Sophos DNS Protection für Endpoints im Überblick
Die Sophos DNS Protection für Endpoints ist da und erweitert ab sofort den Schutz von Windows-Endgeräten. Über das Early Access Program (EAP) lässt sich das Feature direkt im Sophos Endpoint Agent aktivieren und sichert clientseitige DNS-Anfragen, unabhängig davon, ob sich die Geräte im Firmennetz, im Homeoffice oder im Hotel-WLAN befinden.
Bisher war die DNS Protection vor allem Kunden mit Sophos Firewalls und aktiver Xstream Protection vorbehalten. Mit der neuen Endpoint-Integration steht der gleiche Schutzmechanismus nun auch direkt auf dem Client zur Verfügung, ohne dass der Datenverkehr zwingend über das Unternehmensnetz laufen muss.
Sophos DNS Protection prüft DNS-Anfragen auf Sicherheitsrisiken und Policy-Verstöße und blockiert den Zugriff auf bösartige oder unerwünschte Domains bereits auf Auflösungsebene. Damit erhalten auch mobile und remote arbeitende Endgeräte denselben DNS-Schutz wie Systeme im Rechenzentrum oder an festen Standorten.
Für IT-Verantwortliche entsteht so ein durchgängiges DNS-Sicherheitskonzept: einheitliche Richtlinien für interne Netze und Endpoints, Steuerung über Sophos Central und eine bessere Zuordnung von DNS-Anfragen zu konkreten Benutzern und Geräten.
Für welche Produkte ist die DNS Protection verfügbar?
Die DNS Protection für Endpoints steht im Early Access Program für verwaltete Windows-Clients zur Verfügung, auf denen der aktuelle Sophos Endpoint Agent installiert ist. Aktiviert wird die Funktion zentral in Sophos Central, zusätzliche Software auf den Endgeräten ist nicht erforderlich.
Kunden mit erweiterten Funktionen wie Sophos EDR, Sophos XDR oder Sophos MDR profitieren direkt von der Integration. Die über DNS Protection erfassten Anfragen stehen den Analysen in EDR, XDR und den MDR Teams als zusätzliche Telemetrie zur Verfügung, ohne dass eine eigene DNS Protection Lizenz oder ein separater Agent erforderlich ist.
Wie Sophos DNS Protection auf Windows-Endpoints arbeitet
Die neue DNS Protection für Endpoints wird zentral über Sophos Central auf Windows-Clients ausgerollt. Die Funktion ist Bestandteil des vorhandenen Endpoint-Agents und erfordert keine zusätzliche Softwareinstallation auf den Endgeräten. Nach der Aktivierung übernimmt der Agent automatisch die Steuerung der DNS-Anfragen des Systems.
Technisch gesehen fängt der Endpoint-Agent sämtliche DNS-Anfragen von Programmen und Apps auf dem Windows-Gerät ab und leitet sie verschlüsselt an den nächstgelegenen DNS-Protection-Resolver weiter. Die Kommunikation erfolgt per DNS over HTTPS (DoH), sodass Anfragen und Antworten vor dem Mitlesen und Manipulationsversuchen im Netzwerk geschützt sind.
Auf den Clients selbst bleibt der Vorgang transparent: Benutzer arbeiten wie gewohnt mit Browsern, Anwendungen und Diensten, während die DNS-Prüfung im Hintergrund erfolgt. Die Entscheidung, ob eine Domain erlaubt oder blockiert wird, basiert auf den in Sophos Central definierten Richtlinien – inklusive Sicherheitskategorien, Allow- und Blocklists sowie optionalen Compliance-Vorgaben.
Der Vorteil für IT-Teams: Sie erhalten einen einheitlichen Kontrollpunkt für DNS-Anfragen, unabhängig davon, ob sich ein Endpoint im internen LAN, im Gäste-WLAN eines Kunden oder im privaten Heimnetz befindet. Die Policy-Logik liegt vollständig in Sophos Central und wird über den Endpoint-Agent konsequent auf jedem angebundenen Gerät durchgesetzt.
Richtlinien und Schutzfunktionen im Detail
Mit Sophos DNS Protection für Endpoints steuern Sie über Richtlinien, welche Domains Ihre Benutzer erreichen dürfen und welche nicht. Die Policies werden zentral in Sophos Central definiert und automatisch auf alle angebundenen Windows-Clients ausgerollt, unabhängig vom Standort des Geräts.
Kernstück sind kategoriebasierte Regeln: Domains werden nach Themen wie Malware, Phishing, Command-and-Control, Glücksspiel oder Social Media klassifiziert. Für jede Kategorie legen Sie fest, ob der Zugriff erlaubt, blockiert oder nur protokolliert werden soll. So lassen sich Sicherheits- und Compliance-Vorgaben sauber trennen und abgestuft umsetzen.
Zusätzlich stehen individuelle Allow- und Blocklists zur Verfügung. Darüber können Sie geschäftskritische Dienste explizit freigeben oder bekannte Risikodomains dauerhaft sperren, selbst wenn diese noch keiner Kategorie zugeordnet sind. Ausnahmen für einzelne Abteilungen oder Standorte lassen sich über separate Richtlinien problemlos abbilden.
