Fachartikel

Windows Server 2016 härten (1)

Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im ersten Teil blockieren wir Skripte per PowerShell, installieren FSRM und wappnen uns gegen Ransomware.
Undurchdringbar zu sein wie diese Rüstung ist das Ziel der Härtung von Windows Server 2016.
Zunächst einmal sollten Sie dafür sorgen, dass nicht jedermann auf Ihren Webserver zugreifen kann. Theoretisch können Sie ganze Domänen vom Zugriff auf den IIS in Windows Server 2016 ausschließen. Dazu muss die DNS-Infrastruktur im Unternehmen Reverse-DNS unterstützen. Dadurch lassen sich die IP-Adressen der zugreifenden Clients zu einer Domäne auflösen. Darüber hinaus müssen Sie zuvor die Einschränkungen für Domänenfilterung aktivieren. Klicken Sie dazu im Bereich "Einschränkungen für IP-Adressen und Domänen" auf "Featureeinstellungen bearbeiten". Um diese Funktion nutzen zu können, müssen Sie wiederum den Rollendienst "IP- und Domänenbeschränkungen" installieren.

Anschließend öffnet sich ein neues Fenster. Hier legen Sie fest, was mit Clients passieren soll, für die keine Regeln hinterlegt sind. Standardmäßig dürfen alle Clients zugreifen, außer denen, für die Sie Ablehnungseinträge konfigurieren. Aktivieren Sie an dieser Stelle die Option "Verweigern", dürfen nur die Clients Verbindung zum IIS aufbauen, für die Sie einen Zulassungseintrag konfiguriert haben. Aktivieren Sie das Kontrollkästchen "Einschränkungen nach Domänenname aktivieren", können Sie Zulassungs- beziehungsweise Ablehnungseinträge erstellen, die als Basis einen bestimmten Domänennamen nutzen. Nach der Aktivierung erhalten Sie eine Warnung, dass Reverse-DNS-Einträge den Server belasten, was allerdings abhängig ist von den Zugriffen.

Skripte per PowerShell blockieren
Immer mehr Tools arbeiten mit Skripten über die PowerShell. Da in der PowerShell so gut wie alle Servereinstellungen anpassbar sind, sollten Sie auch hier die Sicherheit optimieren und anpassen. Sie müssen stets einen vollqualifizierten Pfad zu der Skriptdatei angeben, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn Sie auf das aktuelle Verzeichnis verweisen wollen, geben Sie einen Punkt ein, zum Beispiel ".script.ps1". Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Diese bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen.

Standardmäßig blockiert die PowerShell Skripte. Oft werden die Einstellungen aber geändert. Auf sicheren Servern sollten Sie in jedem Fall so vorgehen, dass nur signierte oder gar keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript ausführen, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie können die Ausführungsrichtlinie mit dem Cmdlet "Set-ExecutionPolicy" ändern und mit "Get-ExecutionPolicy" anzeigen. Sie können folgende Einstellungen vornehmen:

  • Restricted: Skripte sind generell nicht erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.
  • AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie aber regelmäßig bestimmte Skripte ausführen müssen.
  • RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.
  • Unrestricted: Mit dieser Konfiguration funktionieren alle Skripte.
Nach der Eingabe von Set-ExecutionPolicy unrestricted müssen Sie die Ausführung noch bestätigen. Danach funktionieren eigene Skripte. Für sensible Server sollten Sie Set-ExecutionPolicy restricted nutzen.
Installation von FSRM
In Windows Server 2016 haben Sie zusätzlich die Möglichkeit, mit dem Ressourcen-Manager für Dateiserver (FSRM) den Zugriff von Anwendern auf Dateien etwas mehr unter Kontrolle zu stellen. Das gilt auch für Windows Server 2012/ 2012 R2. Diese zusätzliche Serverrolle wird über den Server-Manager installiert. Sie gehört zu den Datei- und iSCSI-Diensten. Grundsätzlich lässt sich damit auch der Schutz auf Servern mit Windows Server 2008/2008 R2 erhöhen, allerdings nicht so einfach, da hier die Unterstützung der PowerShell fehlt.

