Konfigurieren der Autorisierte Software-Einstellungen in WatchGuard Endpoint Security

Gilt für: WatchGuard EPDR Dieses Thema findet Anwendung bei dem WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema findet Anwendung bei dem WatchGuard EDR Endpoint Security-Produkt.

In den Modi Hardening und Lock von Advanced Protection verhindern WatchGuard EPDR und WatchGuard EDR die Ausführung von Programmen, die WatchGuard unbekannt sind, bis sie klassifiziert wurden. Dies kann zu Verzögerungen für Benutzer führen, seilst wenn Sie die Quelle des Programms und den Grund für die Blockierung kennen.

Beispielsweise blockiert WatchGuard Endpoint Security standardmäßig die folgenden Programme:

• Spezifische Nischenprogramme mit sehr wenig Benutzern.
• Programme, die automatisch ohne Benutzerinteraktion von der Anbieter-Webseite aus aktualisiert werden.
• Programme mit Funktionen, die über Hunderte von Bibliotheken verteilt sind, die im Speicher geladen sind und blockiert werden, wenn sie vom Benutzer über Programmmenüs verwendet werden.
• Programme, die als Client-Server-Modell betrieben werden, bei denen die Client-Seite auf einer gemeinsam genutzten Netzwerkressource gehostet wird.
• Polymorphische Software, die dynamisch ausführbare Dateien generiert.

Autorisierte Software und Ausschlüsse

In WatchGuard Endpoint Security verhindern drei Funktionen die Programmblockierung:

Ausgenommene Dateien und Pfade

Schließt spezifische Elemente oder Bereiche auf dem Computer von Scans aus. Die Ausführung unbekannter Software wird nicht verhindert. Da dies zu einer Sicherheitslücke führen kann, empfehlen wir dies nur, wenn es Probleme mit der Computerleistung gibt.

Aufheben der Blockierung für Programme, die dabei sind, klassifiziert zu werden

Lässt die Ausführung blockierter Programme vorübergehend zu, aber mit einem reaktiven Ansatz. Der Administrator kann die Blockierung eines Programms erst aufheben, wenn es zuvor blockiert wurde.

Das Software aus mehreren Komponenten bestehen kann und Sie die Blockierung jeder Komponente einzeln aufheben müssen, kann der Prozess des Blockierens und des Aufhebens der Blockierung eine Weile dauern.

Autorisierte Software konfigurieren

Proaktives Freischalten für unbekannte Programme, die dabei sind, klassifiziert zu werden. Der Administrator kann Programmen aus einer bekannten Quelle Einstellungen zuweisen, so dass diese verwendet werden können, wenn kein Risiko entdeckt wird. Dies ist die empfohlene Methode für das Freischalten von Programmen.

Autorisierte Software-Einstellungen

Zugreifen auf die Einstellungen:

1. Wählen Sie in der oberen Navigationsleiste Einstellungen.
2. Wählen Sie im linken Fenster Autorisierte Software
3. Klicken Sie auf Hinzufügen.
   Die Seite Einstellungen hinzufügen wird geöffnet.
4. Klicken Sie auf Programme autorisieren
   Das Dialogfeld Programme autorisieren wird geöffnet.

Konfigurieren der Einstellungen für autorisierte Software

Autorisierte Software-Einstellungen bestehen aus einer oder mehreren Regeln, die sich alle auf eine einzelne Softwarekomponente oder eine Gruppe von Programmen beziehen, welche es WatchGuard Endpoint Security erlauben, diese auszuführen, bevor sie klassifiziert wurden. Beachten Sie für weitere Informationen zur Erstellung eines Sicherheitseinstellungsprofils für autorisierte Software Autorisierte Software-Einstellungen konfigurieren (Windows-Computer).

Feld	Beschreibung
Name	Regelname.
MD5	MD5 Hashes der Dateien, denen WatchGuard EPDR oder EDR die Ausführung erlaubt.
Produktname	Das Feld Produktname des Headers der Datei, die freigeschaltet werden soll. Um diesen Wert zu ermitteln, klicken Sie mit der rechten Maustaste auf das Programm und wählen Eigenschaften > Details.
Dateipfad	Pfad des Programms auf dem Server oder der Workstation. Umgebungsvariablen sind zulässig.
Dateiname	Dateiname. Platzhalter * und ? sind zulässig.
Dateiversion	Das Feld Version des Headers der Datei, die freigeschaltet werden soll. Um diesen Wert zu ermitteln, klicken Sie mit der rechten Maustaste auf das Programm und wählen Eigenschaften > Details.
Signatur	Die digitale Signatur der Datei.

