Ausführen blockierter Elemente zulassen

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt., WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt.,WatchGuard EDR Core Dieses Thema betrifft das WatchGuard EDR Core Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.

WatchGuard Endpoint Security analysiert und klassifiziert automatisch alle unbekannten Prozesse in den ersten 24 Stunden nach Erkennung auf einer Workstation oder Server. Dieser Prozess klassifiziert den Prozess als Goodware oder Malware und teilt die Klassifikation mit allen Kunden.

Um die Sicherheit der Computer im Netzwerk zu erhöhen, bietet Endpoint Security die Modi Hardening und Lock in den Einstellungen Erweiterter Schutz. In beiden Modi blockiert Endpoint Security Prozesse während des Klassifikationsvorgangs, um potenzielle Risiken zu verhindern. Benutzer können blockierte Prozesse nicht ausführen, bis der Klassifikationsvorgang abgeschlossen ist. Die Klassifikation wird auf zwei Wegen durchgeführt:

• Automatisierte Analyse — Primäre Methode zur Klassifikation. Erfolgt automatisch in Echtzeit.
• Manuelle Analyse — Wenn die automatisierte Analyse keine Klassifikation des unbekannten Prozesses mit einer Sicherheit von 99,999 % ausgeben kann, dann analysiert ein WatchGuard Malware-Experte eine Stichprobe des Prozesses manuell. Die Durchführung dieser Analyse kann eine kurze Zeit dauern.

In Fällen, in denen die Klassifikation nicht sofort erfolgt, können Sie ein blockiertes Element zulassen, nachdem Endpoint Security es erkannt und blockiert hat.

Wir empfehlen Ihnen das Zulassen nicht klassifizierter Elemente nicht, da dies ein Risiko für die Integrität der Daten und IT-Systeme des Unternehmens darstellen könnte.

Wenn ein Angriff oder ein Programm von Endpoint Security blockiert wird, dann erhöht sich die Anzahl der Elemente auf der entsprechenden Kachel des Sicherheits-Dashboards. Auf jeder dieser Kacheln können Sie zulassen, dass ein blockiertes Element ausgeführt wird:

• Derzeit blockierte Programme werden klassifiziert — Blockierung von Elementen, die sich im Prozess der Klassifikation befinden, wird aufgehoben.
• Malware-Aktivität — Lässt die Ausführung von als Malware klassifizierten Programmen zu.
• PUP-Aktivität — Lässt die Ausführung von als PUPs klassifizierten Programmen zu.
• Exploit-Aktivität — Lässt die Ausführung von Exploit-Techniken zu.
• Vom Virenschutz erkannte Bedrohungen — Elemente, die von Endpoint Security gelöscht wurden und die mit einer Signatur in der Signatur-Datei übereinstimmten, werden aus der Quarantäne wieder hergestellt.
• Netzwerkangriffe — Lässt Datenverkehr, der durch Schutz vor Netzwerkangriffen als gefährlich klassifiziert wurde, zu. (Der Schutz vor Netzwerkangriffen ist in EDR Core und WatchGuard EPP nicht verfügbar.)

Wenn Sie sicherstellen wollen, dass ein neuer Prozess oder ein neues Programm nicht blockiert wird, können Sie die Software oder das Programm proaktiv autorisieren. Informationen zum Hinzufügen eines Programms zur Liste der autorisierten Software finden Sie unter Autorisierte Software-Einstellungen konfigurieren (Windows-Computer).

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Bedrohungen vorübergehend ausschließen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

Elemente mit ausstehender Klassifikation entblocken

Im Allgemeinen wird das Zulassen nicht klassifizierter Elemente nicht empfohlen, da dies ein Risiko für die Integrität der Daten und IT-Systeme des Unternehmens darstellen könnte. Wenn Benutzer nicht auf die Klassifikation eines Elements warten können, dann kann der Administrator es manuell entblocken.

So lassen Sie die Ausführung eines unbekannten Elements, das sich im Prozess der Klassifikation befindet, zu:

1. Wählen Sie Status > Sicherheit.
2. Klicken Sie auf die Kachel Derzeit blockierte Programme werden klassifiziert.
3. Wählen Sie das Element, das Sie entblocken wollen, auf der Liste aus.

