Einstellungen für Kontrolle des Endgerätezugriffs konfigurieren (Windows-Computer)

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.

Sie können Einstellungen für Kontrolle des Endgerätezugriffs nur Windows-Servern oder -Workstations zuweisen.

Die Kontrolle des Endgerätezugriffs überwacht Verbindungen zu Computern in Ihrem Netzwerk, um Bedrohungen durch ungeschützte Geräte (Windows, Mac und Linux) zu verringern. Im Einstellungsprofil für die Kontrolle des Endgerätezugriffs können Sie Einstellungen konfigurieren, um die Bedingungen vorzugeben, die einen gefährdeten Computer identifizieren, und eine Aktion angeben, die für eingehende Verbindungen von gefährdeten Computern auszuführen ist. Standardmäßig überwacht Kontrolle des Endgerätezugriffs eingehende Verbindungen für SMB- und RDP-Datenverkehr. Sie können weitere Protokolle angeben, die bei eingehenden Verbindungen überwacht werden sollen.

Bei Advanced EPDR, EPDR und EDR können Sie eingehende Verbindungen von gefährdeten Computern auf dem Dashboard Kontrolle des Endgerätezugriffs überwachen. Sie können die Informationen vom Dashboard nutzen, um bezüglich der gefährdeten Geräte zu handeln. Weitere Informationen finden Sie unter Kontrolle des Endgerätezugriffs-Dashboard.

Mit Advanced EPDR können Sie auch Verbindungen von gefährdeten Computern blockieren.

Systemanforderungen

Um die Kontrolle des Endgerätezugriffs zu nutzen, stellen Sie sicher, dass Ihr Computer die folgenden Systemanforderungen erfüllt:

• WatchGuard Agent: Um eingehende Verbindungen von gefährdeten Computern zu überwachen, muss auf dem Computer Advanced EPDR, EPDR oder EDR v 4.40 oder höher installiert sein. Um Verbindungen von gefährdeten Computern zu blockieren, muss darauf Advanced EPDR v4.40 oder höher installiert sein.

• Betriebssystem: Kontrolle des Endgerätezugriffs ist mit Windows-Computern kompatibel.

  Computer mit einem macOS- oder Linux-Betriebssystem und Advanced EPDR v4.40 oder höher melden den Status der Sicherheitssoftware an Windows-Computer, die ihre Risikostufen beurteilen.

• Offene Ports am Computer: Der auf dem Computer installierte WatchGuard Agent muss über TCP-Port 33000 mit anderen Computern kommunizieren können.

Zugelassene IP-Adressen zu Service-Provider-Einstellungen hinzufügen

Standardmäßig können Sie die von Ihrem Service-Provider zugewiesenen Einstellungen der Kontrolle des Endgerätezugriffs nicht bearbeiten oder löschen. Wenn Ihr Service-Provider die zugelassenen IP-Adressen für ein Protokoll als bearbeitbar konfiguriert, dann zeigt das Einstellungsprofil die Kennung Bearbeitbares Protokoll und Sie können zugelassene IP-Adressen hinzufügen. Sie können die vom Service-Provider definierte Liste nicht löschen oder bearbeiten. Dies könnte nützlich sein für interne Server oder Server mit häufigen Verbindungen zu Workstations, wie Backup-Server und Active Directory-Server, bei denen Sie nicht wollen, dass Endpoint Security diese prüft oder blockiert (Nur Advanced EPDR).

Wenn Ihr Service-Provider den Status der Einstellungen von bearbeitbar zu nicht bearbeitbar ändert, dann gelten von Ihnen hinzugefügte zugelassene IP-Adressen nicht mehr und nur die vom Service-Provider zugelassenen IP-Adressen gelten. Falls der Service-Provider die Konfiguration wieder auf bearbeitbar ändert, dann werden die von Ihnen zuvor hinzugefügten zugelassenen IP-Adressen wiederhergestellt und angewendet.

Kontrolle des Endgerätezugriffs konfigurieren

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Kontrolle des Endgerätezugriffs konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So konfigurieren Sie die Einstellungen für Kontrolle des Endgerätezugriffs:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Kontrolle des Endgerätezugriffs.
4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.

