer und Unternehmen hingegen bieten Gruppenrichtlinien und Microsoft Intune die robusten Werkzeuge, um URL-Ausschlüsse für den Netzwerkschutz oder Ausnahmen für ASR-Regeln präzise zu konfigurieren. Denken Sie immer daran, dass jeder Ausschluss eine potenzielle Sicherheitslücke darstellt und sorgfältig bewertet und dokumentiert werden muss. Durch eine umsichtige Anwendung dieser Anleitungen können Sie die Sicherheit Ihrer Systeme aufrechterhalten und gleichzeitig die Funktionalität Ihrer Anwendungen gewährleisten.