{"id":17301,"date":"2023-07-03T12:43:52","date_gmt":"2023-07-03T10:43:52","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=17301"},"modified":"2026-04-09T15:50:12","modified_gmt":"2026-04-09T13:50:12","slug":"howto-boc-best-practices-empfehlungen-zu-watchguard-epdr","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2023\/07\/howto-boc-best-practices-empfehlungen-zu-watchguard-epdr\/","title":{"rendered":"HOWTO: BOC Best Practices\/Empfehlungen zu WatchGuard Endpoint Security Elite (Advanced EPDR) \/ 360 (EPDR)"},"content":{"rendered":"

Gilt f\u00fcr WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR) und Panda AD360 (Letzte Aktualisierung 02.04.26 \/ Neue Endpoint Version 4.70.00 \/ Aether 19)<\/strong>.<\/p>\n

\n

Hinweis:
\n<\/strong>Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio \u00fcbersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.<\/p>\n\n\n\n\n\n
Bisheriger Produktname<\/strong><\/td>\nNeuer Produktname (ab 1. April)<\/strong><\/td>\n<\/tr>\n
WatchGuard Advanced EPDR<\/td>\nWatchGuard Endpoint Security Elite<\/td>\n<\/tr>\n
WatchGuard EPDR<\/td>\nWatchGuard Endpoint Security 360<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Weitere Informationen dazu finden Sie in unserem Blog-Artikel >> WatchGuard benennt Endpoint-Produkte ab 1. April um<\/a>.<\/p>\n<\/div>\n

 <\/p>\n

Der folgende Artikel beschreibt die BOC Best Practices\/Empfehlungen f\u00fcr WatchGuard Endpoint Security Elite \/ 360. Wir gehen davon aus, dass auf allen Endger\u00e4ten kein Third-Party AV\/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices\/Empfehlungen zu WatchGuard EDR Core<\/a>.<\/p>\n

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer\/Server, Blockieren von USB-Sticks,… werden hier nicht ber\u00fccksichtigt*<\/strong><\/p>\n

Unser Konzept besteht aus drei Teilen \/ Haupt OUs:<\/h5>\n
    \n
  1. Learning-Mode (Basic-Security):<\/strong>
    \nGruppe f\u00fcr die Erstinstallation\/Roll-Out der Clients\/Server. Der Basis-Schutz ist vorhanden, 100 % Klassifizierung der Prozesse und Applikationen wird durchgef\u00fchrt. Alles Unbekannte wird nicht<\/u> blockiert!<\/li>\n
  2. Lock-Mode (Advanced-Security):<\/strong>
    \nNach einer kurzen Audit-Phase (ca. 7 Tage) sollten alle Endger\u00e4te in den Lock-Mode wechseln. Hier werden zus\u00e4tzlich zu allen sch\u00e4dlichen Prozessen, ebenfalls unbekannte Prozesse gestoppt bis diese klassifiziert wurden.<\/li>\n
  3. Lock-Mode (Full-Security)
    \n<\/strong>Final sollten sich alle Endger\u00e4te in dieser Gruppe befinden. Zus\u00e4tzlich zum Kern-Feature \u201eLock-Mode\u201c (100% Zero-Trust-Mechanismus) werden hier weitere Security-Features aktiviert (z. B. Anti-Exploit-Protection, Schutz vor Netzwerkangriffen,\u2026).<\/li>\n<\/ol>\n

    Vorgehen:<\/h3>\n

    1. Computer -> Meine Organisation:<\/strong>
    \n\"\"<\/p>\n

    2. Sicherheitseinstellungen (Einstellungen -> Workstations und Server):<\/strong>
    \n\"\"<\/p>\n

    3. Die OUs m\u00fcssen mit den entsprechenden Sicherheitseinstellungen\/Profilen verkn\u00fcpft werden:<\/strong>
    \n\"\"<\/p>\n

    \n
    \n
    \n

    Sicherheitseinstellungen\/Profile:<\/h3>\n

    Hinweis:<\/u> Seit dem 1. April 2026 hei\u00dft der Audit-Mode nun Learning-Mode.<\/strong><\/p>\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Beschreibung<\/strong><\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
    \n
    <\/span>Allgemein<\/div>
    \n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Allgemein<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Lokale Warnungen<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Warnungen zu Malware, Firewall und Ger\u00e4tekontrolle anzeigen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Jedes Mal einen Alarm anzeigen, wenn die Webzugriffskontrolle eine Seite blockiert<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Updates<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Automatische Wissensaktualisierung<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Bei jeder Wissensaktualisierung einen Scan im Hintergrund ausf\u00fchren<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n
    Andere Sicherheitsprodukte deinstallieren<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Schutz von anderen Anbietern automatisch deinstallieren (Hinweis beachten<\/a>)<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Privatsph\u00e4re<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Name und vollst\u00e4ndigen Pfad der Dateien, auf die sch\u00e4dliche Programme zugreifen, abrufen und in der Konsole anzeigen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Benutzer, der zum Zeitpunkt, zu dem Bedrohungen auf Computern erkannt wurden, angemeldet ist, abrufen und in der Konsole anzeigen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Netzwerkauslastung<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Maximale Anzahl an MB, die in einer Stunde \u00fcbertragen werden k\u00f6nnen (0\u00a0unbegrenzt):<\/td>\n0<\/td>\n0<\/td>\n0<\/td>\n<\/tr>\n
    Von Scans ausgeschlossene Dateien und Pfade<\/strong><\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div><\/div>\n
    <\/span>Zero-Trust Application Service<\/div>
    \n\n\n\n\n\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Zero-Trust Application Service<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Zero-Trust Application Service<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Betriebsmodus (nur Windows)<\/td>\nLearning<\/td>\nLock<\/td>\nLock<\/td>\n<\/tr>\n
    Blockierung den Computerbenutzern melden<\/td>\n\u2013<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Computerbenutzern die M\u00f6glichkeit zur Ausf\u00fchrung unbekannter blockierter Programme geben (nur f\u00fcr fortgeschrittene Benutzer oder Administratoren empfohlen)<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n
    Sch\u00e4dliche Aktivit\u00e4t erkennen (nur Linux)<\/td>\nLearning<\/td>\nBlockieren<\/td>\nBlockieren<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div><\/div>\n
    <\/span>Virenschutz<\/div>
    \n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Virenschutz<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n<\/tr>\n
    Datei-Virenschutz<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    E-Mail-Virenschutz<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n
    Webbrowsing-Virenschutz<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Zu erkennende Bedrohungen<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Viren erkennen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Hacker-Tools und PUPs erkennen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Sch\u00e4dliche Aktionen blockieren<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Phishing erkennen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Keine Bedrohungen f\u00fcr die folgenden Adressen und Dom\u00e4nen erkennen:<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n
    Decoy Files zur besseren Erkennung von Ransomware erstellen (ab Version 4.10.00)<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    AMSI (ab Version 4.40.00)<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Erweitertes Scannen mit AMSI aktivieren<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Dateitypen<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Komprimierte Dateien in E-Mails scannen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Komprimierte Dateien auf dem Laufwerk scannen (nicht empfohlen)<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n
    Alle Dateien bei Erstellung oder \u00c4nderung unabh\u00e4ngig von ihrer Erweiterung scannen (nicht empfohlen)<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div><\/div>\n
    <\/span>Anti-Exploit<\/div>
    \n\n\n\n\n\n\n\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Anti-Exploit<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n<\/tr>\n
    Codeeinf\u00fcgung<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Betriebsmodus (nur Windows)<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nBlockieren<\/td>\n<\/tr>\n
    Blockierung dem Computerbenutzer melden<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/td>\n<\/tr>\n
    Benutzer um Erlaubnis zur Beendigung eines kompromittierten Prozesses fragen (kann in einigen F\u00e4llen zu Datenverlust f\u00fchren)<\/td>\n\u2013<\/td>\n\u2013<\/td>\n\u2013<\/td>\n<\/tr>\n
    Anf\u00e4lliger Treiber (ab Version 4.40.00)<\/strong><\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Treiber mit Sicherheitsl\u00fccken erkennen<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Betriebsmodus (nur Windows)<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nBlockieren<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div><\/div>\n
    <\/span>Schutz vor Netzwerkangriffen<\/div>
    \n\n\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Schutz vor Netzwerkangriffen<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n<\/tr>\n
    Schutz vor Netzwerkangriffen
    \n(ab Version 4.30.00)<\/td>\n    		<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    Betriebsmodus (nur Windows)<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nBlockieren<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div><\/div>\n
    <\/span>Erweiterte Sicherheitsrichtlinien (nur bei Endpoint Security Elite)<\/div>
    \n\n\n\n\n\n\n\n\n\n\n\n
    <\/td>\n1. Learning-Mode
    \n(Basic-Security)<\/strong><\/td>\n    		2. Lock-Mode
    \n(Advanced-Security)<\/strong><\/td>\n    		3. Lock-Mode
    \n(Full-Security)<\/strong><\/td>\n<\/tr>\n
    Erweiterte Sicherheitsrichtlinien (nur bei Endpoint Security Elite)<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n\u00a0<\/strong><\/td>\n<\/tr>\n
    Erweiterte Sicherheitsrichtlinien<\/td>\n<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
    PowerShell mit verborgenen Parametern<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nBlockieren<\/td>\n<\/tr>\n
    Vom Benutzer ausgef\u00fchrtes PowerShell<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen1<\/sub><\/td>\n<\/tr>\n
    Unbekannte Skripte<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen1<\/sub><\/td>\n<\/tr>\n
    Lokal kompilierte Programme<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nBlockieren1<\/sub><\/td>\n<\/tr>\n
    Dokumente mit Makros<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen<\/td>\nPr\u00fcfen1<\/sub><\/td>\n<\/tr>\n
    Bei Windows-Start auszuf\u00fchrende Registry-\u00c4nderung<\/td>\nNicht erkennen<\/td>\nNicht erkennen<\/td>\nNicht erkennen<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    1<\/sub> = Die folgenden Settings m\u00fcssen je nach Kundenumgebung und Ereignisse der Learning-Phase individuell bestimmt werden. Wir empfehlen bei Abweichungen eine Untergruppe zu definieren. Bsp. \"3. Lock-Mode - DEVELOPER (Full-Security)\"<\/p>\n