Tag Archives: WatchGuard Endpoint Security

HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) / 360 (EPDR)

1 Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR) und Panda AD360 (Letzte Aktualisierung 02.04.26 / Neue Endpoint Version 4.70.00 / Aether 19).

Hinweis:
Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Bisheriger Produktname Neuer Produktname (ab 1. April)
WatchGuard Advanced EPDR WatchGuard Endpoint Security Elite
WatchGuard EPDR WatchGuard Endpoint Security 360

Weitere Informationen dazu finden Sie in unserem Blog-Artikel >> WatchGuard benennt Endpoint-Produkte ab 1. April um.

 

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security Elite / 360. Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*

Unser Konzept besteht aus drei Teilen / Haupt OUs: Weiterlesen »

HOWTO: Sind tatsächlich alle WatchGuard Endpoints im Lock-Mode?

Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR) und WatchGuard EDR sowie die ehemalige Panda Welt (AD360 & Co.).

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Der folgende Artikel beschreibt das Auslesen des erweiterten Schutzmodus auf Basis eines definierten Filters.

Ziel: Damit Sie gegen Angriffsszenarien wie z. B. Hafnium, Log4j, 3CX Supply Chain Attack, Ransomware oder auch zukünftige Angriffe geschützt sind, müssen sich alle Endgeräte im sogenannten Lock-Mode (Windows Only) befinden.

Vorteil der Filterabfrage: Sämtliche Einstellungen werden direkt vom WatchGuard Endpoint Agent ausgelesen, somit werden Fehlfunktionen sowie Fehlkonfigurationen ausgeschlossen. Weiterlesen »

HOWTO: Remote-Installation vom WatchGuard Endpoint Agent via des Suchcomputers

Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) und WatchGuard EDR, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.)

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Nachdem Sie die Geräte via des Suchcomputers identifiziert haben, die nicht von WatchGuard verwaltet werden, können Sie den WatchGuard Endpoint Client Agent wie folgt aus der Ferne (remote) auf Windows-Geräten installieren. Die Konfiguration vom Suchcomputer wurde bereits in folgendem Blog-Artikel thematisiert: HOWTO – Konfiguration vom WatchGuard Endpoint Suchcomputer.

Voraussetzungen: Weiterlesen »

HOWTO: Konfiguration vom WatchGuard Endpoint Suchcomputer

1 Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) und WatchGuard EDR, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.).

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Aufgabe vom Suchcomputer:

Suchcomputer erkennen andere Devices im Netzwerk, die nicht von WatchGuard Endpoint Security verwaltet werden. Gleichzeitig kann auch der Suchcomputer für die >> Remote-Installation des WatchGuard Endpoint Agents auf Windows Betriebssysteme genutzt werden.

Wichtige Hinweise: Weiterlesen »

HOWTO: WatchGuard Endpoint Security in Verbindung mit WatchGuard Single Sign-On (SSO)

Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) und WatchGuard EDR, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.)

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

WatchGuard bietet die Möglichkeit Single Sign-On (SSO) zu verwenden, um den Internetzugriff auf AD-Benutzer/Gruppenbasis zu reglementieren. Nach einem Login im Betriebssystem, wird der Traffic über entsprechende AD basierte Policies ermöglicht.

Damit die Endpoint-Security unabhängig vom User-Login immer mit der Cloud sprechen kann (Updates, Wissensaktualisierung, Analysen,….), ist es dringend empfohlen dedizierte Policies zu erstellen oder den Endpoint-Proxy zu nutzen.

Im nachfolgenden Artikel finden Sie die empfohlenen Settings:
>> Betrieb des WatchGuard Endpoint Agents in isolierten Umgebungen unter Verwendung des WatchGuard Proxies

HOWTO: Deinstallation von Third-Party AVs/Endpoint Protections via WatchGuard Endpoint Security und Deaktivierung vom Microsoft Defender (GPO)

2 Comments

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) sowie die ehemalige Panda Welt (AD360 & Co.).

