HOWTO: WatchGuard TDR und Windows Defender Exceptions via GPO

WatchGuard Threat Detection & Response (TDR) ist eine hervorragende Erweiterung eines lokalen Virenscanners um neben signaturbasierten Scannern auch Zero-Day Malware erkennen und bekämpfen zu können. Um eine Symbiose der genannten Komponenten sicherzustellen, bietet WatchGuard eine große Zahl an Integration Guides:

Im beschriebenen Szenario möchte ich die Bereitstellung neben Windows Defender erläutern.

Exclusion in TDR für Windows Defender

  1. Login WatchGuard Account -> Manage TDR -> Configuration -> Exclusion -> Add Exclusion
  2. Pfad: C:\ProgramData\Microsoft\Windows Defender\
    Hosts / Groups: Je nach Verwendung, in diesem Fall verwenden alle Clients Defender

Exclusion in TDR für Windows Defender

Exclusions in Windows Defender via GPO (Group Policy Object)

Bsp. in einer x64 Umgebung. Bei Landschaften inkl. x86 Clients müssten die Einstellungen nach folgendem Beispiel mit den entsprechenden Daten des Integration Guides erstellt werden. Ggf. können beide Policies mittels WMI-Filter auf x86 oder x64 Betriebssysteme beschränkt werden.

          1. Öffnen der Gruppenrichtlinienverwaltung und Erstellen einer neuen GPO
          2. Für TDR auf x64 Systemen folgende Excpetions hinterlegen:
            Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Endpoint Protection (ggf. „Windows Defender Antivirus“ je nach Übersetzung) -> Ausschlüssea. Pfadausschlüsse:

            Wertname Wert
            TDR_PathX64 C:\Program Files (x86)\WatchGuard\Threat Detection and Response\

            b. Prozessausschlüsse:

            Wertname Wert
            TDR_HostSensor_X64 C:\Program Files (x86)\WatchGuard\Threat Detection and Response\amd64\host_sensor.exe
            TDR_SensorStatus_X64 C:\Program Files (x86)\WatchGuard\Threat Detection and Response\amd64\TDRSensorStatus.exe
          3. Die Gruppenrichtlinie auf die entsprechende OU verknüpfen, welche die zu konfigurierenden PCs/Server beinhaltet
          4. Mittels gpupdate kann das Ziehen der neuen Einstellungen am Client beschleunigt werden
          5. gpupdate Konsole

          6. Prüfen, ob die Exclusions im Client übernommen wurden (Bsp. Windows 10)
            Windows Defender Security Center -> Viren- und Bedrohungsschutz -> Einstellungen für Viren und Bedrohungsschutz -> Ausschlüsse hinzufügen oder entfernen:

          Windows Defender Security Center -> Viren- und Bedrohungsschutz -> Ausschlüsse

    In unserem Blog finden Sie weitere Artikel zum Thema Threat Detection & Response.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>