Einstellungen für RDP Angriff konfigurieren

Gilt für: WatchGuard EPDR Dieses Thema findet Anwendung bei dem WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema findet Anwendung bei dem WatchGuard EDR Endpoint Security-Produkt.

Der RDP Angriffseindämmungsmodus ermöglicht es WatchGuard Endpoint Security, remote Desktop-Angriffe (RDP) automatisch zu stoppen. WatchGuard Endpoint Security achtet auf Brute-Force-Angriffe auf RDP und Zugangsdaten, die nach Brute-Force-Angriffen kompromittiert sind.

Sie können in einem Angriffsindikatoren-Einstellungsprofil konfigurieren, welches Verhalten WatchGuard Endpoint Security als RDP Angriff identifiziert. Wenn Sie den Schalter RDP Angriff im Einstellungsprofil aktivieren, führt WatchGuard Endpoint Security diese Aktionen auf den Empfängercomputern aus:

• Protokolliert Remote Access-Versuche über RDP auf allen geschützten Computern in den letzten 24 Stunden, die ihren Ursprung außerhalb des Kundennetzwerks haben.
• Ermittelt, ob der Computer einem RDP Brute-Force-Angriff unterliegt.
• Erkennt, ob Computer-Konten bereits kompromittiert wurden, um auf Ressourcen im System zuzugreifen.
• Blockiert RDP-Verbindungen, um den Angriff abzumildern.

So konfigurieren Sie die Reaktionseinstellungen für einen RDP Angriff:

1. Wählen Sie in der oberen Navigationsleiste Einstellungen.
2. Wählen Sie im linken Fenster Angriffsindikatoren.
3. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.
4. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
5. Aktivieren Sie den Schalter RDP Angriff.

6. Wählen Sie Erweiterte Einstellungen.

7. Geben Sie im Abschnitt Automatische Reaktion die automatische Problembehebung für Workstations und Server an (Melden oder Melden und Blockieren).
8. Fügen Sie im Abschnitt Vertrauenswürdige IPs IP-Adressen und IP-Bereiche hinzu, die ausgenommen werden sollen.
   Diese IPs werden gemeldet, aber nicht blockiert.
9. Aktivieren Sie die Schalter für alle anderen Angriffsindikatoren, die Sie im Profil einbeziehen wollen.
   Klicken Sie für Informationen zum Typ der IOA auf das Informationssymbol. WatchGuard aktualisiert regelmäßig die Liste der Angriffsindikatoren, um neue, von Cyberkriminellen verwendete Strategien widerzuspiegeln.
10. Klicken Sie auf Speichern.
11. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Ein Einstellungsprofil zuweisen.

Siehe auch

Einstellungsprofile verwalten

RDP Angriffseindämmungsmodi