Gilt für: WatchGuard EPDR, WatchGuard EDR
In den Advanced Protection-Einstellungen eines Workstations- und Server-Einstellungsprofils können Sie den Anti-Exploit-Schutz aktivieren. Beim Anti-Exploit-Schutz ist standardmäßig Blockieren aktiviert.
Die Anti-Exploit-Technologie ist auf Windows ARM-Systemen nicht verfügbar. Die verfügbaren Funktionen variieren je nach Plattform. Weitere Informationen finden Sie unter Advanced Protection für Geräte auf Windows-, Linux- und macOS-Plattformen.
Blockieren und Erkennen von Exploits
Der Anti-Exploit-Schutz blockiert automatisch Versuche, in den aktiven Prozessen auf Benutzercomputern gefundene Schwachstellen auszunutzen.
Netzwerkcomputer führen eventuell vertrauenswürdige Prozesse aus, die Programmfehler enthalten. Obwohl diese Prozesse legitim sind, sind sie doch gefährdet, da sie manchmal Daten, die Sie von Benutzern oder anderen Prozessen erhalten, nicht richtig interpretieren. Wenn ein gefährdeter Prozess bösartige Eingaben von einem Hacker erhält, kann ein Fehlverhalten auftreten, das es dem Angreifer ermöglicht, bösartige Programme in den vom gefährdeten Prozess verwalteten Speicherbereichen einzuführen. Das eingeführte Programm kann dazu führen, dass der kompromittierte Prozess Aktionen ausführt, für die er nicht programmiert ist, und die Computersicherheit gefährdet.
Der in WatchGuard Endpoint Security enthaltene Anti-Exploit-Schutz erkennt Versuche, bösartige Programme in von Benutzern ausgeführte gefährdete Prozesse einzufügen und neutralisiert diese basierend auf dem erkannten Exploit.
Exploit-Blockierung
WatchGuard Endpoint Security erkennt den Einschleusungsversuch, während dieser noch stattfindet. Da der Einschleusungsprozess nicht abgeschlossen wird, ist der anvisierte Prozess nicht beeinträchtigt und es gibt kein Risiko für den Computer. Der Exploit wird neutralisiert, ohne dass der betroffene Prozess beendet oder der Computer neu gestartet werden muss. Es gibt keine Datenverlust vom betroffenen Prozess. Der Benutzer des anvisierten Computers erhält eine Blockierungsmeldung, basierend auf den vom Administrator konfigurierten Einstellungen.
Exploit-Erkennung
WatchGuard Endpoint Security erkennt die Einschleusung, nachdem sie stattgefunden hat. Da der gefährdete Prozess bereits bösartige Programmteile enthält, muss WatchGuard Endpoint Security den Prozess beenden, bevor er Aktionen ausführt, die die Computersicherheit gefährden könnten. Unabhängig von der Zeit, die zwischen der Erkennung des Exploits und der Beendigung des kompromittierten Prozesses liegt, meldet WatchGuard Endpoint Security, dass der Computer gefährdet war. Der Risikograd hängt von der Zeit ab, die vergeht, bevor der Prozess gestoppt wird sowie von der Art der Malware.
WatchGuard Endpoint Security kann einen kompromittierten Prozess entweder automatisch beenden, um die negativen Auswirkungen eines Angriffs zu minimieren, oder den Benutzer auffordern, den Prozess zu beenden und ihn aus dem Speicher zu entfernen. Dies ermöglicht es dem Benutzer, seine Arbeit oder kritische Informationen zu speichern, bevor der kompromittierte Prozess endet oder der Computer neu gestartet wird. Wenn es nicht möglich ist, einen kompromittierten Prozess zu beenden, wird der Benutzer aufgefordert, den Computer neu zu starten.
Siehe auch
Ein Einstellungsprofil kopieren
Ein Einstellungsprofil bearbeiten