Lesezeit
3 Minuten
Windows Server 2016 härten (1)
Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im ersten Teil blockieren wir Skripte per PowerShell, installieren FSRM und wappnen uns gegen Ransomware.
Zunächst einmal sollten Sie dafür sorgen, dass nicht jedermann auf Ihren Webserver zugreifen kann. Theoretisch können Sie ganze Domänen vom Zugriff auf den IIS in Windows Server 2016 ausschließen. Dazu muss die DNS-Infrastruktur im Unternehmen Reverse-DNS unterstützen. Dadurch lassen sich die IP-Adressen der zugreifenden Clients zu einer Domäne auflösen. Darüber hinaus müssen Sie zuvor die Einschränkungen für Domänenfilterung aktivieren. Klicken Sie dazu im Bereich "Einschränkungen für IP-Adressen und Domänen" auf "Featureeinstellungen bearbeiten". Um diese Funktion nutzen zu können, müssen Sie wiederum den Rollendienst "IP- und Domänenbeschränkungen" installieren.
Installation von FSRM
In Windows Server 2016 haben Sie zusätzlich die Möglichkeit, mit dem Ressourcen-Manager für Dateiserver (FSRM) den Zugriff von Anwendern auf Dateien etwas mehr unter Kontrolle zu stellen. Das gilt auch für Windows Server 2012/ 2012 R2. Diese zusätzliche Serverrolle wird über den Server-Manager installiert. Sie gehört zu den Datei- und iSCSI-Diensten. Grundsätzlich lässt sich damit auch der Schutz auf Servern mit Windows Server 2008/2008 R2 erhöhen, allerdings nicht so einfach, da hier die Unterstützung der PowerShell fehlt.
Der Ressourcen-Manager für Dateiserver ist standardmäßig nicht installiert, wenn Windows Server 2016 als Dateiserver im Einsatz ist. Sie können das Tool über den Server-Manager jederzeit nachträglich hinzufügen. Die Installation dazu starten Sie über "Verwalten / Rollen und Features hinzufügen". Der Rollendienst "Ressourcen-Manager für Dateiserver" ist über "Datei-/Speicherdienste / Datei- und iSCSI-Dienste" zu finden. Nach der Installation öffnen Sie das Tool durch Eingabe von "fsrm.msc" im Startmenü. Wenn das Verwaltungsprogramm gestartet ist, passen Sie über "Optionen konfigurieren" im Kontextmenü zum Eintrag "Ressourcen-Manager für Dateiserver" zunächst allgemeine Einstellungen an. Hier konfigurieren Sie zum Beispiel Benachrichtigungen und Berichte zur Nutzung des Servers.
Der Ressourcen-Manager für Dateiserver ist kein Virenscanner. Er kann also nicht aktiv nach Angreifern suchen. Es besteht aber die Möglichkeit ihm mitzuteilen, mit welchen Dateiendungen die Angreifer normalerweise auf den Server gelangen. Diese Dateigruppen lassen sich mit dem Ressourcen-Manager sperren. Die Dateigruppen werden entweder über die grafische Oberfläche angelegt oder mit dem PowerShell-Cmdlet "New-FsrmFileGroup". Microsoft stellt dazu im TechNet ein Skript [1] zur Verfügung. Dort ist auch die genaue Syntax zum Erstellen der Dateigruppe zum Schutz vor Ransomware zu sehen.
Die Dateiliste sollten Sie ständig erweitern. Die Vorgehensweise dazu wird auch im bekannten Exchange-Blog "Franky's Web" [2] beschrieben. Hier sind auch die verschiedenen Dateiendungen zu sehen, die aktuellen Erpressungs-Trojaner nutzen. Auch im Blog von Spiceworks [3] finden Sie diese Dateiendungen. Wer mit Ransomware infizierten Anwendern die Rechte für die Freigaben entziehen will, findet auf Franky's Web ein passendes Skript [4].
Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen
ln/Thomas Joos
[1] https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce#content
[2] www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
[3] https://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early
[4] www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update
Anschließend öffnet sich ein neues Fenster. Hier legen Sie fest, was mit Clients passieren soll, für die keine Regeln hinterlegt sind. Standardmäßig dürfen alle Clients zugreifen, außer denen, für die Sie Ablehnungseinträge konfigurieren. Aktivieren Sie an dieser Stelle die Option "Verweigern", dürfen nur die Clients Verbindung zum IIS aufbauen, für die Sie einen Zulassungseintrag konfiguriert haben. Aktivieren Sie das Kontrollkästchen "Einschränkungen nach Domänenname aktivieren", können Sie Zulassungs- beziehungsweise Ablehnungseinträge erstellen, die als Basis einen bestimmten Domänennamen nutzen. Nach der Aktivierung erhalten Sie eine Warnung, dass Reverse-DNS-Einträge den Server belasten, was allerdings abhängig ist von den Zugriffen.
Skripte per PowerShell blockieren
Immer mehr Tools arbeiten mit Skripten über die PowerShell. Da in der PowerShell so gut wie alle Servereinstellungen anpassbar sind, sollten Sie auch hier die Sicherheit optimieren und anpassen. Sie müssen stets einen vollqualifizierten Pfad zu der Skriptdatei angeben, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn Sie auf das aktuelle Verzeichnis verweisen wollen, geben Sie einen Punkt ein, zum Beispiel ".script.ps1". Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Diese bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen.
Standardmäßig blockiert die PowerShell Skripte. Oft werden die Einstellungen aber geändert. Auf sicheren Servern sollten Sie in jedem Fall so vorgehen, dass nur signierte oder gar keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript ausführen, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie können die Ausführungsrichtlinie mit dem Cmdlet "Set-ExecutionPolicy" ändern und mit "Get-ExecutionPolicy" anzeigen. Sie können folgende Einstellungen vornehmen:
Immer mehr Tools arbeiten mit Skripten über die PowerShell. Da in der PowerShell so gut wie alle Servereinstellungen anpassbar sind, sollten Sie auch hier die Sicherheit optimieren und anpassen. Sie müssen stets einen vollqualifizierten Pfad zu der Skriptdatei angeben, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn Sie auf das aktuelle Verzeichnis verweisen wollen, geben Sie einen Punkt ein, zum Beispiel ".script.ps1". Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Diese bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen.
Standardmäßig blockiert die PowerShell Skripte. Oft werden die Einstellungen aber geändert. Auf sicheren Servern sollten Sie in jedem Fall so vorgehen, dass nur signierte oder gar keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript ausführen, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie können die Ausführungsrichtlinie mit dem Cmdlet "Set-ExecutionPolicy" ändern und mit "Get-ExecutionPolicy" anzeigen. Sie können folgende Einstellungen vornehmen:
- Restricted: Skripte sind generell nicht erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.
- AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie aber regelmäßig bestimmte Skripte ausführen müssen.
- RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.
- Unrestricted: Mit dieser Konfiguration funktionieren alle Skripte.
Installation von FSRM
In Windows Server 2016 haben Sie zusätzlich die Möglichkeit, mit dem Ressourcen-Manager für Dateiserver (FSRM) den Zugriff von Anwendern auf Dateien etwas mehr unter Kontrolle zu stellen. Das gilt auch für Windows Server 2012/ 2012 R2. Diese zusätzliche Serverrolle wird über den Server-Manager installiert. Sie gehört zu den Datei- und iSCSI-Diensten. Grundsätzlich lässt sich damit auch der Schutz auf Servern mit Windows Server 2008/2008 R2 erhöhen, allerdings nicht so einfach, da hier die Unterstützung der PowerShell fehlt.
Der Ressourcen-Manager für Dateiserver ist standardmäßig nicht installiert, wenn Windows Server 2016 als Dateiserver im Einsatz ist. Sie können das Tool über den Server-Manager jederzeit nachträglich hinzufügen. Die Installation dazu starten Sie über "Verwalten / Rollen und Features hinzufügen". Der Rollendienst "Ressourcen-Manager für Dateiserver" ist über "Datei-/Speicherdienste / Datei- und iSCSI-Dienste" zu finden. Nach der Installation öffnen Sie das Tool durch Eingabe von "fsrm.msc" im Startmenü. Wenn das Verwaltungsprogramm gestartet ist, passen Sie über "Optionen konfigurieren" im Kontextmenü zum Eintrag "Ressourcen-Manager für Dateiserver" zunächst allgemeine Einstellungen an. Hier konfigurieren Sie zum Beispiel Benachrichtigungen und Berichte zur Nutzung des Servers.
Der Ressourcen-Manager für Dateiserver ist kein Virenscanner. Er kann also nicht aktiv nach Angreifern suchen. Es besteht aber die Möglichkeit ihm mitzuteilen, mit welchen Dateiendungen die Angreifer normalerweise auf den Server gelangen. Diese Dateigruppen lassen sich mit dem Ressourcen-Manager sperren. Die Dateigruppen werden entweder über die grafische Oberfläche angelegt oder mit dem PowerShell-Cmdlet "New-FsrmFileGroup". Microsoft stellt dazu im TechNet ein Skript [1] zur Verfügung. Dort ist auch die genaue Syntax zum Erstellen der Dateigruppe zum Schutz vor Ransomware zu sehen.
Die Dateiliste sollten Sie ständig erweitern. Die Vorgehensweise dazu wird auch im bekannten Exchange-Blog "Franky's Web" [2] beschrieben. Hier sind auch die verschiedenen Dateiendungen zu sehen, die aktuellen Erpressungs-Trojaner nutzen. Auch im Blog von Spiceworks [3] finden Sie diese Dateiendungen. Wer mit Ransomware infizierten Anwendern die Rechte für die Freigaben entziehen will, findet auf Franky's Web ein passendes Skript [4].
Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen
Seite 1 von 2 | Nächste Seite >> |
ln/Thomas Joos
[1] https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce#content
[2] www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/
[3] https://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early
[4] www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update