Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR und WatchGuard EDR Core
In den Einstellungen Erweiterter Schutz eines Workstations- und Server-Einstellungsprofils können Sie Einstellungen konfigurieren, um die Aktivität von Programmen nachzuverfolgen, die auf Ihren Computern ausgeführt werden, und böswillige Programme erkennen und blockieren.
Die verfügbaren Funktionen variieren je nach Plattform. Weitere Informationen finden Sie unter Erweiterter Schutz für Geräte auf Windows-, Linux- und macOS-Plattformen.
Konfigurieren von Erweiterter Schutz-Einstellungen:
- Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
- Wählen Sie Einstellungen.
- Wählen Sie im linken Fenster Workstations und Server.
- Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet. - Geben Sie falls nötig Name und Beschreibung für das Profil ein.
- Wählen Sie Erweiterter Schutz.
- Aktivieren Sie den Schalter Erweiterter Schutz.
- Konfigurieren Sie diese Einstellungen nach Bedarf:
- Klicken Sie auf Speichern.
- Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
Weitere Informationen finden Sie unter Ein Einstellungsprofil zuweisen.
Operating-Verhalten konfigurieren
Der Betriebsmodus ist bei EDR Core und WatchGuard EPP nicht verfügbar.
Zum Konfigurieren des Operating-Verhalten im Verhalten-Abschnitt:
- Wählen Sie für Windows-Computer einen Betriebsmodus aus der Liste (Prüfen, Hardening, Sperren).
Weitere Informationen zu Betriebsmodi finden Sie unter Erweiterter Schutz – Betriebsmodi (nur Windows-Computer).
- Um eine Meldung in einer Pop-up-Warnmeldung auf dem Benutzercomputer anzuzeigen, wenn erweiterter Schutz oder Anti-Exploit-Funktionen eine Datei blockieren, aktivieren Sie den Schalter Blockierung den Computerbenutzern melden.
- (Optional) Geben Sie eine benutzerdefinierte Nachricht für die Warnmeldung ein.
- Wählen Sie für Linux-Computer aus der Dropdown-Liste Schädliche Aktivität erkennen die Maßnahme aus, die ergriffen werden soll, wenn WatchGuard Endpoint Security eine böswillige Aktivität erkennt.
- Audit — Meldet erkannte Bedrohungen, ohne die Malware zu blockieren.
- Blockieren — Meldet und blockiert erkannte Bedrohungen. Dies ist die Standardeinstellung.
- Nicht erkennen — Malware wird weder erkannt noch gemeldet.
Anti-Exploit-Schutz konfigurieren
Die Anti-Exploit-Technologie ist auf Windows ARM-Systemen nicht verfügbar.
Anti-Exploit-Schutz verhindert, dass böswillige Programme bekannte und unbekannte (Zero-day) Schwachstellen in Anwendungen ausnutzen, um Zugriff auf Computer im Firmennetzwerk zu erlangen. Weitere Informationen finden Sie unter Über Anti-Exploit-Schutz.
Um Schwachstellen-Exploit-Angriffe und Metasploit-Malware zu erkennen und zu blockieren, können Sie den Anti-Exploit-Schutz aktivieren und konfigurieren.
Wir empfehlen Ihnen, Anti-Exploit-Schutz auf Computern, die bereits eine Sicherheitslösung von Drittanbietern installiert haben, schrittweise zu aktivieren, um sicherzustellen, dass er richtig funktioniert.
WatchGuard Advanced EPDR beinhaltet Erweiterte Codeeinfügung zur Erkennung von erweiterten Mechanismen zum Einfügen von Code in laufende Prozesse.
So konfigurieren Sie den Anti-Exploit-Schutz im Abschnitt Anti-Exploit:
- Aktivieren Sie den Schalter Anti-Exploit.
- Wählen Sie für Windows-Computer einen Betriebsmodus aus der Liste:
- Audit – Meldet erkannte Exploits in der Verwaltungsoberfläche, aber es werden weder Maßnahmen dagegen ergriffen noch dem Benutzer Informationen angezeigt.
- Blockieren — Blockiert Exploit-Angriffe. In manchen Fällen kann es nötig sein, den kompromittierten Prozess zu beenden oder den Computer neu zu starten. Der Benutzer wird über die Blockierung benachrichtigt. WatchGuard Endpoint Security beendet den kompromittierten Prozess automatisch.
- Aktivieren Sie den Schalter Blockierung dem Computerbenutzer melden, um Benutzer zu benachrichtigen, wenn der Anti-Exploit-Schutz einen kompromittierten Prozess blockiert.
Der Benutzer erhält eine Benachrichtigung und der kompromittierte Prozess wird falls nötig automatisch beendet. - Um den Benutzer aufzufordern, einen kompromittierten Vorgang zu beenden, aktivieren Sie den Schalter Benutzer um Erlaubnis bitten, einen kompromittierten Vorgang zu beenden.
Jedes Mal, wenn ein kompromittierter Computer neu gestartet werden muss, muss der Benutzer dies bestätigen, unabhängig davon, ob dieser Schalter aktiviert ist.
Viele Exploits führen weiter böswillige Programme aus, bis der entsprechende Vorgang beendet wird. Ein Exploit wird in der Kachel Exploit-Aktivität auf dem Sicherheits-Dashboard in der Verwaltungsoberfläche nicht als gelöst angezeigt, bis das kompromittierte Programm beendet wurde.
Schutz vor Netzwerkangriffen konfigurieren (Windows-Computer)
Der Schutz vor Netzwerkangriffen ist in EDR Core und WatchGuard EPP nicht verfügbar.
Viele Informationssicherheitsvorfälle beginnen mit Angriffen, die Schwachstellen in exponierten Diensten im Internet ausnutzen. Falls bösartige Akteure ihr Ziel erreichen und Computer in Ihrer Organisation infizieren, müssen Sie den Angriff stoppen. Diese Funktion ist standardmäßig aktiviert, um Angriffe bei neuen Konten mit WatchGuard Endpoint Security zu blockieren.
Der Schutz vor Netzwerkangriffen scannt den Netzwerk-Datenverkehr in Echtzeit, um Bedrohungen zu erkennen und zu stoppen. Er verhindert Netzwerkangriffe, die versuchen, Schwachstellen in Diensten auszunutzen, die im Internet und im internen Netzwerk verfügbar sind.
Falls Sie den Schutz vor Netzwerkangriffen deaktivieren, wird dies auf dem Risiko-Dashboard als Risiko angezeigt. Weitere Informationen finden Sie unter Risikobewertung in WatchGuard Endpoint Security.
Um den Schutz vor Netzwerkangriffen zu aktivieren, aktiveren Sie den Schalter. Sie können den Betriebsmodus auswählen:
- Prüfen — Lässt Netzwerkangriffe zu
- Blockieren — Blockiert Netzwerkangriffe, bevor sie Aktionen ausführen können
Eine Liste der von WatchGuard Endpoint Security erkannten Angriffe finden Sie unter Schutz vor Netzwerkangriffen — Erkannte Angriffstypen.
Sie können E-Mail-Warnmeldungen senden, wenn der Schutz vor Netzwerkangriffen einen Netzwerkangriff erkennt. Weitere Informationen finden Sie unter Konfigurieren von E-Mail-Warnmeldungen.
Datenschutz konfigurieren
WatchGuard Endpoint Security erhebt den Namen und vollständigen Pfad der Dateien, die es zur Analyse an WatchGuard Cloud sendet, sowie den Namen des angemeldeten Benutzers. Diese Informationen werden in den auf der Verwaltungsoberfläche angezeigten Berichten und Tools zur forensischen Analyse verwendet.
Aktivieren Sie die Schalter im Abschnitt Datenschutz, um die Datenerhebung zu aktivieren.
Netzwerkauslastung konfigurieren
WatchGuard Endpoint Security sendet alle unbekannten ausführbaren Dateien, die auf Benutzercomputern gefunden wurden, zur Analyse an WatchGuard Cloud. Dieses Verhalten ist so konfiguriert, dass es keine Auswirkung auf die Netzwerk-Bandbreite des Kunden hat:
- WatchGuard Endpoint Security sendet maximal 50 MB an Dateien je Client und Stunde an WatchGuard Cloud.
- Der Endpoint Agent sendet jede unbekannte Datei nur einmal an alle Kunden, die WatchGuard Endpoint Security nutzen.
- WatchGuard Endpoint Security setzt Mechanismen zur Bandbreitensteuerung ein, um einen übermäßigen Verbrauch an Netzwerkressourcen zu verhindern.
Konfigurieren der Netzwerknutzung im Abschnitt Netzwerknutzung:
- Geben Sie im Textfeld Maximale Anzahl der MBs, die pro Stunde übertragen werden dürfen die maximale Anzahl MB ein, die zwischen den Computern und Geräten in Ihrem Netzwerk und WatchGuard Cloud übertragen werden soll.