Gilt für: WatchGuard EPDR, WatchGuard EDR
WatchGuard Endpoint Security lehnt jegliche Kommunikation von und zu isolierten Computern ab, mit Ausnahme jener, die nötig sind, um eine forensische Analyse remote durchzuführen und die Problembehebungs-Tools in WatchGuard Endpoint Security zu nutzen.
Zugelassene Prozesse und Dienste
Systemprozesse
- Alle Dienste, die erforderlich sind, damit der Computer Teil des Unternehmensnetzwerks ist, wie einschließlich DHCP-Dienste zum Abrufen von IP-Adressen, ARP-, WINS- und DNS-Hostnamenauflösungsdienste usw.
WatchGuard Endpoint Security-Prozesse
- Dienste, die nötig sind, um mit dem Standard-Gateway zu kommunizieren
- Dienste, die für die Kommunikation mit dem WatchGuard-Server nötig sind, um den Schutz-Engines die Arbeit zu ermöglichen, Signaturdateien herunterzuladen und es Administratoren zu ermöglichen, Remote-Managementaufgaben in über die Web UI auszuführen
- Dienste, die von einem isolierten Gerät mit der Erkennungscomputerrolle benötigt werden, um Erkennungsaufgaben auszuführen
- Dienste, die von einem isolierten Gerät mit der Cache-Rolle benötigt werden, um als Dateiserver zu dienen
- Dienste, die von einem Gerät, dem die WatchGuard Proxy-Rolle zugewiesen wurde, benötigt werden, um als Verbindungs-Proxy zu dienen
Blockierte Kommunikation
Jegliche Kommunikation, die im Abschnitt oben nicht aufgeführt ist, wird abgelehnt. Dazu gehören:, einschließlich:
- Verbindung zum Windows Update-Dienst des Betriebssystems
- Surfen im Internet, FTP, E-Mail und andere Internet-Protokolle
- SMB-Dateitransfer zwischen PCs im Netzwerk
- Endpoint Security-Produkt remote installieren