Der Ressourcen-Manager für Dateiserver ist standardmäßig nicht installiert, wenn Windows Server 2016 als Dateiserver im Einsatz ist. Sie können das Tool über den Server-Manager jederzeit nachträglich hinzufügen. Die Installation dazu starten Sie über "Verwalten / Rollen und Features hinzufügen". Der Rollendienst "Ressourcen-Manager für Dateiserver" ist über "Datei-/Speicherdienste / Datei- und iSCSI-Dienste" zu finden. Nach der Installation öffnen Sie das Tool durch Eingabe von "fsrm.msc" im Startmenü. Wenn das Verwaltungsprogramm gestartet ist, passen Sie über "Optionen konfigurieren" im Kontextmenü zum Eintrag "Ressourcen-Manager für Dateiserver" zunächst allgemeine Einstellungen an. Hier konfigurieren Sie zum Beispiel Benachrichtigungen und Berichte zur Nutzung des Servers.

Der Ressourcen-Manager für Dateiserver ist kein Virenscanner. Er kann also nicht aktiv nach Angreifern suchen. Es besteht aber die Möglichkeit ihm mitzuteilen, mit welchen Dateiendungen die Angreifer normalerweise auf den Server gelangen. Diese Dateigruppen lassen sich mit dem Ressourcen-Manager sperren. Die Dateigruppen werden entweder über die grafische Oberfläche angelegt oder mit dem PowerShell-Cmdlet "New-FsrmFileGroup". Microsoft stellt dazu im TechNet ein Skript [1] zur Verfügung. Dort ist auch die genaue Syntax zum Erstellen der Dateigruppe zum Schutz vor Ransomware zu sehen.

Die Dateiliste sollten Sie ständig erweitern. Die Vorgehensweise dazu wird auch im bekannten Exchange-Blog "Franky's Web" [2] beschrieben. Hier sind auch die verschiedenen Dateiendungen zu sehen, die aktuellen Erpressungs-Trojaner nutzen. Auch im Blog von Spiceworks [3] finden Sie diese Dateiendungen. Wer mit Ransomware infizierten Anwendern die Rechte für die Freigaben entziehen will, findet auf Franky's Web ein passendes Skript [4].

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Seite 1 von 2 Nächste Seite >>
6.05.2019/ln/Thomas Joos

Nachrichten

Großflächig und lüfterlos [31.07.2019]

Shuttle ergänzt seine All-in-one-Baureihe XPC um ein neues Modell mit größerer Bilddiagonale. Das P90U kommt mit einem Multi-Touch-Display im 19,5-Zoll-Format (49,5 cm). Sein kapazitiver Bildschirm verspricht eine leichte und intuitive Bedienung durch mehrere Finger. Dank IP54-Schutz ist das Modell spritzwassergeschützt und kann auch in staubigen Umgebungen eingesetzt werden. [mehr]

Neue Werkzeuge für Windows- und Mac-Nutzer [23.07.2019]

Parallels bringt mit der "Parallels Toolbox 3.5" einige neue Funktionen für Windows- und Mac-User auf den Markt. Unter anderem enthält diese Version jetzt Werkzeuge wie "Pausenzeit", "Zwischenablageverlauf" und "Ruhezustand-Zeitgeber". Die wachsende Suite von über 30 Tools soll laut Hersteller viele Routineaufgaben am Computer erleichtern. [mehr]

Tipps & Tools

Mobiler Sprühventilator [17.08.2019]

Der August scheint in Sachen Sommerhitze zwar angenehmer als der Vormonat, dennoch kann eine frische Brise am Arbeitsplatz nicht schaden. Der "Sprühventilator" lässt sich als Hand- oder Tischlüfter einsetzen und ist dank des eingebauten Akkus auch für unterwegs bestens geeignet. Zusätzlich ist eine Sprühnebelfunktion integriert, die sowohl beim Arbeitspendeln, als auch im Urlaub für Erfrischung sorgt. [mehr]

DLL problemlos analysieren [16.08.2019]

Eine Dynamic Link Library (DLL) ist eine Funktionsbibliothek, die Code und Daten enthält und sich von mehreren Programmen gleichzeitig nutzen lässt. Wenn das System den Code an einer Stelle verändert, hat das Auswirkung auf alle Anwendungen, die auf die DLL zugreifen. "Alternate DLL Analyzer" ist ein Tool, das die DLL-Funktionsnamen extrahiert und übersichtlich darstellt. Das ist vor allem hilfreich, wenn Anwendungen die gleiche DLL benutzen, aber trotzdem verschiedene Versionen derselben benötigen. [mehr]

30-jähriges Jubiläum [14.08.2019]

Buchbesprechung

Anzeigen