Erweiterte Sicherheitsrichtlinien konfigurieren (Windows-Computer)

Gilt für: WatchGuard Advanced EPDR

In den Erweiterter Schutz-Einstellungen eines Einstellungsprofils für Workstations und Server aktivieren Sie Erweiterte Sicherheitsrichtlinien, um verdächtige Skripte und unbekannte Programme zu erkennen und zu blockieren, die hochentwickelte Infektionstechniken nutzen.

Zu den Erweiterten Sicherheitsrichtlinien gehören:

  • PowerShell mit verdächtigen Parametern — Erkennt, wie oft der PowerShell-Interpreter verdächtige Parameter empfängt, die zur Ausführung von gefährlichen Vorgängen auf dem geschützten Computer führen könnten. Diese Option erfordert, dass Sie den Anti-Exploit-Schutz aktivieren.
  • Vom Benutzer ausgeführtes PowerShell — Erkennt, wie häufig versucht wird, ein überwachtes PowerShell-Skript über ein interaktives Konto auszuführen, das fähig ist, gefährliche Vorgänge auf dem geschützten Computer auszuführen. Diese Option erfordert, dass Sie den Anti-Exploit-Schutz aktivieren.
  • Unbekanntes Skript — Erkennt, wie häufig versucht wird, ein Skript auszuführen, das vom WatchGuard Sicherheitsteam nicht klassifiziert wurde.
  • Lokal kompiliertes Programm — Erkennt, wie häufig versucht wird, ein Programm auszuführen, das dem WatchGuard Sicherheitsteam unbekannt ist, weil es auf dem Benutzercomputer kompiliert wurde.
  • Dokument mit Makros — Erkennt, wie häufig versucht wird, ein Microsoft Office-Dokument mit Makros zu öffnen.
  • Bei Windows-Start auszuführende Registry-Änderung — Erkennt, wie häufig ein Programm versucht hat, einen Windows-Registry-Schlüssel hinzuzufügen, um dauerhaft auf dem Computer zu verbleiben und bei jedem Systemstart mit dem Betriebssystem geladen zu werden.
  • Programmblockierung durch Name — Erkennt, wie häufig Endpoint Security ein Programm blockiert hat, das auf der Liste der Namen zu blockierender Programm steht.
  • Programmblockierung durch MD5-Wert — Erkennt, wie häufig Endpoint Security ein Programm blockiert hat, das auf der Liste der MD5-Werte zu blockierender Programm steht.

So konfigurieren Sie die Einstellungen der Erweiterten Sicherheitsrichtlinien:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie im linken Fenster Workstations und Server.
  4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
    Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
  5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
  6. Wählen Sie Erweiterter Schutz.
  7. Wählen Sie den Schalter Erweiterter Schutz, um dies zu aktivieren.
  8. Wählen Sie den Schalter Erweiterte Richtlinien aktivieren, um dies zu aktivieren.
  9. Wählen Sie für jede Richtlinie Prüfen, Blockieren oder Nicht erkennen für die Bedrohung:
    • Prüfen — Erkennt die Richtlinie und erzeugt Feedback für den Administrator in Listen und Dashboard-Kacheln.
    • Blockieren — Verhindert die Ausführung des Programms.
    • Nicht erkennen — Erkennt die Richtlinie nicht und erzeugt kein Feedback für Benutzer oder Administratoren.
  10. Konfigurieren Sie Programme blockieren.
    Weitere Informationen finden Sie unter Verdächtige Programme blockieren.
  11. Klicken Sie auf Speichern.
  12. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Ein Einstellungsprofil zuweisen.

Verdächtige Programme blockieren

Um die Sicherheit von Windows-Computern im Netzwerk zu erhöhen, können Sie die Verwendung von Programmen, die Sie für gefährlich oder verdächtig halten, verhindern. Zu diesen Programmen gehören:

  • Programme, die aufgrund ihrer Ausführungsweise zu viel Bandbreite verbrauchen oder zu viele Verbindungen herstellen und so die Konnektivität des Unternehmens beeinträchtigen, wenn sie von mehreren Benutzern gleichzeitig ausgeführt werden.
  • Programme, die es Benutzern ermöglichen, auf Inhalte zuzugreifen, die Sicherheitsbedrohungen enthalten könnten.
  • Programme, die es Benutzern ermöglichen, auf Inhalte zuzugreifen, die nicht mit der Firmentätigkeit in Verbindung stehen und die Benutzerleistung beeinträchtigen könnten.

Um unerwünschte Software aus Produktivitäts- oder Compliance-Gründen zu blockieren, können Sie Programme blockieren in einem Einstellungsprofil für die Programmblockierung konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Sicherheitseinstellungen für Programmblockierung (Windows-Computer).

So konfigurieren Sie Programme blockieren:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie im linken Fenster Workstations und Server.
  4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
    Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
  5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
  6. Wählen Sie Erweiterter Schutz.
  7. Wählen Sie den Schalter Erweiterter Schutz, um dies zu aktivieren.
  8. Wählen Sie den Schalter Erweiterte Richtlinien aktivieren, um dies zu aktivieren.
  9. Geben Sie im Abschnitt Programme blockieren die Dateinamen oder MD5-Codes der Programme ein, die Sie blockieren möchten. Sie können eine Liste von Dateinamen oder MD5-Codes einfügen, die durch Zeilenumbrüche getrennt sind.
  10. Aktivieren Sie den Schalter Computerbenutzer zu blockierten Anwendungen benachrichtigen, um dies zu tun.
    Auf Benutzercomputern erscheint eine Pop-up-Meldung, wenn sie versuchen, eine blockierte Anwendung auszuführen.
  11. (Optional) Geben Sie im Textfeld eine benutzerdefinierte Meldung ein, die Benutzern angezeigt wird, wenn Advanced EPDR ein Programm blockiert.
  12. Klicken Sie auf Speichern.
  13. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Ein Einstellungsprofil zuweisen.

Wenn ein Programm blockiert ist, wird es in der Kachel Erkennungen nach erweiterten Sicherheitsrichtlinien auf dem Sicherheits-Dashboard angezeigt. Wählen Sie die Kachel aus, um die Liste Erkennungen nach erweiterten Sicherheitsrichtlinien anzuzeigen. Wählen Sie ein Element aus der Liste, um die Details-Seite Durch erweiterte Sicherheitsrichtlinie blockieren zu öffnen. Informationen zur Details-Seite finden Sie unter Erkennungen nach erweiterten Sicherheitsrichtlinien-Details.

Related Topics

Einstellungsprofile verwalten

Ein Einstellungsprofil kopieren

Ein Einstellungsprofil bearbeiten

Ein Einstellungsprofil zuweisen

Sicherheitseinstellungsprofil für Workstations und Server konfigurieren