Erweiterte Sicherheitsrichtlinien konfigurieren (Windows-Computer)

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt.

Aktivieren Sie in den Einstellungen des erweiterten Schutzes eines Workstations- und Server-Einstellungsprofils die Option Erweiterte Sicherheitsrichtlinien, um verdächtige Skripte und unbekannte Programme zu erkennen und zu blockieren, die hoch entwickelte Infektionstechniken nutzen.

Zu den Erweiterten Sicherheitsrichtlinien gehören:

• PowerShell mit verdächtigen Parametern — Erkennt, wie oft der PowerShell-Interpreter verdächtige Parameter empfängt, die zur Ausführung von gefährlichen Vorgängen auf dem geschützten Computer führen könnten. Diese Option erfordert, dass Sie den Anti-Exploit-Schutz aktivieren.
• Vom Benutzer ausgeführtes PowerShell — Erkennt, wie häufig versucht wird, ein überwachtes PowerShell-Skript über ein interaktives Konto auszuführen, das fähig ist, gefährliche Vorgänge auf dem geschützten Computer auszuführen. Diese Option erfordert, dass Sie den Anti-Exploit-Schutz aktivieren.
• Unbekannte Skripte — Erkennt Versuche, ein Skript auszuführen, das vom WatchGuard Sicherheitsteam nicht klassifiziert wurde. Diese Regel hilft, Transparenz für auf dem Netzwerk ausgeführte Skripte bereitzustellen, Server, auf denen die Programmausführung eingeschränkt ist, zu sichern und die Verbreitung von Malware im Netzwerk zu verhindern, wenn eine Infektion vermutet wird. Wenn das Ausführen eines unbekannten Skriptes zugelassen werden soll, dann können Sie die Datei von Scans ausschließen. Weitere Informationen finden Sie unter Dateien und Dateipfade von Scans ausschließen.
• Lokal kompilierte Programme — Erkennt, wie häufig versucht wird, ein Programm auszuführen, das dem WatchGuard Sicherheitsteam unbekannt ist, weil es auf dem Benutzercomputer kompiliert wurde.
• Dokumente mit Makros — Erkennt, wie häufig versucht wird, ein Microsoft Office-Dokument mit Makros zu öffnen.
• Bei Windows-Start auszuführende Registry-Änderung — Erkennt, wie häufig ein Programm versucht hat, einen Windows-Registry-Schlüssel hinzuzufügen, um dauerhaft auf dem Computer zu verbleiben und bei jedem Systemstart mit dem Betriebssystem geladen zu werden.
• Programmblockierung durch Name — Erkennt, wie häufig Endpoint Security ein Programm blockiert hat, das auf der Liste der Namen zu blockierender Programm steht.
• Programmblockierung durch MD5- oder SHA-256-Wert — Erkennt, wie häufig Endpoint Security ein Programm blockiert hat, das auf der Liste der MD5- oder SHA-256-Werte zu blockierender Programm steht.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So konfigurieren Sie die Einstellungen der Erweiterten Sicherheitsrichtlinien:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Workstations und Server.
4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
6. Wählen Sie Erweiterter Schutz.
7. Wählen Sie den Schalter Erweiterter Schutz, um dies zu aktivieren.
8. Wählen Sie den Schalter Erweiterte Richtlinien aktivieren, um dies zu aktivieren.
9. Wählen Sie für jede Regel Prüfen, Blockieren oder Nicht erkennen für die Bedrohung:
   • Prüfen — Erkennt die Regel und erzeugt Feedback für den Administrator in Listen und Dashboard-Kacheln.
   • Blockieren — Verhindert die Ausführung des Programms.
   • Nicht erkennen — Erkennt die Regel nicht und erzeugt kein Feedback für Benutzer oder Administratoren.
10. Konfigurieren Sie Programme blockieren.
    Weitere Informationen finden Sie unter Verdächtige Programme blockieren.
11. Klicken Sie auf Speichern.
12. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Einstellungsprofile zuweisen.

Verdächtige Programme blockieren

Um die Sicherheit von Windows-Computern im Netzwerk zu erhöhen, können Sie die Verwendung von Programmen, die Sie für gefährlich oder verdächtig halten, verhindern. Zu diesen Programmen gehören:

• Programme, die aufgrund ihrer Ausführungsweise zu viel Bandbreite verbrauchen oder zu viele Verbindungen herstellen und so die Konnektivität des Unternehmens beeinträchtigen, wenn sie von mehreren Benutzern gleichzeitig ausgeführt werden.
• Programme, die es Benutzern ermöglichen, auf Inhalte zuzugreifen, die Sicherheitsbedrohungen enthalten könnten.
• Programme, die es Benutzern ermöglichen, auf Inhalte zuzugreifen, die nicht mit der Firmentätigkeit in Verbindung stehen und die Benutzerleistung beeinträchtigen könnten.

Um unerwünschte Software aus Produktivitäts- oder Compliance-Gründen zu blockieren, können Sie Programme blockieren in einem Einstellungsprofil für die Programmblockierung konfigurieren. Weitere Informationen finden Sie unter Sicherheitseinstellungen für Programmblockierung konfigurieren (Windows-Computer).

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Sicherheitseinstellungen für Workstations und Server konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So konfigurieren Sie Programme blockieren:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Workstations und Server.
4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
6. Wählen Sie Erweiterter Schutz.
7. Wählen Sie den Schalter Erweiterter Schutz, um dies zu aktivieren.
8. Wählen Sie den Schalter Erweiterte Richtlinien aktivieren, um dies zu aktivieren.
9. Geben Sie im Abschnitt Programme blockieren die Dateinamen, MD5-Codes oder SHA-256-Codes der Programme ein, die Sie blockieren möchten. Sie können eine Liste von Dateinamen oder Codes einfügen, die durch Zeilenumbrüche getrennt sind.
10. Aktivieren Sie den Schalter Computerbenutzer zu blockierten Anwendungen benachrichtigen, um dies zu tun.
    Auf Benutzercomputern erscheint eine Pop-up-Meldung, wenn sie versuchen, eine blockierte Anwendung auszuführen.
11. (Optional) Geben Sie im Textfeld eine benutzerdefinierte Meldung ein, die Benutzern angezeigt wird, wenn Advanced EPDR ein Programm blockiert.
12. Klicken Sie auf Speichern.
13. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Einstellungsprofile zuweisen.

Wenn Endpoint Security ein Programm blockiert, wird es in der Kachel Erkennungen nach erweiterten Sicherheitsrichtlinien auf dem Sicherheits-Dashboard angezeigt. Wählen Sie die Kachel aus, um die Liste Erkennungen nach erweiterten Sicherheitsrichtlinien anzuzeigen. Wählen Sie ein Element aus der Liste, um die Details-Seite Durch erweiterte Sicherheitsrichtlinie blockieren zu öffnen. Informationen zur Details-Seite finden Sie unter Erkennungen nach erweiterten Sicherheitsrichtlinien — Details blockieren.

Ähnliche Themen

Einstellungsprofile verwalten

Einstellungsprofile kopieren

Einstellungsprofile bearbeiten

Einstellungsprofile zuweisen

Sicherheitseinstellungen für Workstations und Server konfigurieren