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Grundsätzlich sollte immer nur ein Virenscanner auf einem Betriebssystem aktiv sein. Wenn Sie WatchGuard Endpoint Security Elite/360/Basic oder AD360 nutzen, sollten Sie sicherstellen, dass keine 3rd Party Virenscanner aktiv sind. Bei EDR/EDR-Core kann der Schutz adaptiv zum bestehenden Virenscanner konfiguriert werden (Ausnahmen beachten!).
Über die Einstellung “Andere Sicherheitsprodukte deinstallieren” kann der bisherige installierte Virenscanner bzw. Endpoint Schutz via WatchGuard Endpoint Security deinstalliert werden.
Eine Auflistung der unterstützten Third-Party AVs/Endpoints finden Sie unter >> Programs Automatically Uninstalled by WatchGuard Endpoint Security.

Voraussetzung: Das Deinstallationskennwort darf bei der bisherigen Lösung nicht gesetzt sein! Weiterlesen »

HOWTO: Betrieb des WatchGuard Endpoint Agents in isolierten Umgebungen unter Verwendung des WatchGuard Proxies

1 Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) und WatchGuard EDR, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.).

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Der nachfolgende Artikel beschreibt, wie der WatchGuard Endpoint Agent in Verbindung mit dem WatchGuard Proxy in einer isolierten Umgebung umgesetzt werden kann. Der WatchGuard Proxy stellt für die isolierten Clients die Kommunikation mit der WatchGuard Cloud sicher – somit ist kein direkter Internetzugriff für die Clients notwendig.

WICHTIG: Der Proxy muss bereits während der Installation des Endpoint Agents zur Verfügung stehen.

Weiterlesen »

HOWTO: Automatische Bereinigung von ungenutzten WatchGuard Endpoint Lizenzen

Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) und WatchGuard EDR, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.) ab Version 4.20.

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Der folgende Artikel beschreibt das automatische Löschen von WatchGuard Endpoints aus der Management-Konsole auf Basis eines definierten Filters. In diesem Beispiel sollen alle Geräte, die sich nicht innerhalb von 90 Tagen bei der WatchGuard Cloud gemeldet haben, aus der WatchGuard-Konsole entfernt werden. Der WatchGuard Endpoint Agent wird hierbei nicht von dem Endgerät deinstalliert. Wird ein Gerät wieder eingeschaltet, dann ist dieses wieder in der WatchGuard Cloud sichtbar.

Ziel: Freigabe von nicht mehr benötigten WatchGuard Endpoint Lizenzen

Weiterlesen »

HOWTO: Konfiguration WatchGuard Cache Computer (Manual Mode)

1 Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) und WatchGuard EDR, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.).

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Aufgabe des Cache Computers:

Cache Computer laden Dateien (WatchGuard Endpoint Signatur Updates / Installationspakete, Microsoft Updates und Third-Party Updates (>> Patch-Library) herunter und stellen diese für andere WatchGuard Endpoints zur Verfügung. Vorteil: Einsparung der Internetbandbreite.

Zusätzlich ist der Cache Computer zwingend bei “Manuellen Updates” erforderlich.

Ein mit der Cache-Rolle versehener Computer kann folgende Elemente im Cache speichern:

  • WatchGuard Endpoint Signaturdateien / Installationspakete -> werden so lange zwischengespeichert, bis diese nicht mehr benötigt werden bzw. gültig sind
  • Microsoft/Third-Party Updates im Rahmen des Zusatzmoduls „Patch Management“ -> werden 30 Tage zwischengespeichert

Die Kapazität eines Cache-Computers hängt von der Anzahl der gleichzeitigen Verbindungen ab, die er bedienen kann, sowie von der Art des Datenverkehrs, den er verwaltet (z. B. Downloads von Signaturdateien oder Installationsprogrammen).  Ein Cache-Computer kann ca. 1000 Geräte gleichzeitig verwalten.

In den Default Einstellungen wird der “Automatic Mode” angewendet. Dieser Modus funktioniert nur innerhalb eines Subnetzes, sprich man muss pro VLAN einen Cache Computer definieren. Abhilfe schafft wie folgt dargestellt der “Manual Mode”.

Cache Computer im Manual Mode:

Weiterlesen »