4. Klicken Sie auf der Seite Blockiertes Programm – Details auf Entsperren.
   Es wird ein Dialogfeld angezeigt, das Sie über das Risiko beim Entblocken eines unbekannten Elements und die Bewertung der Risikostufe informiert.
5. Klicken Sie auf Blockierung aufheben.

Endpoint Security führt die folgenden Aktionen aus:

• Lässt zu, dass das Element auf allen verwalteten Computern im IT-Netzwerk ausgeführt wird.
• Analysiert das Element weiter, bis es klassifiziert ist.
• Lässt zu, dass alle vom Programm verwendeten Bibliotheken und binären Dateien ausgeführt werden, außer diese sind bereits bekannt und als Bedrohungen klassifiziert.
• Entfernt das Element von der Liste Derzeit blockierte Programme werden klassifiziert.
• Fügt das Element zur Liste Vom Administrator erkannte Elemente hinzu.

Ausführung von als Malware, PUP oder Exploit klassifizierten Elementen zulassen

Administratoren können Software und Prozesse, die Endpoint Security als eine Bedrohung klassifiziert hat (z. B. eine Toolbar mit zusätzlichen Suchfunktionen, die als PUP klassifiziert ist), zulassen.

So lassen Sie die Ausführung eines als Malware, PUP oder Exploit klassifizierten Programms zu:

1. Wählen Sie Status > Sicherheit.
2. Klicken Sie auf die Kachel Malware-Aktivität, PUP-Aktivität, oder Exploit-Aktivität.
3. Wählen Sie auf der Liste die Bedrohung aus, deren Ausführung Sie zulassen wollen.
4. Klicken Sie auf der Seite Details auf das Info-Symbol neben der Aktion.
   Ein Pop-up-Dialogfeld beschreibt die von Endpoint Security ergriffene Aktion.

5. Klicken Sie Nicht erneut erkennen.

Endpoint Security führt die folgenden Aktionen aus:

• Lässt zu, dass das Element auf allen Computern ausgeführt wird, die vom Administrator verwaltet werden. Bei Exploits lassen Sie die Ausführung der spezifischen Exploit-Technik zu, die bei dem spezifischen anfälligen Programm verwendet wurde.
• Lässt zu, dass alle vom Programm verwendeten Bibliotheken und binären Dateien ausgeführt werden, außer diese sind bereits bekannt und als Bedrohungen klassifiziert.
• Fügt das Element zur Liste Vom Administrator erkannte Elemente hinzu.
• Hört auf, Vorfälle für das Element auf den Kacheln Malware, PUP und Exploit zu generieren.

Netzwerkangriff nicht erneut erkennen

Wenn Endpoint Security Datenverkehrsverhalten erkennt, das es für einen Netzwerkangriff hält, dann verhindert Schutz vor Netzwerkangriffen, dass dieser Datenverkehr die Benutzer-Computer erreicht. Informationen zum Typ der erkannten Angriffe finden Sie unter Schutz vor Netzwerkangriffen — Erkannte Angriffstypen (Windows-Computer).

Wenn Sie dieses Datenverkehrsverhalten nicht für eine Bedrohung halten, können Sie einen Ausschluss für die Quell-IP-Adresse und den Angriffstyp erstellen. Der Ausschluss gilt für alle von Endpoint Security verwalteten Computer.

So beenden Sie das Blockieren eines Elements und erstellen einen Ausschluss für die Netzwerkangriffsaktivität:

1. Wählen Sie Status > Sicherheit.
2. Klicken Sie auf die Kachel Netzwerkangriffsaktivität.
3. Wählen Sie auf der Liste den Typ des Netzwerkangriffs, den Sie zulassen wollen.
4. Klicken Sie auf der Seite Netzwerksangriffserkennung auf das Informationssymbol neben der Aktion.
   Ein Pop-up-Dialogfeld erklärt die von Endpoint Security ergriffene Aktion.

5. Klicken Sie Nicht erneut erkennen.
   Das Dialogfeld Nicht erneut erkennen wird geöffnet. Es zeigt den Typ des Angriffs (z. B. Man in the Middle-Angriff) und die Quell-IP-Adresse.