5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
6. Wählen Sie die Bedingungen, die einen gefährdeten Computer identifizieren:
   • Nicht verwaltet / Nicht verfügbar — Der erkannte Computer hat Advanced EPDR, EPDR bzw. EDR nicht installiert oder steht für eine Verbindung nicht zur Verfügung. Stellen Sie sicher, dass der Schutz die Mindestanforderungen erfüllt. Weitere Informationen finden Sie unter Systemanforderungen.
   • Von einem anderen Konto verwaltet — Auf dem erkannten Computer ist Advanced EPDR, EPDR oder EDR installiert, aber er wird von einem anderen Konto verwaltet.
   • Schutz nicht aktiviert — Auf dem erkannten Computer ist Advanced EPDR, EPDR oder EDR installiert, aber die Schutz-Software ist deaktiviert.
   • Risikostufe größer oder gleich: — Der Risikograd des erkannten Computers ist größer als oder gleich des von Ihnen ausgewählten Schweregrads:
     • Mittel — Zeigt an, dass weitere Risikofaktoren gefunden wurden, die Sie behandeln sollten.
     • Hoch — Zeigt an, dass latente Malware gefunden wurde, die zu jedem Zeitpunkt ausgeführt werden könnte, oder dass es dringend erforderlich ist, die Angriffsfläche zu verringern.
     • Kritisch — Zeigt an, dass bestätigte Malware ausgeführt wurde oder dass ein gefährliches Expositionsniveau für einen Cyberangriff besteht.
7. Wählen Sie die Aktion, die ergriffen werden soll, wenn Kontrolle des Endgerätezugriffs eine Verbindung von einem gefährdeten Computer erkennt:
   • Prüfen — Meldet erkannte eingehende Verbindungen, aber blockiert die Verbindung nicht. Dies ist die Standardaktion. Erkannte Verbindungen werden auf dem Dashboard Kontrolle des Endgerätezugriffs angezeigt. Weitere Informationen finden Sie unter Kontrolle des Endgerätezugriffs-Dashboard.
   • Blockieren — Meldet und blockiert erkannte eingehende Verbindungen. (Nur Advanced EPDR)
8. (Optional) Um die Standard-Protokolle zu ändern, die Sie überwachen wollen, können Sie im Abschnitt Überwachen Sie diese Protokolle, wenn ein Computer eine eingehende Verbindung empfängt ein bestehendes Protokoll hinzufügen, bearbeiten oder löschen.

   Kontrolle des Endgerätezugriffs überwacht nur die mit dem ausgewählten Protokoll verknüpften Standard-TCP/UDP-Ports. ICMP wird nicht unterstützt.

   1. Um ein neues Protokoll hinzuzufügen, klicken Sie auf . Um ein bestehendes Protokoll zu bearbeiten, wählen Sie das Protokoll aus und klicken Sie auf .
      Das Dialogfeld Protokoll konfigurieren wird geöffnet.
      
   2. Wählen Sie in der Dropdown-Liste Protokoll das Datenverkehrsprotokoll für die Portnummern, die Sie überwachen möchten.
      Die mit dem ausgewählten Protokoll verknüpften Standard-TCP/UDP-Ports werden im Textfeld Ports angezeigt.
      
   3. Bei Bedarf können Sie im Textfeld Ports Ports hinzufügen oder entfernen.
   4. Um Verbindungen zu Servern zu überwachen, deaktivieren Sie Gilt nur für Workstations (gilt nicht für Server).
   5. Um Verbindungen von spezifischen IP-Adressen immer zuzulassen, geben Sie die IPv4- oder IPv6-Adressen oder Adressbereiche in das Textfeld ein.
   6. Klicken Sie auf Speichern.
      Das Protokoll wird in der Liste angezeigt. Um ein Protokoll zu löschen, wählen Sie das Protokoll aus und klicken Sie auf .
      
9. (Advanced EPDR) Wenn Sie die Blockieraktion ausgewählt haben, dann können Sie lokale Warnmeldungen auf dem Endpoint-Gerät anzeigen.
   1. Um lokale Warnmeldungen auf dem Endpoint-Gerät anzuzeigen, wenn Kontrolle des Endgerätezugriffs eine Verbindung von einem gefährdeten Computer erkennt, aktivieren Sie Jedes Mal eine Warnung anzeigen, wenn die Kontrolle des Endgerätezugriffs eine Verbindung blockiert.
      Das Textfeld Benutzerdefinierte Warnmeldungen wird angezeigt.
      
   2. Um eine benutzerdefinierte Meldung für die Warnmeldung hinzuzufügen, geben Sie im Textfeld eine Meldung ein.
10. Klicken Sie auf Speichern.
11. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Einstellungsprofile zuweisen.

Ähnliche Themen

Kontrolle des Endgerätezugriffs-Dashboard