HOWTO: Umgang mit geblockten Elementen durch den Lock-Mode (Zero-Trust Application Service)
Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), Security 360 (vormals EPDR), WatchGuard EDR sowie die ehemalige Panda-Produktwelt (AD360 & Co.).
Der nachfolgende Artikel zeigt, wie mit durch den Lock-Mode blockierten Elementen im Arbeitsalltag umgegangen werden kann und stellt praxisnahe Lösungen für typische Herausforderungen vor.
1. Was ist der Zero-Trust Application Service?
Der Zero-Trust-Application Service (oftmals abgekürzt als ZTAS) ist ein KI-gestützter Cloud-Dienst, der dafür sorgt, dass keine unbekannte Software auf Ihren Endgeräten ausgeführt werden darf, bis sie von WatchGuard als absolut sicher eingestuft wurde.
Das Prinzip: Erst prüfen, dann ausführen (Zero Trust)!
Die detaillierte Erläuterung zum ZTAS finden Sie in folgendem Blog-Artikel und sollte vorab unbedingt gelesen werden: HOWTO: Funktionsweise und Vorteile des Zero-Trust Application Services von WatchGuard Endpoint Security.
2. Welche Herausforderungen ergeben sich im Alltag?
Praxisbeispiele:
- Ein Softwaredienstleister installiert bei Ihnen eine Software
- Ihr Warenwirtschaftssystem oder Lohnabrechnungssoftware wird (automatisch) in regelmäßigen Abständen (im Hintergrund) upgedatet
- Sie Programmieren Ihre eigene Software
In allen genannten Beispielen gehen wir davon aus, dass die Anwendung nicht so verbreitet bzw. für die WatchGuard Datenbank noch unbekannt ist und deshalb die jeweilige Anwendung aufgrund des Lock-Mode blockiert wird.
Bsp. Pop-Up Meldung vom Lock-Mode:


2. Welche praxisorientierten Lösungen schaffen Abhilfe?
Hinweis: Voraussetzung bei den untenstehenden Möglichkeiten ist, dass Sie natürlich die Software kennen/vertrauen, im Zweifelsfall automatisiert via des 100% Zero-Trust-Verfahrens die Anwendung analysieren lassen.
3.1 Autorisierte Software (Windows only)
Wenn man das Blockieren von unbekannten Prozessen/Programmen durch den erweiterten Schutz (Lock-Mode) verhindern möchte, können über das Feature “Autorisierte Software” Ausnahmen definiert werden.
Vorteil: Autorisierte Programme werden während der Analyse nicht blockiert (auch wenn es unbekannt ist). Der Zero-Trust Application Service klassifiziert, blockiert oder desinfiziert sie jedoch, wenn es sich als Malware oder PUPs herausstellt. Alle anderen Schutzmachismen wie z. B. Anti-Exploit, AV, … bleiben aktiv.
Eine ausführliche Anleitung hierzu finden Sie im bereits vorhandenen Blog-Artikel HOWTO: Verwendung von der Funktion “Autorisierte Software”.
3.2 Blockiertes Programm via Endpoint Konsole erlauben
3.3 Computerbenutzern die Möglichkeit zur Ausführung unbekannter blockierter Programme erlauben
Hinweis: Nur für fortgeschrittene Benutzer oder Administratoren empfohlen (Bsp. IT-Abteilung / Entwickler).
Die folgende Einstellung basiert ausschließlich auf Computerebene (nicht auf AD-User/Gruppen). Dieses Recht sollte normalen Endanwendern niemals erteilt werden!

3.4 Vor der Installation eines Programms den betroffenen Endpoint temporär via der WatchGuard Endpoint Konsole in die Gruppe „1. Learning-Mode (Basic-Security)“ verschieben
Siehe unser Blog-Artikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) / 360 (EPDR)).
Hinweis: Zeitnah den Endpoint wieder in die ursprüngliche Gruppe „3. Lock-Mode (Full-Security)“ verschieben.
3.5 Vor der Installation eines Programms temporär lokal am EPDR-Agent den Zero-Trust-Schutz (vormals erweiterten Schutz) deaktivieren
3.6 Stufenweiser Software-Rollout mit Audit-Mode vor dem Produktiveinsatz
Neue Software wird zunächst in der DEV-Umgebung (oder auf einem Test-Client) innerhalb der OU „1. Audit-Mode (Basic-Security)“ installiert und beobachtet. Treten innerhalb der Audit-Phase keine Auffälligkeiten auf, erfolgt anschließend der Rollout auf die QA-/Produktivumgebung in der OU „3. Lock-Mode (Fully-Security)“ mit vollständig aktivierten Sicherheitsrichtlinien.
4. Unser Tipp
Erzeugen Sie sich auf dem Dashboard eine Liste mit „Derzeit blockierte Programme werden klassifiziert / Verlauf von blockierten Elementen anzeigen“, um schnell eine Übersicht zu bekommen.



WICHTIG: Grundsätzlich können Ausnahmen in der WatchGuard Endpoint Konsole im jeweiligen Sicherheitsprofil unter Allgemein „Von Scans ausgeschlossene Dateien und Pfade“ hinzugefügt werden.
Die oben genannten Ausnahmen werden von allen Schutzmechanismen ignoriert. Die Verwendung von Ausschlüssen wird nur empfohlen, wenn bspw. Performanceprobleme auftreten. Alle Ausschlüsse stellen eine Sicherheitslücke dar und sollten daher auf ein Minimum reduziert werden.
Wenn Sie das Blockieren eines nicht klassifizierten Programms durch den Zero-Trust Application Service verhindern möchten, fügen Sie es zur Liste Autorisierte Software des Zero-Trust Application Service hinzu.
Weiterführende Links/Quellen
- HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) / 360 (EPDR)
- HOWTO: Funktionsweise und Vorteile des Zero-Trust Application Services von WatchGuard Endpoint Security
- HOWTO: Sind tatsächlich alle WatchGuard Endpoints im Lock-Mode?
- WatchGuard MDR/SOC-Service
- Advanced Protection – Operating Modes (Windows Computers) (Help Center)
- Zero-Trust Application Service













Das könnte Sie auch interessieren: