Erweiterter Schutz

Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR und WatchGuard EDR Core Dieses Thema betrifft WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR und WatchGuard EDR Core.

Sie können die Einstellungen des erweiterten Schutzes eines Workstations- und Server-Einstellungsprofils konfigurieren, um die Aktivität von Programmen nachzuverfolgen, die auf Ihren Computern ausgeführt werden, und bösartige Programme erkennen und blockieren. Die verfügbaren Funktionen in Erweiterter Schutz variieren je nach Plattform.

Funktion in Erweiterter Schutz	Windows (Intel & ARM)	Linux	Mac (Intel & ARM)	Android	iOS
Betriebsmodusverhalten	Unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
Erweiterte Sicherheitsrichtlinien und blockierte Programme	Unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
Windows Anti-Malware Scan Interface (AMSI)	Unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
Anti-Exploit-Schutz, einschließlich Code-Injection und Erkennung gefährdeter Treiber	Unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
Schutz vor Netzwerkangriffen	Unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt	Nicht unterstützt
Privatsphäre	Unterstützt	Unterstützt	Unterstützt	Nicht unterstützt	Nicht unterstützt
Netzwerknutzung	Unterstützt	Unterstützt	Unterstützt	Nicht unterstützt	Nicht unterstützt

Weitere Informationen zu den unterstützten Funktionen finden Sie unter Endpoint Security unterstützte Funktionen nach Plattform.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So konfigurieren Sie die Einstellungen in Erweiterter Schutz:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Workstations und Server.
4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
6. Wählen Sie Erweiterter Schutz.
7. Aktivieren Sie den Schalter Erweiterter Schutz.
8. Konfigurieren Sie die Einstellungen nach Bedarf:
   • Betriebsmodusverhalten konfigurieren (Windows-Computer)
   • Erweiterte Sicherheitsrichtlinien konfigurieren (Windows-Computer)
   • AMSI erweitertes Scannen konfigurieren (Windows-Computer)
   • Anti-Exploit-Schutz konfigurieren (Windows-Computer)
   • Schutz vor Netzwerkangriffen konfigurieren (Windows-Computer)
   • Datenschutz konfigurieren
   • Netzwerkauslastung konfigurieren
9. Klicken Sie auf Speichern.
10. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Einstellungsprofile zuweisen.

Betriebsmodusverhalten konfigurieren (Windows-Computer)

Der Betriebsmodus ist bei EDR Core und WatchGuard EPP nicht verfügbar.

Wenn Sie einem neuen Konto WatchGuard EDR oder EDR Core zuweisen und dem Konto kein Workstations und Server-Einstellungsprofil zugewiesen ist, dann sind bei dem Standardprofil, das der Gruppe Alle zugewiesen ist, Köderdateien (Decoy) deaktiviert.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Zum Konfigurieren des Operating-Verhalten im Verhalten-Abschnitt:

1. Wählen Sie für Windows-Computer einen Betriebsmodus aus der Liste (Prüfen, Hardening oder Sperren).
   Weitere Informationen zu Betriebsmodi finden Sie unter Erweiterter Schutz – Betriebsmodi (nur Windows-Computer).

2. Um eine Meldung in einer Pop-up-Warnmeldung auf dem Benutzercomputer anzuzeigen, wenn erweiterte Schutz- oder Anti-Exploit-Funktionen eine Datei blockieren oder neu klassifizieren, aktivieren Sie den Schalter Blockierung den Computerbenutzern melden.
3. (Optional) Geben Sie eine benutzerdefinierte Nachricht für die Blockier-Warnmeldung ein.
4. Wählen Sie für Linux-Computer aus der Dropdown-Liste Schädliche Aktivität erkennen die Maßnahme aus, die ergriffen werden soll, wenn Endpoint Security eine böswillige Aktivität erkennt.
   • Prüfen — Meldet erkannte Bedrohungen, ohne die Malware zu blockieren.
   • Blockieren — Meldet und blockiert erkannte Bedrohungen. Dies ist die Standardeinstellung.
   • Nicht erkennen — Malware wird weder erkannt noch gemeldet.

AMSI erweitertes Scannen konfigurieren (Windows-Computer)

Windows Anti-Malware Scan Interface (AMSI) bietet Telemetrie und weitere Informationen über die Skript- und Makro-Ausführung, um den Virenschutz für Windows-Computer zu verbessern. In einem Workstations und Server-Einstellungsprofil ist erweitertes Scannen mit AMSI standardmäßig aktiviert.

Wenn bei Ihnen Performance-Probleme auftreten, können Sie Ausschlüsse für problematische Programme hinzufügen oder das erweiterte Scannen mit AMSI deaktivieren. Wir empfehlen Ihnen, nur Ausschlüsse für Programme hinzuzufügen, die eventuell Performance-Probleme verursachen. Wenn Sie einen Ausschluss hinzufügen, dann scannt Endpoint Security die angegebenen Dateien nicht und Ihre Computer könnten dem Risiko eines Angriffs ausgesetzt sein.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So fügen Sie Ausschlüsse im Abschnitt AMSI hinzu:

1. Aktivieren Sie falls nötig den Schalter.
2. Geben Sie im Textfeld Programme den Dateinamen für ein Programm ein, das Sie vom erweiterten AMSI-Scannen ausschließen wollen.
   