6. Geben Sie in das Textfeld Diese Art von Netzwerkangriff von diesen IP-Adressen zulassen die Quell-IP-Adressen ein, von denen Sie eingehenden Datenverkehr für diesen Angriffstyp zulassen wollen.
   Sie können einzelne IP-Adressen mit Komma getrennt oder IP-Adressbereiche mit Gedankenstrich getrennt eingeben. Wenn Sie zulassen wollen, dass alle IP-Adressen Datenverkehr des angegebenen Angriffstyps senden können, dann lassen Sie das Textfeld leer.
7. Klicken Sie Nicht erneut erkennen.

Endpoint Security führt die folgenden Aktionen aus:

• Lässt zu, dass eingehender Datenverkehr des entsprechenden Angriffstyps ins Netzwerk gelangt, wenn die Quell-IP-Adresse auf der Liste steht.
• Generiert keine Erkennungen für diesen Datenverkehr mehr.
• Bezieht den Angriffstyp in die Liste Vom Administrator erkannte Elemente ein.

Die Erkennung von als Viren klassifizierten Programmen wiederherstellen oder stoppen

Wenn Benutzer bestimmte Funktionen eines Programms, dessen Signaturdatei als eine Bedrohung klassifiziert wurde, nutzen müssen und Sie festgestellt haben, dass die Gefahr für die Integrität des verwalteten IT-Netzwerks niedrig ist, können Sie die Ausführung des Programms zulassen.

So stellen Sie gelöschte Programme aus dem Quarantäne- oder Backup-Bereich wieder her und lassen sie nicht länger erkennen:

1. Wählen Sie Status > Sicherheit.
2. Klicken Sie auf die Kachel Vom Virenschutz erkannte Bedrohungen.
3. Wählen Sie auf der Liste das Element aus, dessen Ausführung Sie zulassen wollen.
4. Klicken Sie auf der Seite Bedrohungsdetails auf das Info-Symbol neben der Aktion.
   Ein Pop-up-Dialogfeld erklärt die von Endpoint Security ergriffene Aktion.

5. Klicken Sie auf Wiederherstellen und nicht erneut erkennen.

Endpoint Security führt die folgenden Aktionen aus:

• Kopiert das Element aus dem Quarantäne- oder Backup-Bereich an seinen ursprünglichen Speicherort auf den Computern im Netzwerk.
• Lässt die Ausführung des Elements zu und generiert keine Erkennungen.
• Fügt das Element zur Liste Vom Administrator erkannte Elemente hinzu.

Ausführung zuvor zugelassener Elemente nicht mehr zulassen

So blockieren Sie ein zuvor zugelassenes Element erneut:

1. Wählen Sie Status > Sicherheit.
2. Wählen Sie auf der Kachel Vom Administrator erkannte Elemente den Typ des Elements, das Sie nicht länger zulassen wollen (z. B. Malware, PUP, Exploit, Wird klassifiziert oder Netzwerkangriffe).
3. Klicken Sie auf der Liste Vom Administrator erkannte Elemente auf rechts neben dem Element, dessen Ausführung Sie nicht länger zulassen wollen.

Endpoint Security führt die folgenden Aktionen aus:

• Fügt einen Eintrag zur Liste Vom Administrator erkannte Elemente hinzu. Die Spalte Aktion zeigt Vom Benutzer entfernter Ausschluss.
• Wenn es sich bei dem Element um ein unbekanntes Element handelt, das gerade klassifiziert wird, dann wird es in der Liste Derzeit blockierte Programme werden klassifiziert angezeigt.
• Fügt das Element wieder zur entsprechenden Liste hinzu (z. B. Malware-Aktivität, PUP-Aktivität, Exploit-Aktivität oder Netzwerkangriffsaktivität).
• Wenn es sich um einen Virus handelt, dann wird das Element wieder in der Liste Vom Virenschutz erkannte Bedrohungen angezeigt.
• Generiert wieder Vorfälle für das Element.

Ähnliche Themen

Blockierte Bedrohungen verwalten

Dateien in Quarantäne verwalten