Category Archives: HOWTO-Artikel

HOWTO: Erzwingen einer VPN-Verbindung in öffentlichen Netzwerken

Problemstellung:

Da das Home-Office auch 2023 weiterhin stark verbreitet ist, erreichen uns dazu viele Kundenanfragen. Neben der Performance-Optimierung ist die Verbesserung der Security eines der Top-Themen. Ich möchte in diesem Blog-Artikel meine Ideen für ein VPN-Enforcement in öffentlichen Netzwerken veranschaulichen. Unser Ziel ist es außerhalb des Domänen-Netzwerks sämtlichen Datenverkehr sicher über die Firmenfirewall zu erzwingen. Die Angriffsfläche des mobilen Arbeitsplatzes (z. B. im Home-Office) wird mit der Personal Firewall auf ein Minimum reduziert.

Inspiration:

Der kostenpflichtige WatchGuard VPN Client „WatchGuard IPSec VPN Client“ (Provided by NCP) bietet mit der integrierten Firewall das benötigte Feature. Da der Premium VPN-Client kostenpflichtig und auf IPSEC eingeschränkt ist (der WatchGuard Client unterstützt nur IKEv1), möchte ich einen alternativen Weg aufzeigen. Weiterlesen »

HOWTO: Exchange Reverse Proxy mit HTTPS Content Inspection (Ohne Access Portal)

Der nachfolgende Artikel beschreibt die Absicherung eines Microsoft Exchange Servers via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection (Deep Packet Inspection).
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.

Bei dieser Vatiante findet KEINE Pre-Authentication statt, sollte eine Pre-Authentication gewünscht sein, siehe
HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern
Voraussetzungen:

Weiterlesen »

HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard EDR Core (Letzte Aktualisierung 30.09.2024 / gilt auch für die neue Endpoint Version 4.50.00.). Das Produkt EDR Core (enthalten in der Total Security Suite der WatchGuard Firewall Appliance) ist der Nachfolger von >> Threat Detection and Response (TDR), welches am 30.09.2023 End-of-Life geht. Die komplette Feature-Liste von EDR Core können Sie im WatchGuard HelpCenter unter >> WatchGuard EDR Core Features nachlesen.

In unserem vorherigen Blog-Artikel beschreiben wir unsere >> BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security (EPDR/AD360).

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung bspw. non-persistente Computer/Server,… werden hier nicht berücksichtigt*

Voraussetzungen

Weiterlesen »

HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Advanced EPDR / EPDR

Gilt für WatchGuard Advanced EPDR, EPDR und Panda AD360 (Letzte Aktualisierung 25.03.25 / gilt auch für die neue Endpoint Version 4.50.00).

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security (EPDR/AD360 sowie Advanced EPDR). Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*

Unser Konzept besteht aus drei Teilen / Haupt OUs: Weiterlesen »

HOWTO: Sind tatsächlich alle WatchGuard Endpoints im Lock-Mode?

Gilt für WatchGuard EPDR, EDR sowie die ehemalige Panda Welt (AD360 & Co.).

Der folgende Artikel beschreibt das Auslesen des erweiterten Schutzmodus auf Basis eines definierten Filters.

Ziel: Damit Sie gegen Angriffsszenarien wie z. B. Hafnium, Log4j, 3CX Supply Chain Attack, Ransomware oder auch zukünftige Angriffe geschützt sind, müssen sich alle Endgeräte im sogenannten Lock-Mode (Windows Only) befinden.

Vorteil der Filterabfrage: Sämtliche Einstellungen werden direkt vom WatchGuard Endpoint Agent ausgelesen, somit werden Fehlfunktionen sowie Fehlkonfigurationen ausgeschlossen. Weiterlesen »

HOWTO: Remote-Installation vom WatchGuard Endpoint Agent via des Suchcomputers

Gilt für WatchGuard EPDR, EDR, EPP, EDR-Core sowie die ehemalige Panda Welt (AD360 & Co.)

Nachdem Sie die Geräte via des Suchcomputers identifiziert haben, die nicht von WatchGuard verwaltet werden, können Sie den WatchGuard Endpoint Client Agent wie folgt aus der Ferne (remote) auf Windows-Geräten installieren. Die Konfiguration vom Suchcomputer wurde bereits in folgendem Blog-Artikel thematisiert: HOWTO – Konfiguration vom WatchGuard Endpoint Suchcomputer.

Voraussetzungen: Weiterlesen »

HOWTO: Konfiguration vom WatchGuard Endpoint Suchcomputer

Gilt für WatchGuard EPDR, EDR, EPP, EDR-Core sowie die ehemalige Panda Welt (AD360 & Co.).

Aufgabe vom Suchcomputer:

Suchcomputer erkennen andere Devices im Netzwerk, die nicht von WatchGuard Endpoint Security verwaltet werden. Gleichzeitig kann auch der Suchcomputer für die >> Remote-Installation des WatchGuard Endpoint Agents auf Windows Betriebssysteme genutzt werden.

Wichtige Hinweise: Weiterlesen »

HOWTO: WatchGuard Endpoint Security in Verbindung mit WatchGuard Single Sign-On (SSO)

Gilt für WatchGuard EPDR, EDR, EPP, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.)

WatchGuard bietet die Möglichkeit Single Sign-On (SSO) zu verwenden, um den Internetzugriff auf AD-Benutzer/Gruppenbasis zu reglementieren. Nach einem Login im Betriebssystem, wird der Traffic über entsprechende AD basierte Policies ermöglicht.

Damit die Endpoint-Security unabhängig vom User-Login immer mit der Cloud sprechen kann (Updates, Wissensaktualisierung, Analysen,….), ist es dringend empfohlen dedizierte Policies zu erstellen oder den Endpoint-Proxy zu nutzen.

Im nachfolgenden Artikel finden Sie die empfohlenen Settings:
>> Betrieb des WatchGuard Endpoint Agents in isolierten Umgebungen unter Verwendung des WatchGuard Proxies

HOWTO: Deinstallation von Third-Party AVs/Endpoint Protections und vom Microsoft Defender via WatchGuard Endpoint Security

Gilt für WatchGuard EPDR, WatchGuard EPP sowie die ehemalige Panda Welt (AD360 & Co.).

Grundsätzlich sollte immer nur ein Virenscanner auf einem Betriebssystem aktiv sein. Wenn Sie EPDR/EPP/AD360 nutzen, sollten Sie sicherstellen, dass keine 3rd Party Virenscanner aktiv sind. Bei EDR/EDR-Core kann der Schutz adaptiv zum bestehenden Virenscanner konfiguriert werden (Ausnahmen beachten!).
Über die Einstellung “Andere Sicherheitsprodukte deinstallieren” kann der bisherige installierte Virenscanner bzw. Endpoint Schutz via WatchGuard Endpoint Security deinstalliert werden.
Eine Auflistung der unterstützten Third-Party AVs/Endpoints finden Sie unter >> Programs Automatically Uninstalled by WatchGuard Endpoint Security.

Voraussetzung: Das Deinstallationskennwort darf bei der bisherigen Lösung nicht gesetzt sein! Weiterlesen »

HOWTO: Betrieb des WatchGuard Endpoint Agents in isolierten Umgebungen unter Verwendung des WatchGuard Proxies

Gilt für WatchGuard EPDR, EDR, EPP, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.).

Der nachfolgende Artikel beschreibt, wie der WatchGuard Endpoint Agent in Verbindung mit dem WatchGuard Proxy in einer isolierten Umgebung umgesetzt werden kann. Der WatchGuard Proxy stellt für die isolierten Clients die Kommunikation mit der WatchGuard Cloud sicher – somit ist kein direkter Internetzugriff für die Clients notwendig.

WICHTIG: Der Proxy muss bereits während der Installation des Endpoint Agents zur Verfügung stehen.

Weiterlesen »