Autorisierte Software-Einstellungen konfigurieren (Windows-Computer)

Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

Die Einstellungen für autorisierte Software können nur Windows-Servern und Workstations zugewiesen werden. Autorisierte Software-Ausschlüsse schließen Unterverzeichnisse in einem ausgeschlossenen Verzeichnis nicht aus.

In WatchGuard Endpoint Security verhindern drei Funktionen die Programmblockierung:

Ausgenommene Dateien und Pfade

Schließt spezifische Elemente oder Bereiche auf dem Computer von Scans aus. Die Ausführung unbekannter Software wird nicht verhindert. Da dies zu einer Sicherheitslücke führen kann, empfehlen wir dies nur, wenn es Probleme mit der Computerleistung gibt.

Aufheben der Blockierung für Programme, die dabei sind, klassifiziert zu werden

Lässt die Ausführung blockierter Programme vorübergehend zu, aber mit einem reaktiven Ansatz. Der Administrator kann die Blockierung eines Programms erst aufheben, wenn es zuvor blockiert wurde.

Das Software aus mehreren Komponenten bestehen kann und Sie die Blockierung jeder Komponente einzeln aufheben müssen, kann der Prozess des Blockierens und des Aufhebens der Blockierung eine Weile dauern.

Autorisierte Software konfigurieren

Proaktives Freischalten für unbekannte Programme, die dabei sind, klassifiziert zu werden. Der Administrator kann Programmen aus einer bekannten Quelle Einstellungen zuweisen, so dass diese verwendet werden können, wenn kein Risiko entdeckt wird. Dies ist die empfohlene Methode für das Freischalten von Programmen.

In einem Autorisierte Software-Einstellungsprofil können Sie Einstellungen für das Autorisieren von Software oder einer Gruppe Software konfigurieren, deren Ausführung Sie vor ihrer Klassifizierung zulassen wollen. Wenn Sie z. B. die Quelle des Programms und den Blockierungsgrund kennen, können Sie das Programm entsperren. Beispiele von Programmen, die Sie eventuell entsperren wollen:

  • Spezifische Nischenprogramme mit sehr wenig Benutzern
  • Programme, die automatisch ohne Benutzerinteraktion von der Anbieter-Webseite aus aktualisiert werden
  • Programme mit Funktionen, die über Hunderte von Bibliotheken verteilt sind, die im Speicher geladen sind und deshalb blockiert werden, wenn sie vom Benutzer über Programmmenüs verwendet werden
  • Client-Server-Modell-Programme, bei denen die Client-Seite auf einer gemeinsam genutzten Netzwerkressource gehostet wird
  • Polymorphische Software, die dynamisch ausführbare Dateien generiert

Mit Autorisierte Software-Einstellungen können Sie die Ausführung von ausführbaren binären Dateien, außer Skriptdateien, eigenständige DLLs und andere Dateien genehmigen. Falls WatchGuard Endpoint Security ein Programm blockiert, weil es eine unbekannte DLL herunterlädt, autorisieren Sie die in der Pop-up-Meldung auf dem Benutzercomputer angegebene ausführbare Datei. Nachdem das Programm autorisiert ist, werden auch alle DLL-Dateien und -Ressourcen, die dieses verwendet, zugelassen.

Nach der Programmanalyse klassifiziert WatchGuard Endpoint Security das Programm als Goodware oder Malware. Wenn das Programm eine Bedrohung darstellt, wird es blockiert, auch wenn es in diesen Einstellungen autorisiert wurde.

Geerbte autorisierte Software

Standardmäßig können Sie die von Ihrem Service-Provider geerbten Autorisierte Software-Einstellungen nicht bearbeiten oder löschen. Der Service-Provider kann die Liste der autorisierten Software so konfigurieren, dass sie bearbeitbar ist. Das Einstellungsprofil ist mit einem Label für Bearbeitbare Einstellungen versehen. In diesem Fall können Sie autorisierte Software hinzufügen, aber Sie können die vom Service-Provider definierte Software-Liste nicht löschen oder bearbeiten.

Falls Ihr Service-Provider den Status der Einstellungen von bearbeitbar auf nicht bearbeitbar ändert, ist die von Ihnen hinzugefügte autorisierte Software nicht länger anwendbar. Es ist dann nur noch die Software des Service-Providers anwendbar. Falls der Service-Provider die Konfiguration wieder auf bearbeitbar ändert, dann wird die von Ihnen zuvor hinzugefügte autorisierte Software wiederhergestelt und ist wieder anwendbar.

Konfigurieren der Einstellungen für autorisierte Software

Konfigurieren der Einstellungen für autorisierte Software:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie im linken Fenster Autorisierte Software.
  4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
    Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.

Screen shot of WatchGuard Endpoint Security, Authorized Software settings

  1. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
  2. Um eine neue Regel zu erstellen, klicken Sie auf Programme autorisieren.
    Das Dialogfeld Programme autorisieren wird geöffnet.

Screen shot of WatchGuard Endpoint Security, Authorize Programs dialog box

  1. Wählen Sie MD5, um die Programmdatei mit einem MD5-Hashcode zu spezifizieren.
  2. Geben Sie in das Textfeld MD5-Hashes für das Programm ein, das Sie hinzufügen wollen.
    Weitere Informationen finden Sie unter Berechnen des MD5 von einer oder mehreren Dateien.
  3. Um das Programm, das Sie hinzufügen wollen, mittels Programmeigenschaften zu spezifizieren, wählen Sie Programmeigenschaften.
    • Signatur – SHA-1 digitale Signatur der Datei. Weitere Informationen finden Sie unter Thumbprint eines signierten Programms erlangen.
    • Produktname – Produktnamenwert von der Kopfzeile der Datei, die Sie entsperren wollen. Um den Produktnamen anzuzeigen, rechtsklicken Sie auf die Programmdatei und wählen Eigenschaften > Details.
    • Dateipfad – Pfad des Programms auf dem Server oder der Workstation. Systemumgebungsvariablen sind zulässig. Autorisierte Software-Ausschlüsse schließen etwaige Unterverzeichnisse in einem ausgeschlossenen Verzeichnis nicht aus. Sie müssen jeden Dateipfad einzeln angeben.
    • Dateiname – Der Name der Datei, die Sie entsperren wollen. Platzhalter * und ? sind zulässig.
    • Dateiversion – Version aus dem Header der Datei, die Sie entsperren wollen. Um die Version anzuzeigen, rechtsklicken Sie auf die Programmdatei und wählen Eigenschaften > Details.
  4. Klicken Sie auf Autorisieren.
  5. Klicken Sie auf Speichern.
  6. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Ein Einstellungsprofil zuweisen.

Berechnen des MD5 von einer oder mehreren Dateien

Es gibt viele Tools für die Berechnung des MD5 einer Datei. Dieser Abschnitt beschreibt die Verwendung des PowerShell Tool in Windows 10.

  1. Öffnen Sie im Dateimanager den Ordner mit den Dateien.
  2. Wählen Sie Datei > Windows PowerShell öffnen.
    Es wird ein Fenster mit der Befehlszeile geöffnet.

Bildschirmfoto des PowerShell-Fensters

  1. Geben Sie den folgenden Befehl ein und ersetzen Sie $files mit dem Dateipfad. Platzhalter * und ? sind zulässig.

PS c:\folder> Get-FileHash -Algorithm md5 -path $files

  1. Um die MD5-Hashes zur Zwischenablage zu kopieren, halten Sie die Taste Alt gedrückt und markieren Sie die Hashes mit dem Mauszeiger. Drücken Sie Strg + C.
  2. Um alle MD5-Hashes aus der Zwischenablage in der Endpoint Security-Verwaltungsoberfläche einzufügen, klicken Sie in das Feld MD5 der Autorisierte Software-Regel und drücken Sie die Tastenkombination Strg + V.
  3. Klicken Sie auf Autorisieren.
  4. Klicken Sie auf Speichern.
    Die Autorisierte Software-Einstellungen werden aktualisiert.

Thumbprint eines signierten Programms erlangen

  1. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften.
  2. Wählen Sie im Fenster Eigenschaften die Registerkarte Digitale Signaturen.
  3. Wählen Sie die Signatur aus der Signaturenliste.
  4. Klicken Sie auf Details.
    Das Fenster Digitale Signatur wird geöffnet.
  5. Wählen Sie im Fenster Details der digitalen Signatur die Registerkarte Allgemein und klicken Sie auf Zertifikat anzeigen.
    Das Zertifikat-Fenster wird geöffnet.
  6. Wählen Sie im ZertifikatPfad die Registerkarte Zertifikatspfad und stellen Sie sicher, dass der Endknoten des Zertifikatspfads ausgewählt ist.
  7. Wählen Sie im Zertifikat-Fenster die Registerkarte Details und wählen Sie das Feld Thumbprint.
  8. Markieren Sie die Zeichenfolge aus dem angezeigten Textfeld und drücken Sie Strg + C, um sie zur Zwischenablage zu kopieren.
  9. Klicken Sie in das Feld Signatur der Autorisierte Software-Regel und drücken Sie die Tastenkombination Strg + V, um den Fingerabdruck (Thumbprint) in die Verwaltungsoberfläche einzufügen.
  10. Klicken Sie auf Autorisieren.
  11. Klicken Sie auf Speichern.
    Die Autorisierte Software-Einstellungen werden aktualisiert.

Related Topics

Einstellungsprofile verwalten

Dateien und Dateipfade von Scans ausschließen

Erweiterter Schutz – Betriebsmodi (nur Windows-Computer)