{"id":17823,"date":"2023-10-10T17:20:34","date_gmt":"2023-10-10T15:20:34","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=17823"},"modified":"2026-04-08T09:57:22","modified_gmt":"2026-04-08T07:57:22","slug":"howto-verwendung-von-der-funktion-autorisierte-software","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2023\/10\/howto-verwendung-von-der-funktion-autorisierte-software\/","title":{"rendered":"HOWTO: Verwendung von der Funktion “Autorisierte Software”"},"content":{"rendered":"

Gilt f\u00fcr WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR) und WatchGuard EDR <\/span>sowie die<\/span> ehemalige Panda Welt (AD360 & Co.).<\/span><\/p>\n

ACHTUNG<\/strong>: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios<\/a> vorgenommen und somit das Portfolio \u00fcbersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.<\/p>\n

Grunds\u00e4tzlich k\u00f6nnen Ausnahmen in der WatchGuard Endpoint Konsole im jeweiligen Sicherheitsprofil unter Allgemein \u201eVon Scans ausgeschlossene Dateien und Pfade<\/a>\u201c hinzugef\u00fcgt werden.<\/p>\n

Die oben genannten Ausnahmen werden von allen<\/u> Schutzmechanismen ignoriert. Die Verwendung von Ausschl\u00fcssen wird nur empfohlen, wenn bspw. Performanceprobleme auftreten. Alle Ausschl\u00fcsse stellen eine Sicherheitsl\u00fccke dar und sollten daher auf ein Minimum reduziert werden.<\/span><\/p>\n

Wenn man das Blockieren von unbekannten Prozessen durch den erweiterten Schutz (Lock-Mode) verhindern m\u00f6chten, k\u00f6nnen \u00fcber das Feature “Autorisierte Software” Ausnahmen definiert werden.<\/span>
\n<\/p>\n

Vorteil von der Funktion “Autorisierte Software” (Windows only):<\/h3>\n

Autorisierte Programme werden w\u00e4hrend der Analyse nicht<\/u> blockiert. Der Zero-Trust Application Service klassifiziert, blockiert oder desinfiziert sie jedoch, wenn es sich als Malware oder PUPs herausstellt.<\/p>\n

Beispiel:
\n\"\"<\/p>\n

Alle ausf\u00fchrbaren Dateien k\u00f6nnen im Pfad “C:\\Install\\Test-Ordner” oder vom Netzlaufwerk \u201ez: \\\\dc\\daten\\Test-Ordner\u201c ausgef\u00fchrt werden ohne dass diese vom Lock-Mode blockiert werden.
\nGleiches gilt auch mittels des Filenames “Test-Anwendung_*.exe” und “Test-Anwendung” via Signatur (unabh\u00e4ngig vom Speicherort). In der Zwischenzeit werden die unbekannten Prozesse durch das Zero-Trust Verfahren klassifiziert.<\/p>\n

Von einer autorisierten Software nachgeladene DLL-Dateien und Ressourcen werden ebenfalls als autorisiert eingestuft und m\u00fcssen somit nicht weiter ber\u00fccksichtigt werden.<\/p>\n

Mehrere Programmeigenschaften k\u00f6nnen innerhalb von “Programme autorisieren” miteinander verkn\u00fcpft werden. Das hei\u00dft, dass alle<\/u> ausgew\u00e4hlten Eigenschaften erf\u00fcllt sein m\u00fcssen.<\/p>\n

\"\"<\/p>\n

Hinweise:<\/h3>\n