Fachartikel

Windows Server 2016 härten (1)

Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im ersten Teil blockieren wir Skripte per PowerShell, installieren FSRM und wappnen uns gegen Ransomware.
Undurchdringbar zu sein wie diese Rüstung ist das Ziel der Härtung von Windows Server 2016.
Zunächst einmal sollten Sie dafür sorgen, dass nicht jedermann auf Ihren Webserver zugreifen kann. Theoretisch können Sie ganze Domänen vom Zugriff auf den IIS in Windows Server 2016 ausschließen. Dazu muss die DNS-Infrastruktur im Unternehmen Reverse-DNS unterstützen. Dadurch lassen sich die IP-Adressen der zugreifenden Clients zu einer Domäne auflösen. Darüber hinaus müssen Sie zuvor die Einschränkungen für Domänenfilterung aktivieren. Klicken Sie dazu im Bereich "Einschränkungen für IP-Adressen und Domänen" auf "Featureeinstellungen bearbeiten". Um diese Funktion nutzen zu können, müssen Sie wiederum den Rollendienst "IP- und Domänenbeschränkungen" installieren.

Anschließend öffnet sich ein neues Fenster. Hier legen Sie fest, was mit Clients passieren soll, für die keine Regeln hinterlegt sind. Standardmäßig dürfen alle Clients zugreifen, außer denen, für die Sie Ablehnungseinträge konfigurieren. Aktivieren Sie an dieser Stelle die Option "Verweigern", dürfen nur die Clients Verbindung zum IIS aufbauen, für die Sie einen Zulassungseintrag konfiguriert haben. Aktivieren Sie das Kontrollkästchen "Einschränkungen nach Domänenname aktivieren", können Sie Zulassungs- beziehungsweise Ablehnungseinträge erstellen, die als Basis einen bestimmten Domänennamen nutzen. Nach der Aktivierung erhalten Sie eine Warnung, dass Reverse-DNS-Einträge den Server belasten, was allerdings abhängig ist von den Zugriffen.

Skripte per PowerShell blockieren
Immer mehr Tools arbeiten mit Skripten über die PowerShell. Da in der PowerShell so gut wie alle Servereinstellungen anpassbar sind, sollten Sie auch hier die Sicherheit optimieren und anpassen. Sie müssen stets einen vollqualifizierten Pfad zu der Skriptdatei angeben, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn Sie auf das aktuelle Verzeichnis verweisen wollen, geben Sie einen Punkt ein, zum Beispiel ".script.ps1". Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Diese bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen.

Standardmäßig blockiert die PowerShell Skripte. Oft werden die Einstellungen aber geändert. Auf sicheren Servern sollten Sie in jedem Fall so vorgehen, dass nur signierte oder gar keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript ausführen, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie können die Ausführungsrichtlinie mit dem Cmdlet "Set-ExecutionPolicy" ändern und mit "Get-ExecutionPolicy" anzeigen. Sie können folgende Einstellungen vornehmen:

  • Restricted: Skripte sind generell nicht erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.
  • AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie aber regelmäßig bestimmte Skripte ausführen müssen.
  • RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.
  • Unrestricted: Mit dieser Konfiguration funktionieren alle Skripte.
Nach der Eingabe von Set-ExecutionPolicy unrestricted müssen Sie die Ausführung noch bestätigen. Danach funktionieren eigene Skripte. Für sensible Server sollten Sie Set-ExecutionPolicy restricted nutzen.
Installation von FSRM
In Windows Server 2016 haben Sie zusätzlich die Möglichkeit, mit dem Ressourcen-Manager für Dateiserver (FSRM) den Zugriff von Anwendern auf Dateien etwas mehr unter Kontrolle zu stellen. Das gilt auch für Windows Server 2012/ 2012 R2. Diese zusätzliche Serverrolle wird über den Server-Manager installiert. Sie gehört zu den Datei- und iSCSI-Diensten. Grundsätzlich lässt sich damit auch der Schutz auf Servern mit Windows Server 2008/2008 R2 erhöhen, allerdings nicht so einfach, da hier die Unterstützung der PowerShell fehlt.

