Category Archives: HOWTO-Artikel

HOWTO: Blockieren von USB-Sticks via der Endpoint Gerätesteuerung

Comment

Gilt für WatchGuard Advanced EPDR, EPDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).

Die Gerätesteuerung (Device Control) ist ein zentrales Sicherheitsfeature von WatchGuard Endpoint Security. Sie dient dazu, das Risiko von Datenabfluss (Data Leakage) und das Einschleppen von Schadsoftware über physische Schnittstellen wie USB zu minimieren.

Die Gerätesteuerung (Windows Only) fungiert als Türsteher für Endpunkte. Sie überwacht den Bus-Typ und die Geräteklasse, sobald ein Medium angeschlossen wird. WatchGuard bedient sich hierbei am Windows Betriebssystem und liest die jeweiligen „Geräteinstanzpfade“ oder wenn diese nicht vorhanden sind die „Hardware IDs“ im Windows Geräte-Manager aus.

Es können verschiedene Gerätekategorien per Regeln festlegt werden.

Gerätekategorien Zugriffsregeln
Wechseldatenträger
  • Blockieren
  • Lesezugriff erlauben
  • Lese-und Schreibzugriff erlauben
  • AutoPlay aktivieren/deaktivieren
CD/DVD-Laufwerke (auch virtuelle Laufwerke)
Bluetooth-Geräte
  • Zulassen
  • Blockieren
Mobile Geräte
Imaging-Geräte
Modems

Der nachfolgende Artikel beschreibt das Whitelisting von USB-Geräten.

Weiterlesen »

HOWTO: Transfer of Ownership

Comment

Ein Transfer of Ownership (ToO) bei WatchGuard ermöglicht die Übertragung einer Seriennummer inklusive aktiver Lizenzen und Supportverträge auf ein anderes WatchGuard-Konto.

Beim Transfer of Ownership werden ausschließlich die Seriennummer sowie die dazugehörigen Lizenzen übertragen. Cloud-Daten wie Benutzerkonten, Tokens, Endgeräte oder gespeicherte Konfigurationen verbleiben im ursprünglichen Konto und werden nicht übernommen. Einzelne Lizenzen können zudem nicht separat von einer Seriennummer auf eine andere übertragen werden. Nach dem Transfer müssen Produkte – beispielsweise AuthPoint – im Zielkonto neu eingerichtet werden. Bestehen dort bereits Lizenzen desselben Produkts, werden diese automatisch zusammengeführt (co-termed).

Bitte beachten Sie außerdem, dass bestimmte Anfragen einer zusätzlichen Prüfung durch WatchGuard unterliegen und im Einzelfall abgelehnt werden können.

Wichtig: Die Übertragung muss nicht zwingend im Zusammenhang mit einem Verkauf stehen. Sie kann z. B. auch bei internen Umstrukturierungen, einem Dienstleisterwechsel oder Kontokonsolidierungen notwendig sein. Weiterlesen »

HOWTO: Mikrotik LTE Extender inkl. Serial Access für die Firebox

Comment

Es existiert bereits ein Blog-Beitrag zur LTE-Anbindung von Firewalls über einen Mikrotik-Router, welcher ein LTE-Passthrough mit sich bringt (externe IP terminiert direkt auf der nachgelagerten WatchGuard Firewall): https://www.boc.de/watchguard-info-portal/2021/08/lte-failover-fuer-jede-watchguard-inkl-cluster-und-lte-passthrough

In einigen Kundenszenarien sind an Außenstellen keine Mitarbeiter tätig. Besonders bei Solar- oder Windparks sehen wir solche Herausforderungen häufig. Unsere Idee war es den Serial-Port des LTE-Routers mit der Firebox zu verbinden und somit einen Notfall-Access bereitzustellen. Dieser Aufbau ist eher als Proof of Concept zu sehen. Seit ich mit WatchGuard arbeite war kein Serial-Access auf die Firebox nötig. Ein „Doppelter Boden“ kann aber auch für andere Szenarien hilfreich sein (z. B. Restore nach RMA-Tausch, PPPoE Credentials müssen ungeplant aktualisiert werden, …). Natürlich kann der Serial-Port auch für die Konfiguration nachgelagerter Switche oder andere Komponenten verwendet werden.

Weiterlesen »

HOWTO: Windows Hello mit AuthPoint MFA absichern

Comment

In diesem Blog-Artikel wird beschrieben, wie die Windows-Anmeldung zusätzlich mit einem zweiten Faktor über WatchGuard AuthPoint MFA abgesichert werden kann. Die Anmeldung erfolgt dabei in Kombination mit Windows Hello – also per PIN, Fingerabdruck oder Gesichtserkennung – und bietet somit ein hohes Maß an Sicherheit bei gleichzeitig komfortabler Benutzererfahrung.

Der Artikel behandelt folgende Schritte:

  1. Voraussetzungen und Testumgebung
  2. AuthPoint in der WatchGuard Cloud konfigurieren
    1. Ressource anlegen
    2. Zero-Trust Regel anlegen
    3. Logon App und Konfiguration herunterladen
  3. Logon App auf einem Clientrechner installieren
  4. Voraussetzungen für Gesichtserkennung/Fingerprint mittels GPO konfigurieren
  5. Windows Hello am Client aktivieren
  6. Fazit

Weiterlesen »

HOWTO: Vorgehen bei abgelaufener Box – Temporary Feature Key beantragen und einspielen

Comment

Der nachfolgende Artikel beschreibt die notwendigen Schritte im Falle einer abgelaufenen Firebox-Lizenz um den Betrieb vorübergehend aufrecht zu erhalten. Dies gilt allerdings nur für Geräte, die noch nicht ihr End-of-Life (EOL) Datum erreicht haben. In einem solchen Fall sprechen Sie uns bitte direkt an!

Update 03-12-2025 – Hinweis bei Automatic temporary Feature Key activation
Update 20-10-2025 – Neuerung – Automatic temporary Feature Key activation
Update 03-03-2023 – FK-Tausch beim Cluster ergänzt.

Weiterlesen »

HOWTO: Home Zone Firewall-Ausnahmen im WatchGuard IPSEC VPN Client (NCP) am Beispiel eines Netzwerkdruckers

Comment

Im modernen Home-Office ist der sichere und zugleich komfortable Zugriff auf Unternehmensressourcen ein entscheidender Faktor für effizientes Arbeiten. Doch genau hier entsteht oft ein Zielkonflikt: Während der VPN-Tunnel eine geschützte Verbindung zum Firmennetzwerk herstellt, wird dadurch häufig der Zugriff auf lokale Geräte – wie Drucker oder NAS-Systeme – blockiert.

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde bereits im Artikel >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support ausführlich vorgestellt (Bitte vorab lesen!). In diesem Beitrag knüpfen wir daran an und zeigen am praktischen Beispiel, wie sich mithilfe der Home Zone Funktion gezielt Firewall-Ausnahmen konfigurieren lassen. Die Home Zone Funktion wurde speziell für das Arbeiten im Home-Office entwickelt und bietet eine intelligente Lösung, um die Sicherheit der Unternehmenskommunikation über den VPN-Tunnel zu gewährleisten, während gleichzeitig der komfortable Zugriff auf lokale Heimnetzwerkgeräte wie Drucker oder Scanner möglich ist.

Am Beispiel eines Netzwerkdruckers zeigen wir Schritt für Schritt, wie Sie diese Funktion optimal einrichten, um auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) sicher und effizient im Home-Office zu arbeiten.

Weiterlesen »

HOWTO: Firebox mit “integriertem” SFP Glasfaser Modem (GPON) betreiben

Comment

Mit dem Launch der neuen T-Box Generation bietet bereits die Firebox T145 (Nachfolger der T45) einen integrierten SFP+ Slot. Der SFP+ Slot bietet neben 10 Gigabit/s den Vorteil, ein SFP Glasfaser Modem direkt in der Firebox zu betreiben, wodurch ein externes Modem eingespart wird.

In diesem Blog-Artikel zeige ich die Migration von einem ext. Glasfasermodem zum SFP GPON Modul der Deutschen Telekom.

Weiterlesen »

HOWTO: Best-Practice-Konfiguration eines WatchGuard Firebox Clusters Active / Passive

Comment

In einer zunehmend digitalisierten Welt ist Hochverfügbarkeit kein Luxus mehr, sondern eine geschäftskritische Notwendigkeit. Schon wenige Stunden Ausfall können erhebliche Kosten verursachen – ganz zu schweigen von den Folgen, wenn Unternehmen ein bis zwei Tage komplett vom Internet oder den internen Netzwerken abgeschnitten sind.

Um sich vor solchen Szenarien zu schützen, stehen verschiedene Optionen zur Verfügung: Zum einen können Sie durch die Einrichtung eines zweiten Geräts einen hochverfügbaren „Cluster“ aufbauen. Zum anderen besteht die Möglichkeit, über den “4-Stunden-Premium-Austauschservice” die Auslieferung eines kostenfreien Ersatzgeräts deutlich zu beschleunigen.

Im Zuge neuer gesetzlicher Richtlinien wie bspw. NIS2 oder Cyber Resilience Act (CRA) rückt auch die betriebliche Resilienz gegenüber kleineren Ausfällen in den Vordergrund. IT-Verantwortliche müssen sicherzustellen, dass selbst kleinere Defekte – etwa ein defektes Netzteil – nicht zum Stillstand des gesamten Betriebs führen. Zu all diesen Themen beraten wir Sie selbstverständlich gerne. Warum Ausfallsicherheit mit einem WatchGuard FireCluster so wichtig ist erfahren Sie bei uns unter >> WatchGuard FireCluster.

Dieser Artikel führt Sie durch die Best Practices Einrichtung eines WatchGuard Firebox Active / Passive Clusters. Der für die Umsetzung benötigte Zeitaufwand liegt i.d.R. zwischen 30 und 60 Minuten.

  1. Einführung
  2. Cluster-Konfiguration
  3. Fazit
  4. Häufige Fehler und Lösungen

Weiterlesen »

HOWTO: “Friendly Network Detection” für den WatchGuard IPSec Mobile VPN Client (NCP FND-Server)

Comment

In den folgenden verlinkten Blog-Artikeln wurden bereits einige Vorteile, Funktionen und Empfehlungen zum „WatchGuard IPSec Mobile VPN Client“ (by NCP) veröffentlicht:

Ein großer Vorteil des Premium-Clients ist die integrierte Endpoint-Firewall, welche z.B. nur in Trusted Networks eine Netzwerk Kommunikation erlaubt und ansonsten eine VPN-Verbindung erzwingt. Die manuelle Erfassung vertrauenswürdiger Netze ist in komplexen Umgebungen sehr zeitaufwändig, fehleranfällig und leider auch nicht allzu sicher. Abhilfe schafft der „NCP Friendly Net Detection Server“ (https://www.ncp-e.com/fileadmin/_NCP/pdf/library/whitepaper/NCP_Whitepaper_FND_de.pdf).

Im weiteren Verlauf möchte ich die Inbetriebnahme des FND-Servers veranschaulichen.

Weiterlesen »

HOWTO: NCP Silent-Installation / Rollout via GPO / MVLS

Comment

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde im folgenden Artikel näher beschrieben (bitte vorab lesen): >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support.

Es gab mehrere Rückfragen zur Silent-Installation und zum automatischen Deployment des VPN-Clients. WatchGuard selbst hat die Silent-Installation im Help Center dokumentiert: >> Configure the IPSec Mobile VPN Client for Mobile VPN with IKEv2.

Im Folgenden beschreibe ich die Silent-Installation detaillierter und gebe praxisnahe Anregungen für ein automatisiertes Deployment. Weiterlesen »