Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR und WatchGuard EDR Core
Die Anti-Exploit-Technologie ist auf Windows ARM-Systemen nicht verfügbar. Die verfügbaren Funktionen variieren je nach Plattform. Weitere Informationen finden Sie unter Endpoint Security unterstützte Funktionen nach Plattform.
Aktivieren Sie Code-Injection-Schutz der Einstellungen des erweiterten Schutzes eines Workstations und Server-Einstellungsprofils. Code-Injection ist ein allgemeiner Begriff für Angriffe, die einen schädlichen Code in eine Anwendung einschleusen, der dann von der Anwendung interpretiert oder ausgeführt wird. Der bösartige Code soll normalerweise Datenströme manipulieren, was zu Datenschutzverletzungen und einer verringerten Anwendungsverfügbarkeit führt.
Wenn Sie den Schutz vor Code-Injection deaktivieren, dann wird er in Prozessen deaktiviert, die Folgendes betreffen:
- Exploit-Erkennung und Code-Injection
- Erweiterte IOA
- Von PowerShell verwendete erweiterte Sicherheitsrichtlinien
Wir empfehlen Ihnen, Schutz vor Code-Injection zu aktivieren und Ausschlüsse für Prozesse hinzuzufügen, bei denen es zu Performance- oder Kompatibilitätsproblemen kommt. Sie sollten auch den Schalter Treiber mit Schwachstellen erkennen aktivieren, um gefährdete Treiber zu erkennen, die ausgenutzt werden könnten.
Caution: Wenn Sie einem neuen Konto WatchGuard EDR oder EDR Core zuweisen und dem Konto kein Workstations und Server-Einstellungsprofil zugewiesen ist, dann ist bei dem Standardprofil, das der Gruppe Alle zugewiesen ist, der Anti-Exploit-Schutz deaktiviert.
Blockieren und Erkennen von Exploits
Der Anti-Exploit-Schutz blockiert automatisch Versuche, in den aktiven Prozessen auf Benutzercomputern gefundene Schwachstellen auszunutzen.
Netzwerkcomputer führen eventuell vertrauenswürdige Prozesse aus, die Programmfehler enthalten. Obwohl diese Prozesse legitim sind, sind sie doch gefährdet, da sie manchmal Daten, die Sie von Benutzern oder anderen Prozessen erhalten, nicht richtig interpretieren. Wenn ein gefährdeter Prozess bösartige Eingaben von einem Hacker erhält, kann ein Fehlverhalten auftreten, das es dem Angreifer ermöglicht, bösartige Programme in den vom gefährdeten Prozess verwalteten Speicherbereichen einzuführen. Das eingeführte Programm kann dazu führen, dass der kompromittierte Prozess Aktionen ausführt, für die er nicht programmiert ist, und die Computersicherheit gefährdet.
Der in Endpoint Security enthaltene Anti-Exploit-Schutz erkennt Versuche, bösartige Programme in von Benutzern ausgeführte gefährdete Prozesse einzufügen und neutralisiert diese basierend auf dem erkannten Exploit.
Exploit-Blockierung
Endpoint Security erkennt den Einschleusungsversuch, während dieser noch stattfindet. Da der Einschleusungsprozess nicht abgeschlossen wird, ist der anvisierte Prozess nicht beeinträchtigt und es gibt kein Risiko für den Computer. Der Exploit wird neutralisiert, ohne dass der betroffene Prozess beendet oder der Computer neu gestartet werden muss. Es gibt keine Datenverlust vom betroffenen Prozess.Der Benutzer des anvisierten Computers erhält eine Blockierungsmeldung, basierend auf den vom Administrator konfigurierten Einstellungen.
Exploit-Erkennung
Endpoint Security erkennt die Einschleusung, nachdem sie stattgefunden hat.Da der gefährdete Prozess bereits bösartige Programmteile enthält, muss Endpoint Security den Prozess beenden, bevor er Aktionen ausführt, die die Computersicherheit gefährden könnten.Unabhängig von der Zeit, die zwischen der Erkennung des Exploits und der Beendigung des kompromittierten Prozesses liegt, meldet Endpoint Security, dass der Computer gefährdet war. Der Risikograd hängt von der Zeit ab, die vergeht, bevor der Prozess gestoppt wird sowie von der Art der Malware.
Endpoint Security kann einen kompromittierten Prozess entweder automatisch beenden, um die negativen Auswirkungen eines Angriffs zu minimieren, oder den Benutzer auffordern, den Prozess zu beenden und ihn aus dem Speicher zu entfernen.Dies ermöglicht es dem Benutzer, seine Arbeit oder kritische Informationen zu speichern, bevor der kompromittierte Prozess endet oder der Computer neu gestartet wird.Wenn es nicht möglich ist, einen kompromittierten Prozess zu beenden, wird der Benutzer aufgefordert, den Computer neu zu starten.
Blockieren gefährdeter Treiber
Gefährdete Treiber sind Treiber mit Schwachstellen, die in der Bedrohungslandschaft schon ausgenutzt wurden. Dies können beispielsweise veraltete Treiber mit Sicherheitslücken sein.
Von legitimen Anbietern bereitgestellte Treiber können Schwachstellen enthalten, die von Malware ausgenutzt werden könnten, um einen Computer zu infizieren oder die Sicherheitssoftware zu deaktivieren.Diese Treiber sind nicht selbst bösartig und könnten auf Computern installiert werden, ohne eine Sicherheitsbedrohung darzustellen. Deshalb werden Sie anfänglich nicht als Malware erkannt.Der Anti-Exploit-Schutz blockiert die Nutzung gefährdeter Treiber, außer wenn der Treiber beim Hochfahren des Betriebssystems geladen wird.