Anti-Exploit-Schutz konfigurieren (Windows-Computer)

Die Anti-Exploit-Technologie ist auf Windows ARM-Systemen nicht verfügbar.

Anti-Exploit-Schutz verhindert, dass böswillige Programme bekannte und unbekannte (Zero-day) Schwachstellen in Anwendungen ausnutzen, um Zugriff auf Computer im Firmennetzwerk zu erlangen. Sie können Schutz vor Code-Injection und Schutz vor gefährdeten Treibern aktivieren.

Code-Injection ist ein allgemeiner Begriff für Angriffe, die einen schädlichen Code in eine Anwendung einschleusen, der dann von der Anwendung interpretiert oder ausgeführt wird. Weitere Informationen finden Sie unter Über Anti-Exploit-Schutz (Windows-Computer).

Wir empfehlen Ihnen, Anti-Exploit-Schutz auf Computern, die bereits eine Sicherheitslösung von Drittanbietern installiert haben, schrittweise zu aktivieren, um sicherzustellen, dass er richtig funktioniert.

Wenn Sie einem neuen Konto WatchGuard EDR oder EDR Core zuweisen und dem Konto kein Workstations und Server-Einstellungsprofil zugewiesen ist, dann ist bei dem Standardprofil, das der Gruppe Alle zugewiesen ist, Anti-Exploit deaktiviert.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So konfigurieren Sie Anti-Exploit-Schutz:

1. Aktivieren Sie im Abschnitt Anti-Exploit den Schalter Code-Injection.
   Wenn Sie Code-Injection deaktivieren, dann ist dies bei allen Prozessen deaktiviert. Es deaktiviert auch erweiterte PowerShell-Regeln. Informationen zu erweiterten PowerShell-Regeln finden Sie unter Erweiterte Sicherheitsrichtlinien konfigurieren (Windows-Computer).
2. Falls nötig, fügen Sie den Dateinamen im Textfeld Ausgeschlossene Prozesse ein und drücken Sie die Eingabetaste.
   Exploit-Versuche bei ausgeschlossenen Prozessen werden vom Anti-Exploit-Schutz nicht erkannt. Wir empfehlen Ihnen, nur Ausschlüsse für Programme hinzuzufügen, die eventuell Performance-Probleme verursachen. Wenn Sie einen Ausschluss hinzufügen, dann scannt Endpoint Security die angegebenen Dateien nicht und Ihre Computer könnten dem Risiko eines Angriffs ausgesetzt sein.

3. Um sicherzustellen, dass der erweiterte Schutz ein nicht klassifiziertes Programm nicht blockiert, fügen Sie es zur Liste Autorisierte Software hinzu.
   Weitere Informationen finden Sie unter Autorisierte Software-Einstellungen konfigurieren (Windows-Computer).

4. Wählen Sie einen Betriebsmodus aus der Liste (nur Windows-Computer):
   • Prüfen — Meldet erkannte Exploits in der Verwaltungsoberfläche, aber es werden weder Maßnahmen dagegen ergriffen noch dem Benutzer Informationen angezeigt.
   • Blockieren — Blockiert Exploit-Angriffe. In manchen Fällen kann es nötig sein, den kompromittierten Prozess zu beenden oder den Computer neu zu starten.
5. Aktivieren Sie den Schalter Blockierung dem Computerbenutzer melden, um Benutzer zu benachrichtigen, wenn der Anti-Exploit-Schutz einen kompromittierten Prozess blockiert.
   Der Benutzer erhält eine Benachrichtigung und der kompromittierte Prozess wird falls nötig automatisch beendet.
6. Um den Benutzer aufzufordern, einen kompromittierten Vorgang zu beenden, aktivieren Sie den Schalter Benutzer um Erlaubnis bitten, einen kompromittierten Vorgang zu beenden.
   Jedes Mal, wenn ein kompromittierter Computer neu gestartet werden muss, muss der Benutzer dies bestätigen, unabhängig davon, ob dieser Schalter aktiviert ist.
7. Um gefährdete Treiber zu erkennen, die ausgenutzt werden könnten, aktivieren Sie den Schalter Treiber mit Schwachstellen erkennen.
   Gefährdete Treiber sind Treiber mit Schwachstellen, die in der Bedrohungslandschaft schon ausgenutzt wurden. Dies können beispielsweise veraltete Treiber mit Sicherheitslücken sein. Von legitimen Anbietern bereitgestellte Treiber können Schwachstellen enthalten, die von Malware ausgenutzt werden könnten, um einen Computer zu infizieren oder die Sicherheitssoftware zu deaktivieren. Wenn der erkannte Treiber Teil des Windows-Startprozesses ist, wird er nicht blockiert.
8. Wählen Sie einen Betriebsmodus aus der Liste (nur Windows-Computer):
   • Prüfen — Meldet gefährdete Treiber in der Kachel Exploit-Aktivität auf dem Sicherheits-Dashboard und zeigt eine Warnmeldung auf dem betroffenen Computer. Es wird keine Aktion ausgeführt.
   • Blockieren — Blockiert das Laden gefährdeter Treiber und zeigt eine Warnmeldung auf dem betroffenen Computer. Meldet gefährdete Treiber in der Kachel Exploit-Aktivität auf dem Sicherheits-Dashboard.