Ein weiterer Baustein ist die Erzwingung von Safe-Search-Funktionen auf Suchplattformen wie Google und YouTube. Auf diese Weise reduzieren Sie die Wahrscheinlichkeit, dass Benutzer über Suchtreffer auf ungeeignete oder riskante Inhalte stoßen. Gerade in Umgebungen mit Ausbildungsplätzen oder gemeinsam genutzten Geräten ist das ein praktischer Zusatzschutz.
In der Summe erhalten Sie ein feinjustierbares DNS-Policy-Framework, das sich an Ihre Unternehmensrichtlinien anpasst, ohne den täglichen Betrieb unnötig einzuschränken. Anpassungen an den Richtlinien greifen nach kurzer Zeit auf allen angebundenen Endpoints und ermöglichen es, auf neue Bedrohungen oder Anforderungen schnell zu reagieren.
Mehr Sichtbarkeit: DNS-Transparenz für Benutzer und Geräte
Alle DNS-Anfragen, die von Ihren Windows-Endpoints ausgehen, werden in Sophos DNS Protection zusammen mit Benutzer- und Gerätenamen protokolliert. So erkennen Sie auf einen Blick, welche Clients besonders häufig auf blockierte oder verdächtige Domains zugreifen und können gezielt reagieren – etwa durch zusätzliche Schulungen, Härtung der Systeme oder Anpassungen der Richtlinien.
Die Zuordnung auf Benutzer- und Geräteebene verbessert auch Ihre Sicherheitsanalysen deutlich. Statt nur eine IP-Adresse aus dem Netzwerkprotokoll zu sehen, können Sie konkrete Endpoints identifizieren, zeitliche Verläufe nachvollziehen und Muster im Verhalten einzelner Benutzergruppen erkennen. Das erleichtert die Priorisierung von Vorfällen und reduziert den Aufwand im Incident Handling.
Zusätzlich fließen die DNS-Daten in weiterführende Analysen ein, etwa in Sophos XDR oder in die Arbeit der Sophos MDR Teams. Während klassisches Endpoint- oder Firewall-Logging vor allem Ereignisse auf System- oder Netzwerkebene abbildet, liefert DNS Protection eine weitere, sehr frühe Signalquelle im Angriffspfad – oft, bevor überhaupt schädlicher Code ausgeführt wird.
In Kombination mit den übrigen Telemetriedaten aus Ihrem Sophos-Setup entsteht so ein wesentlich vollständigeres Bild: von der ersten verdächtigen DNS-Anfrage über die Endpoint-Aktivitäten bis hin zu etwaigen Netzwerkverbindungen. Diese Transparenz ist entscheidend, um Bedrohungen schneller zu erkennen, sauber zu korrelieren und fundierte Entscheidungen zu Gegenmaßnahmen zu treffen.
Konsistente DNS-Policies im gesamten Netzwerk
Ein großer Vorteil der neuen Sophos DNS Protection für Endpoints ist die durchgängige Policy-Steuerung über alle Standorte und Nutzungsszenarien hinweg. Die gleichen DNS-Richtlinien, die Sie heute schon für Ihr Unternehmensnetz definieren, können Sie nun auch auf mobile Windows-Clients anwenden – egal ob diese im LAN, im VPN oder in einem fremden WLAN unterwegs sind.
In Sophos Central ordnen Sie Ihre Endpoints dazu den bestehenden DNS-Protection-Standorten zu. Auf diese Weise erhalten bestimmte Gruppen von Geräten – etwa Vertrieb, Entwicklung oder Außenstellen – genau die Richtlinien, die Sie auch für deren Netzwerke definiert haben. Wechselt ein Gerät das Netzwerk oder den physischen Standort, bleiben die DNS-Policies identisch, weil sie an das Gerät und den Benutzer gebunden sind, nicht an die jeweilige IP-Adresse.
Für Administratoren reduziert das den Pflegeaufwand erheblich: Statt separate Konfigurationen für interne Netze, VPN-Zugänge und Remote-User zu pflegen, verwalten Sie ein zentrales Regelwerk. Anpassungen an Kategorien, Blocklists oder Compliance-Vorgaben greifen damit automatisch sowohl im Rechenzentrum als auch auf den angeschlossenen Endpoints.
Gerade in hybriden Arbeitsumgebungen mit einem Mix aus Büro, Homeoffice und unterwegs tätigen Mitarbeitern sorgt diese Konsistenz für mehr Sicherheit und weniger Überraschungen. Benutzer erleben ein einheitliches Verhalten beim Aufruf von Webseiten und Diensten, während Sie als IT die volle Kontrolle über DNS-Anfragen behalten – unabhängig davon, wo sich ein Gerät aktuell befindet.
DNS over HTTPS: Sicherheit & Datenschutz
Damit die DNS Protection für Endpoints auch außerhalb des Unternehmensnetzes zuverlässig funktioniert, setzt Sophos auf DNS over HTTPS (DoH). Dabei werden DNS-Anfragen nicht im Klartext, sondern über eine verschlüsselte HTTPS-Verbindung an die nächstgelegenen Sophos DNS-Resolver übertragen.
Der entscheidende Vorteil: DNS-Traffic lässt sich nicht mehr einfach im Netzwerk mitlesen oder manipulieren. Klassische Angriffe wie DNS-Spoofing oder Cache Poisoning, bei denen Antworten verfälscht oder auf bösartige Server umgebogen werden, werden deutlich erschwert. Selbst in unsicheren Netzen – etwa öffentlichen WLANs – bleiben Anfragen und Antworten geschützt.
Gleichzeitig verbessert DoH den Datenschutz. Dritte im Netzwerk erhalten nicht mehr ohne Weiteres Einblick, welche Domains Ihre Endgeräte anfragen. Die Auswertung der DNS-Daten erfolgt zentral in Sophos Central, wo Sie als IT-Verantwortliche genau steuern, wer Zugriff auf welche Protokolle hat und wie lange diese aufbewahrt werden.
Für Benutzer bleibt die Umsetzung transparent: Anwendungen nutzen weiterhin den lokalen DNS-Stack des Betriebssystems, während der Sophos Endpoint-Agent die Anfragen abfängt und über HTTPS weiterleitet. So kombinieren Sie moderne Verschlüsselung, zentrale Policy-Steuerung und hohe Transparenz, ohne Workflows oder Benutzererlebnis zu verändern.
Endpoint DNS Protection EAP: Teilnahme & Ablauf
Die neue Sophos DNS Protection für Endpoints startet zunächst als Early Access Program (EAP). Dadurch können Sie die Funktion frühzeitig in Ihrer Umgebung testen, Feedback geben und von den neuesten Entwicklungen profitieren, bevor die allgemeine Verfügbarkeit erreicht ist. Voraussetzung ist eine bestehende Sophos-Central-Umgebung mit Windows-Endpoints, auf denen der aktuelle Endpoint-Agent installiert ist.
Die Aktivierung der DNS Protection für Endpoints erfolgt über eine kurze Registrierung für das EAP. Nach der Anmeldung wird die Funktion in Ihrem Sophos-Central-Konto freigeschaltet und Sie erhalten einen Getting-Started-Guide mit den wichtigsten Schritten für Rollout, Policy-Konfiguration und Reporting. Damit lässt sich eine Pilotgruppe typischerweise in wenigen Schritten einrichten, ohne dass tiefgreifende Infrastrukturänderungen nötig sind.
Im Rahmen des Early Access Programms bittet Sophos aktiv um Rückmeldungen aus der Praxis. Themen sind zum Beispiel Policy-Design, Reporting-Wünsche, Performance-Eindrücke oder die Integration in bestehende Sicherheitsprozesse. Ihre Rückmeldungen fließen in die Weiterentwicklung ein und helfen, die finale Version optimal auf typische Unternehmensanforderungen zuzuschneiden.
Für IT-Abteilungen bietet sich das EAP an, um das Zusammenspiel von Endpoint, DNS Protection, Firewall, XDR und MDR in der eigenen Umgebung realistisch zu testen. Empfohlen ist ein gestufter Ansatz: zunächst eine kleine Pilotgruppe mit klar definierten Policies, anschließend eine Ausweitung auf weitere Benutzerkreise. So sammeln Sie Erfahrungswerte, minimieren Risiken und können die Einführung später im Regelbetrieb sauber begründen.
Fazit: DNS Protection macht Sophos Endpoint noch sicherer
Mit der neuen Sophos DNS Protection für Endpoints schließen Unternehmen und öffentliche Institutionen eine wichtige Lücke in ihrem im Schutzkonzept. DNS-Sicherheit steht nicht mehr nur im Rechenzentrum oder an gefilterten Standorten zur Verfügung, sondern begleitet Windows-Clients dorthin, wo sie tatsächlich genutzt werden – ins Homeoffice, auf Geschäftsreisen und in fremde Netze.
Die Kombination aus zentralen Richtlinien, Benutzer- und Gerätezuordnung, verschlüsselter Übertragung per DNS over HTTPS und tiefer Integration in bestehende Sophos-Komponenten wie Endpoint, XDR und MDR sorgt für ein deutlich höheres Sicherheitsniveau, ohne die Benutzererfahrung spürbar zu verändern. IT-Teams gewinnen gleichzeitig Transparenz und ein konsistentes Regelwerk über alle Standorte und Arbeitsmodelle hinweg.
Für Organisationen, die bereits auf Sophos Endpoint und Sophos XGS Firewalls setzen oder den Ausbau ihrer Sophos-Sicherheitsarchitektur planen, ist die Teilnahme am Early Access Program ein sinnvoller Schritt. Sie können die Funktion unter realen Bedingungen testen, Policies optimieren und frühzeitig Erfahrungen sammeln, bevor der breite Rollout startet.
