Einstellungen für RDP Angriff konfigurieren

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EDPR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.

Der RDP-Angriffseindämmungsmodus ermöglicht es WatchGuard Endpoint Security, Remote-Desktop-Angriffe (RDP) automatisch zu stoppen. WatchGuard Endpoint Security achtet auf Brute-Force-Angriffe auf RDP und Zugangsdaten, die nach Brute-Force-Angriffen kompromittiert sind.

Sie können in einem Angriffsindikatoren-Einstellungsprofil konfigurieren, welches Verhalten WatchGuard Endpoint Security als RDP-Angriff identifiziert. Wenn Sie den Schalter RDP Angriff im Einstellungsprofil aktivieren, führt WatchGuard Endpoint Security diese Aktionen auf den Empfängercomputern aus:

• Protokolliert Remote Access-Versuche über RDP auf allen geschützten Computern in den letzten 24 Stunden, die ihren Ursprung außerhalb des Kundennetzwerks haben.
• Ermittelt, ob der Computer einem RDP Brute-Force-Angriff unterliegt.
• Erkennt, ob Computer-Konten bereits kompromittiert wurden, um auf Ressourcen im System zuzugreifen.
• Blockiert RDP-Verbindungen, um den Angriff abzumildern.

So konfigurieren Sie die Reaktionseinstellungen für einen RDP Angriff:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Angriffsindikatoren.
4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
   
5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
6. Aktivieren Sie den Schalter RDP-Angriff.

7. Wählen Sie Erweiterte Einstellungen.

8. Geben Sie im Abschnitt Automatische Reaktion die automatische Problembehebung für Workstations und Server an (Melden oder Melden und Blockieren).
9. Fügen Sie im Abschnitt Vertrauenswürdige IP-Adressen IP-Adressen und IP-Bereiche hinzu, die ausgenommen werden sollen.
   Dies ist eine Liste der Computer, die Sie als sicher betrachten. Diese IPs werden gemeldet, aber nicht blockiert.
10. Aktivieren Sie die Schalter für alle anderen Angriffsindikatoren, die Sie im Profil einbeziehen wollen.
    Klicken Sie für Informationen zum Typ der IOA auf das Informationssymbol. WatchGuard aktualisiert regelmäßig die Liste der Angriffsindikatoren, um neue, von Cyberkriminellen verwendete Strategien widerzuspiegeln. In Advanced EPDR können Sie außerdem Erweiterte IOA aktivieren. Erweiterte IOA bietet eine detaillierte Überwachung der Anwendungen auf Ihren Computern, erkennt verdächtiges Verhalten und bestimmt, ob es sich bei dem Ereignis um einen IOA handelt.
11. Klicken Sie auf Speichern.
12. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Ein Einstellungsprofil zuweisen.

Related Topics

Einstellungsprofile verwalten

RDP Angriffseindämmungsmodi