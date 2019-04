Windows Server 2016 mit Windows Defender und ATA schützen (3)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren.

Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.

ATA-Infrastruktur aufbauen

ATA besteht aus Gateways, die die Informationen im Netzwerk sammeln und die Analyse durchführen. Der generelle Aufbau einer ATA-Infrastruktur ist nicht kompliziert. Sie installieren zunächst das ATA-Center auf einem Server im Netzwerk. Der Installationsassistent dazu ist schnell durchgeklickt. Microsoft hat bei der Bereitstellung darauf geachtet, dass die Lösung innerhalb weniger Minuten einsatzbereit ist.



Das ATA-Center ist das zentrale Verwaltungswerkzeug und sammelt alle Informationen aus der Umgebung. Sie können verschiedene Gateways an ein ATA-Center anbinden. Um die Umgebung aufzubauen, benötigen Sie also im Idealfall mehrere Server. Sie können die komplette Installation jedoch auch auf einem einzelnen Server durchführen. Sobald die Installation abgeschlossen ist, erstellt ATA eigene Regeln und analysiert das Netzwerk. Sie müssen keinerlei zusätzliche Konfigurationen vornehmen, oder Daten aktualisieren – ATA arbeitet vollständig autonom. Sobald die Software die Gewohnheiten der Anwender kennt, kann es ungewöhnliche Benutzerzugriffe schnell entdecken. Je länger Sie das System betreiben, umso mehr lernt es dazu.



Achten Sie darauf, zwischen den beteiligten Servern die nötigen Ports freizuschalten, auch für das Versenden von Alarmen an die Administratoren. Dies betrifft die Ports für SSL (443), HTTP (80) und HTTPS (443). Auch muss ein ATA-Gateway in der Lage sein, den gesamten Netzwerkverkehr zu sehen. Hierfür richten Sie für jeden DC, den das Tool überwachen soll, Port-Mirroring ein. Die genauen Systemvoraussetzungen erläutert Microsoft im TechNet unter [4].



Sind alle Voraussetzungen erfüllt, installieren Sie das ATA Center. Im Rahmen dessen legen Sie auch die Größe der Datenbanken, die IP-Adressen und weitere wichtige Einstellungen fest. Allerdings sind diese Einstellungen sehr trivial. Außerdem hinterlegen Sie hier die Zertifikate für die sichere Anbindung. In Testumgebungen können Sie mit selbstsignierten Zertifikaten arbeiten. Die Center-Communication-IP-Adresse können Sie während der Einrichtung auf die IP-Adresse der Verwaltungswebseite einstellen. Wichtig ist in diesem Fall nur, dass Sie einen anderen Port verwenden.



ATA nutzt zum Speichern der Daten die kostenlose Datenbank MongoDB. Diese arbeitet standardmäßig im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ MongoDB \ bin \ data". Die Systemdateien legt der Assistent im Verzeichnis "%programfiles% \ Microsoft Advanced Threat Analytics \ Center" ab.



Nachdem Sie das ATA-Center über den Assistenten installiert haben, bauen Sie über die Weboberfläche eine Verbindung zur Konsole auf. Dazu geben Sie im Browser nur die IP-Adresse oder den Namen des Centers ein. Nachdem Sie sich am Center angemeldet haben, verwalten Sie die ATA-Umgebung in dieser Konsole. Im Hauptfenster sehen sie später die verdächtigen Angriffe und durchgeführten Aktionen. Doch zunächst müssen Sie die Konfiguration der Umgebung abschließen. Dazu benötigen Sie die ATA-Gateways, die die eigentliche Untersuchung des Netzwerkes vornehmen.

