Fehlersuche und -behebung bei einer Endpoint-Infektion

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt.WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.WatchGuard EDR Core Dieses Thema betrifft WatchGuard EDR Core, verfügbar mit Total Security Suite-Lizenz.

Wenn ein WatchGuard Endpoint Security-Produkt Schadsoftware (Malware) meldet, können Sie versuchen, den Malware-Befall im Betriebsmodus zu entfernen. Sie können ebenfalls Informationen sammeln und die Malware dem Support melden.

Betriebsmodus

In den Erweiterter Schutz-Einstellungen eines Workstations- und Server-Einstellungsprofils können Sie WatchGuard Endpoint Security so konfigurieren, dass es böswillige Programme erkennt und blockiert. In den Einstellungen des Betriebsmodus wird die Reaktion von WatchGuard Endpoint Security auf eine unbekannte Datei festgelegt.

Es gibt drei verfügbare Reaktionsmodi: Audit, Hardening und Lock.

Audit

Meldet erkannte Bedrohungen auf Dashboards und Listen, aber blockiert weder Dateien noch desinfiziert sie.

Hardening

• Erlaubt die Ausführung unbekannter Programme, die bereits auf Benutzercomputern installiert sind.
• Blockiert unbekannte Programme, die von einer nicht vertrauenswürdigen Quelle (wie dem Internet, externen Speicherlaufwerken oder anderen Computern im Netzwerk) stammen, bis eine Klassifizierung erhalten wird.
• Desinfiziert oder löscht Programme, die als Malware klassifiziert sind.

Sperren

Verhindert die Ausführung aller als Malware eingestuften Programme sowie aller unbekannten Programme, deren Klassifizierung noch aussteht.

Um ein Malware-Problem beheben zu können, darf sich der Computers nicht im Betriebsmodus Prüfen befinden. Im Prüfmodus überwacht das Endpoint Security-Produkt zwar die Programme auf Ihrem Computer, desinfiziert oder blockiert sie jedoch nicht.

Weitere Informationen zu Erweiterter Schutz-Einstellungen finden Sie unter Erweiterter Schutz – Betriebsmodi (nur Windows-Computer).

Informationen sammeln

Es könnte vorkommen, dass Sie das Endpoint Security-Produkt auf einem bereits mit Malware infizierten Computer installieren. Dies können Sie in den vom PSInfo-Tool erfassten Installationsprotokollen nachweisen und dort den Zeitpunkt der Infektion bestimmen.

Wenn Sie sich bei einer Ransomware-Infektion mit den Installationsprotokollen des PSInfo-Tools an den Support wenden, geben Sie ein ungefähres Datum und die Uhrzeit der Infektion an. Falls möglich, erfassen Sie eine Kopie der verschlüsselten Ransomware-Datei. Falls Sie keine Kopie der verschlüsselten Datei erhalten können, informieren Sie den Support über die Dateierweiterung der verschlüsselten Datei und ob es sich bei den verschlüsselten Dateien um Netzwerk- oder lokale Dateien handelt.