Der Ressourcen-Manager für Dateiserver ist standardmäßig nicht installiert, wenn Windows Server 2016 als Dateiserver im Einsatz ist. Sie können das Tool über den Server-Manager jederzeit nachträglich hinzufügen. Die Installation dazu starten Sie über "Verwalten / Rollen und Features hinzufügen". Der Rollendienst "Ressourcen-Manager für Dateiserver" ist über "Datei-/Speicherdienste / Datei- und iSCSI-Dienste" zu finden. Nach der Installation öffnen Sie das Tool durch Eingabe von "fsrm.msc" im Startmenü. Wenn das Verwaltungsprogramm gestartet ist, passen Sie über "Optionen konfigurieren" im Kontextmenü zum Eintrag "Ressourcen-Manager für Dateiserver" zunächst allgemeine Einstellungen an. Hier konfigurieren Sie zum Beispiel Benachrichtigungen und Berichte zur Nutzung des Servers.

Der Ressourcen-Manager für Dateiserver ist kein Virenscanner. Er kann also nicht aktiv nach Angreifern suchen. Es besteht aber die Möglichkeit ihm mitzuteilen, mit welchen Dateiendungen die Angreifer normalerweise auf den Server gelangen. Diese Dateigruppen lassen sich mit dem Ressourcen-Manager sperren. Die Dateigruppen werden entweder über die grafische Oberfläche angelegt oder mit dem PowerShell-Cmdlet "New-FsrmFileGroup". Microsoft stellt dazu im TechNet ein Skript [1] zur Verfügung. Dort ist auch die genaue Syntax zum Erstellen der Dateigruppe zum Schutz vor Ransomware zu sehen.

Die Dateiliste sollten Sie ständig erweitern. Die Vorgehensweise dazu wird auch im bekannten Exchange-Blog "Franky's Web" [2] beschrieben. Hier sind auch die verschiedenen Dateiendungen zu sehen, die aktuellen Erpressungs-Trojaner nutzen. Auch im Blog von Spiceworks [3] finden Sie diese Dateiendungen. Wer mit Ransomware infizierten Anwendern die Rechte für die Freigaben entziehen will, findet auf Franky's Web ein passendes Skript [4].

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Seite 1 von 2 Nächste Seite >>
6.05.2019/ln/Thomas Joos

Nachrichten

Geschäftsprozesse digitalisieren [24.05.2019]

Die neue Version 7 der Unternehmenssoftware "CompuSME" bietet ab sofort vordefinierte Workflows zur Beschleunigung von Standardprozessen in KMUs. Zudem hat der Hersteller eine Kontaktverwaltung integriert. Nicht zuletzt wurde die kostenlose Free-Version um  Funktionen wie Texterkennung und Volltextsuche ausgebaut. [mehr]

Mobiler Zweitkanal [24.05.2019]

satellite App von sipgate ist jetzt auch für Android-User verfügbar. Die kostenlose App bietet Nutzern unabhängig von ihrem Provider eine Mobilkommunikation samt zusätzlicher Telefonnummer. Damit lassen sich beispielsweise je nach Tarif Kosten sparen und auch dann telefonieren, wenn nur WLAN oder andere Datenverbindungen möglich sind. [mehr]

Tipps & Tools

Vorschau Juni 2019: Hochverfügbarkeit & Monitoring [27.05.2019]

Eine stillstehende IT kostet Firmen bares Geld, dabei können die Gründe für einen Ausfall vielfältig sein. Im Juni dreht sich der Schwerpunkt im IT-Administrator deshalb um die Hochverfügbarkeit und das Monitoring. So erfahren Sie etwa, wie Sie Logdaten mit Graylog 3.0 auswerten und welche Neuerungen Windows Server 2019 in Sachen Clustering mitbringt. Außerdem zeigen wir, wie die Überwachung von vSphere-Umgebungen mit Checkmk funktioniert und wie sich die Azure-Cloud mit dem Network Watcher monitoren lässt. In den Tests werfen wir unter anderem einen Blick auf WhatsUp Gold 2019. [mehr]

Greengrass für lokales Netzwerk öffnen [26.05.2019]

Als Unternehmen können Sie IoT-Umgebungen mit AWS IoT Greengrass erstellen und verwalten. Um sicherzustellen, dass die Geräte in einer Greengrass-Gruppe weiterhin miteinander über das lokale Netzwerk kommunizieren können, auch wenn die Verbindung zur Cloud abbricht, können Sie verschiedene Einstellungen vornehmen. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen