Autorisierte Software-Einstellungen konfigurieren (Windows-Computer)

Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

Die Einstellungen für autorisierte Software können nur Windows-Servern und Workstations zugewiesen werden. Autorisierte Software-Ausschlüsse schließen keine Unterverzeichnisse innerhalb eines ausgeschlossenen Verzeichnisses aus.

In WatchGuard Endpoint Security verhindern drei Funktionen die Programmblockierung:

Ausgenommene Dateien und Pfade

Schließt spezifische Elemente oder Bereiche auf dem Computer von Scans aus. Die Ausführung unbekannter Software wird nicht verhindert. Da dies zu einer Sicherheitslücke führen kann, empfehlen wir dies nur, wenn es Probleme mit der Computerleistung gibt. Nur der Ordner im angegebenen Pfad ist ausgeschlossen. Unterordner sind nicht ausgeschlossen.

Aufheben der Blockierung für Programme, die dabei sind, klassifiziert zu werden

Lässt die Ausführung blockierter Programme vorübergehend zu, aber mit einem reaktiven Ansatz. Der Administrator kann die Blockierung eines Programms erst aufheben, wenn es zuvor blockiert wurde.

Das Software aus mehreren Komponenten bestehen kann und Sie die Blockierung jeder Komponente einzeln aufheben müssen, kann der Prozess des Blockierens und des Aufhebens der Blockierung eine Weile dauern.

Autorisierte Software konfigurieren

Proaktives Freischalten für unbekannte Programme, die dabei sind, klassifiziert zu werden. Der Administrator kann Programmen aus einer bekannten Quelle Einstellungen zuweisen, so dass diese verwendet werden können, wenn kein Risiko entdeckt wird. Dies ist die empfohlene Methode für das Freischalten von Programmen.

In einem Autorisierte Software-Einstellungsprofil können Sie Einstellungen für das Autorisieren von Software oder einer Gruppe Software konfigurieren, deren Ausführung Sie vor ihrer Klassifizierung zulassen wollen. Wenn Sie z. B. die Quelle des Programms und den Blockierungsgrund kennen, können Sie das Programm entsperren. Beispiele von Programmen, die Sie eventuell entsperren wollen:

  • Spezifische Nischenprogramme mit sehr wenig Benutzern
  • Programme, die automatisch ohne Benutzerinteraktion von der Anbieter-Webseite aus aktualisiert werden
  • Programme mit Funktionen, die über Hunderte von Bibliotheken verteilt sind, die im Speicher geladen sind und deshalb blockiert werden, wenn sie vom Benutzer über Programmmenüs verwendet werden
  • Client-Server-Modell-Programme, bei denen die Client-Seite auf einer gemeinsam genutzten Netzwerkressource gehostet wird
  • Polymorphische Software, die dynamisch ausführbare Dateien generiert

Caution: Mit Autorisierte Software-Einstellungen können Sie die Ausführung von ausführbaren binären Dateien, außer Skriptdateien, eigenständige .DLLs und andere Dateien genehmigen. Falls Endpoint Security ein Programm blockiert, weil es eine unbekannte DLL herunterlädt, können Sie die in der Pop-up-Meldung auf dem Benutzercomputer angegebene ausführbare Datei autorisieren. Nachdem das Programm autorisiert ist, werden auch alle DLL-Dateien und -Ressourcen, die dieses verwendet, autorisiert. Dasselbe Verhalten gilt für Dateien, die von einem autorisierten .MSI-Installationsprogramm oder einer sich selbst entpackenden .EXE-Datei stammen. Von der .MSI oder .EXE erstellte Prozesse sind ebenfalls autorisiert.

Nach der Programmanalyse klassifiziert Endpoint Security das Programm als Goodware oder Malware. Wenn das Programm eine Bedrohung darstellt, wird es blockiert, auch wenn es in diesen Einstellungen autorisiert wurde.

Autorisierte Software-Einstellungen übernehmen

Standardmäßig können Sie die von Ihrem Service-Provider geerbten Autorisierte Software-Einstellungen nicht bearbeiten oder löschen. Wenn der Service-Provider die Liste der autorisierten Software so konfiguriert, das sie bearbeitbar ist, dann zeigt das Einstellungsprofil ein Label Bearbeitbare Einstellungen. In diesem Fall können Sie autorisierte Software hinzufügen, aber Sie können die vom Service-Provider definierte Software-Liste nicht löschen oder bearbeiten.

Falls Ihr Service-Provider den Status der Einstellungen von bearbeitbar auf nicht bearbeitbar ändert, ist die von Ihnen hinzugefügte autorisierte Software nicht länger anwendbar. Es ist dann nur noch die Software des Service-Providers anwendbar. Falls der Service-Provider die Konfiguration wieder auf bearbeitbar ändert, dann wird die von Ihnen zuvor hinzugefügte autorisierte Software wiederhergestellt und ist wieder anwendbar.

Einstellungen für autorisierte Software konfigurieren

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Autorisierte Software konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Konfigurieren der Einstellungen für autorisierte Software:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Einstellungen.
  3. Wählen Sie im linken Fenster Autorisierte Software.
  4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
    Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.

Screen shot of WatchGuard Endpoint Security, Authorized Software settings

  1. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
    Wir empfehlen Ihnen, einen aussagekräftigen Namen einzugeben, wie MD5 ausschließen, Programmversion ausschließen oder Pfad ausgeschlossen.
  2. Um eine neue Richtlinie zu erstellen, klicken Sie auf Programme autorisieren.
    Das Dialogfeld Programme autorisieren wird geöffnet.

Screen shot of Endpoint Security Authorize Programs dialog box

  1. Wählen Sie MD5 oder SHA-256, um die ausführbare Datei mit einem MD5-Hashcode zu spezifizieren.
  2. Geben Sie in das Textfeld MD5- oder SHA-256-Hashes für das Programm ein, das Sie hinzufügen wollen.
    Für MD5 könnten Sie beispielsweise 938c2cc0dcc05f2b68c4287040cfcf71 eingeben. Weitere Informationen finden Sie unter Berechnen des MD5 oder SHA-256 von einer oder mehreren Dateien.
  3. Um das Programm, das Sie hinzufügen wollen, mittels Programmeigenschaften zu spezifizieren, wählen Sie Programmeigenschaften.
    • Signatur – SHA-1 digitale Signatur der Datei. Weitere Informationen finden Sie unter Thumbprint eines signierten Programms erlangen.
    • Produktname – Produktnamenwert von der Kopfzeile der Datei, die Sie entsperren wollen.Um den Produktnamen anzuzeigen, rechtsklicken Sie auf die Programmdatei und wählen Eigenschaften > Details.
    • Dateipfad – Pfad des Programms auf dem Server oder der Workstation. Systemumgebungsvariablen sind zulässig. Autorisierte Software-Ausschlüsse schließen keine Unterverzeichnisse innerhalb eines ausgeschlossenen Verzeichnisses aus. Sie müssen jeden Dateipfad einzeln angeben. Beispielsweise beinhaltet C:\panda nur Dateien auf dieser Ebene des Verzeichnisses.
    • Dateiname – Der Name der Datei, die Sie entsperren wollen. Platzhalter * und ? sind zulässig.
    • Dateiversion – Version aus dem Header der Datei, die Sie entsperren wollen. Um die Version anzuzeigen, rechtsklicken Sie auf die Programmdatei und wählen Eigenschaften > Details. Beispielsweise könnten Sie 0.1.777.0 genaue Version eingeben.
  4. Klicken Sie auf Autorisieren.
  5. Klicken Sie auf Speichern.
  6. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Einstellungsprofile zuweisen.

Berechnen des MD5 oder SHA-256 von einer oder mehreren Dateien

Es gibt viele Tools für die Berechnung des MD5 oder SHA-256 einer Datei. Dieser Abschnitt beschreibt die Verwendung des PowerShell Tool in Windows 10.

  1. Öffnen Sie im Dateimanager den Ordner mit den Dateien.
  2. Wählen Sie Datei > Windows PowerShell öffnen.
    Es wird ein Fenster mit der Befehlszeile geöffnet.

Screen shot of the PowerShell window

  1. Geben Sie den folgenden Befehl ein und ersetzen Sie $files mit dem Dateipfad. Platzhalter * und ? sind zulässig.
    1. Für md5: PS c:\folder> Get-FileHash -Algorithm md5 -path $files
    2. Für SHA-256: PS c:\folder> Get-FileHash -Algorithm SHA256 -path $files
  1. Um die Hashes zur Zwischenablage zu kopieren, halten Sie die Taste Alt gedrückt und markieren Sie die Hashes mit dem Mauszeiger. Drücken Sie Strg + C.
  2. Um alle Hashes aus der Zwischenablage in der Endpoint Security-Verwaltungsoberfläche einzufügen, klicken Sie in das Feld MD5 oder SHA-256 der Autorisierte Software-Richtlinie und drücken Sie die Tastenkombination Strg + V.
  3. Klicken Sie auf Autorisieren.
  4. Klicken Sie auf Speichern.
    Die Autorisierte Software-Einstellungen werden aktualisiert.

Thumbprint eines signierten Programms erlangen

  1. Öffnen Sie die Windows PowerShell.
  2. Navigieren Sie zu dem Verzeichnis, in dem sich das signierte Programm befindet.
  3. Führen Sie den Befehl Get-AuthenticodeSignature -FilePath ApplicationName.exe aus, wobei ApplicationName der Name des signierten Programms ist.
  4. Markieren Sie die Zeichenkette und kopieren Sie sie in die Windows-Zwischenablage.
  5. Öffnen Sie ein Textdokument und fügen Sie die Zeichenfolge in das Dokument ein.
  6. Entfernen Sie die Leerzeichen zwischen den Zeichen.
  7. Kopieren Sie die Zeichenfolge ohne Leerzeichen.
  8. Wählen Sie im Dialogfeld Programme autorisieren die Option Programmeigenschaften.
  9. Fügen Sie im Textfeld Signatur die Zeichenfolge ohne Leerzeichen ein.

Screenshot of Authorize Programs, Signature text box

  1. Klicken Sie auf Autorisieren.
  2. Klicken Sie auf Speichern.
    Die Autorisierte Software-Einstellungen werden aktualisiert.

Ähnliche Themen

Einstellungsprofile verwalten

Dateien und Dateipfade von Scans ausschließen

Ausschlüsse in WatchGuard Endpoint Security erstellen

Erweiterter Schutz – Betriebsmodi (nur Windows-Computer)