Löschen eines Autorisierte Software-Sicherheitseinstellungsprofils

1. Klicken Sie neben der Autorisierte Software-Regel, die gelöscht werden soll, auf .
2. Klicken Sie auf Speichern.
   Die Autorisierte Software-Einstellungen werden aktualisiert.

Bearbeiten eines Autorisierte Software-Sicherheitseinstellungsprofils

1. Klicken Sie auf den Namen der Autorisierte Software-Regel.
   Das Dialogfeld Programme autorisieren wird geöffnet.
2. Bearbeiten Sie die Regeleigenschaften und klicken Sie auf Autorisieren.
3. Klicken Sie auf Speichern.
   Die Autorisierte Software-Einstellungen werden aktualisiert.

Kopieren eines Autorisierte Software-Sicherheitseinstellungsprofils

1. Klicken Sie neben der Autorisierte Software-Regel, die kopiert werden soll, auf Kopieren.
   Das Dialogfeld Programme autorisieren wird geöffnet. Der Name enthält den Namen der Regel mit dem Präfix Copy of.
2. Bearbeiten Sie die Regeleigenschaften und klicken Sie auf Autorisieren.
3. Klicken Sie auf Speichern.
   Die Autorisierte Software-Einstellungen werden aktualisiert.

Berechnen des MD5 von einer oder mehreren Dateien

Es gibt viele Tools für die Berechnung des MD5 einer Datei. Dieser Abschnitt beschreibt die Verwendung des PowerShell Tool in Windows 10.

1. Öffnen Sie im Dateimanager den Ordner mit den Dateien.
2. Wählen Sie Datei > Windows PowerShell öffnen.
   Es wird ein Fenster mit der Befehlszeile geöffnet.

3. Geben Sie den folgenden Befehl ein und ersetzen Sie $files mit dem Dateipfad. Platzhalter * und ? sind zulässig.

PS c:\folder> Get-FileHash -Algorithm md5 -path $files

4. Um die MD5-Hashes zur Zwischenablage zu kopieren, halten Sie die Taste Alt gedrückt und markieren Sie die Hashes mit dem Mauszeiger. Drücken Sie Strg + C.
5. Um alle MD5-Hashes aus der Zwischenablage in der WatchGuard Endpoint Security Web UI einzufügen, klicken Sie auf das Feld MD5 der Autorisierte Software-Regel und drücken Sie Strg + V.
6. Klicken Sie auf Autorisieren.
7. Klicken Sie auf Speichern.
   Die Autorisierte Software-Einstellungen werden aktualisiert.

Thumbprint eines signierten Programms erlangen

1. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften.
2. Wählen Sie im Fenster Eigenschaften die Registerkarte Digitale Signaturen.
3. Wählen Sie die Signatur aus der Signaturenliste.
4. Klicken Sie auf Details.
   Das Fenster Digitale Signatur wird geöffnet.
5. Wählen Sie im Fenster Details der digitalen Signatur die Registerkarte Allgemein und klicken Sie auf Zertifikat anzeigen.
   Das Zertifikat-Fenster wird geöffnet.
6. Wählen Sie im ZertifikatPfad die Registerkarte Zertifikatspfad und stellen Sie sicher, dass der Endknoten des Zertifikatspfads ausgewählt ist.
7. Wählen Sie im Zertifikat-Fenster die Registerkarte Details und wählen Sie das Feld Thumbprint.
8. Markieren Sie die Zeichenfolge aus dem angezeigten Textfeld und drücken Sie Strg + C, um sie zur Zwischenablage zu kopieren.
9. Klicken Sie auf das Feld Signatur der Autorisierte Software-Regel und drücken Sie die Tasten Strg + V, um den Thumbprint in die WatchGuard Endpoint Security Web UI einzufügen.
10. Klicken Sie auf Autorisieren.
11. Klicken Sie auf Speichern.
    Die Autorisierte Software-Einstellungen werden aktualisiert.