Um Treiberdetails zu sehen, wählen Sie den betroffenen Computer auf der Liste Exploit-Aktivität aus. Sie können das Ausführen des blockierten Treibers zulassen und den Treiber nicht mehr zulassen, falls er zuvor zugelassen war. Sie können entscheiden, den Treiber nicht erneut zu erkennen. Weitere Informationen finden Sie unter Ausführen blockierter Elemente zulassen.

Viele Exploits führen weiter böswillige Programme aus, bis der entsprechende Vorgang beendet wird. Ein Exploit wird in der Exploit-Aktivität-Kachel auf dem Sicherheits-Dashboard nicht als gelöst angezeigt, bis das kompromittierte Programm beendet wurde.

Schutz vor Netzwerkangriffen konfigurieren (Windows-Computer)

Der Schutz vor Netzwerkangriffen ist in EDR Core und WatchGuard EPP nicht verfügbar.

Viele Informationssicherheitsvorfälle beginnen mit Angriffen, die Schwachstellen in exponierten Diensten im Internet ausnutzen. Falls bösartige Akteure ihr Ziel erreichen und Computer in Ihrer Organisation infizieren, müssen Sie den Angriff stoppen. Schutz vor Netzwerkangriffen ist standardmäßig aktiviert, um Angriffe bei neuen Konten mit WatchGuard Endpoint Security zu blockieren.

Der Schutz vor Netzwerkangriffen scannt den Netzwerk-Datenverkehr in Echtzeit, um Bedrohungen zu erkennen und zu stoppen. Er verhindert Netzwerkangriffe, die versuchen, Schwachstellen in Diensten auszunutzen, die über das Internet und im internen Netzwerk zugänglich sind. Weitere Informationen finden Sie unter Schutz vor Netzwerkangriffen — Erkannte Angriffstypen (Windows-Computer).

Falls Sie den Schutz vor Netzwerkangriffen deaktivieren, wird dies auf dem Risiko-Dashboard als Risiko angezeigt. Weitere Informationen finden Sie unter Sicherheitsrisikostatus in WatchGuard Endpoint Security.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Um den Schutz vor Netzwerkangriffen zu aktivieren, aktiveren Sie den Schalter. Sie können den Betriebsmodus auswählen:

• Prüfen — Lässt Netzwerkangriffe zu.
• Blockieren — Blockiert Netzwerkangriffe, bevor sie Aktionen ausführen können. Dies ist die Standardeinstellung.

Eine Liste der von WatchGuard Endpoint Security erkannten Angriffe finden Sie unter Schutz vor Netzwerkangriffen — Erkannte Angriffstypen (Windows-Computer).

Sie können E-Mail-Warnmeldungen senden, wenn der Schutz vor Netzwerkangriffen einen Netzwerkangriff erkennt. Weitere Informationen finden Sie unter E-Mail-Warnmeldungen konfigurieren.

Datenschutz konfigurieren

Endpoint Security erhebt den Namen und vollständigen Pfad der Dateien, die es zur Analyse an WatchGuard Cloud sendet, sowie den Namen des angemeldeten Benutzers. Diese Informationen werden in den auf der Verwaltungsoberfläche angezeigten Berichten und Tools zur forensischen Analyse verwendet.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Aktivieren Sie die Schalter im Abschnitt Datenschutz, um die Datenerhebung zu aktivieren.

Netzwerkauslastung konfigurieren

Endpoint Security sendet alle unbekannten ausführbaren Dateien, die auf Benutzercomputern gefunden wurden, zur Analyse an WatchGuard Cloud. Dieses Verhalten ist so konfiguriert, dass es keine Auswirkung auf die Netzwerk-Bandbreite des Kunden hat:

• Endpoint Security sendet nur eine komprimierte Datei mit bis zu 50 MB je Client und Stunde an WatchGuard Cloud.
• Der WatchGuard Agent sendet jede unbekannte Datei nur einmal an alle Kunden, die Endpoint Security nutzen.
• Endpoint Security setzt Mechanismen zur Bandbreitensteuerung ein, um einen übermäßigen Verbrauch an Netzwerkressourcen zu verhindern.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Konfigurieren der Netzwerknutzung im Abschnitt Netzwerknutzung:

• Geben Sie im Textfeld Maximale Anzahl der MBs, die pro Stunde übertragen werden dürfen die maximale Anzahl MB ein, die zwischen den Computern und Geräten in Ihrem Netzwerk und WatchGuard Cloud übertragen werden soll.

Ähnliche Themen

Über Anti-Exploit-Schutz (Windows-Computer)

Erweiterter Schutz für Geräte auf Windows-, Linux- und macOS-Plattformen

Einstellungsprofile verwalten

Einstellungsprofile kopieren

Einstellungsprofile bearbeiten