von Redaktion IT-A…
Lesezeit
3 Minuten
Windows Server 2016 härten (2)
Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im zweiten Teil erklären wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern.
Offene Ports prüfen
Zur Analyse und Absicherung der Netzwerkverbindungen auf einem Server ist es unerlässlich, sich die geöffneten Ports genauer anzusehen. Hilfreich ist dabei das Tool TCPView [5] von Sysinternals. NirSoft stellt mit CurrPorts [6] ein ähnliches kostenloses Werkzeug zur Verfügung. Beide Tools können Sie direkt starten, eine Installation ist nicht notwendig.
Mit TCPView lassen Sie sich alle TCP- und UDP-Endpunkte eines Servers anzeigen. Zusätzlich sehen Sie, welche Prozesse auf die Endpunkte und Ports zugreifen. Sie erfahren also Details zum Prozess, dessen ID, das Protokoll, die Remoteadresse und den Port. Gelöschte Endpunkte zeigt das Tool rot an, neue Endpunkte grün. Den aktuellen Verbindungsstatus können Sie über das Menü auch abspeichern.
CurrPorts zeigt in einer grafischen Oberfläche ebenfalls die geöffneten Ports an sowie die Anwendungen inklusive der Prozesse, die die Ports geöffnet halten. Über das Kontextmenü der einzelnen Verbindungen beenden Sie die Prozesse und rufen weitere Informationen auf. Außer mit diesen Zusatztools bringen Sie geöffnete Ports auch mit Bordmitteln in Windows Server 2016 auf den Schirm:Starten Sie eine Eingabeaufforderung über das Kontextmenü mit Administratorrechten.
Netzwerke mit Nmap untersuchen
Kostenlose Tools wie Nmap [7] helfen ebenfalls bei der Suche nach Netzwerkgeräten und offenen Ports auf Servern. Der Vorteil von Nmap liegt darin, dass in den Installationsdateien bereits vorgefertigte Überwachungsskripte integriert sind. Mit diesen können Sie schnell und einfach Netzwerke und lokal geöffnete Ports untersuchen.
Alles, was Sie tun müssen, ist Nmap zu installieren und zu starten. Anschließend scannt das Tool das Netzwerk. Auf der Downloadseite gibt es auch jede Menge Skripte. Diese haben die Endung NSE (Nmap Script Engine) und lassen sich in Nmap zur Spezifizierung von Scanjobs verwenden. Für Windows-Rechner gibt es eine Installationsdatei für Nmap. Nach dem Download starten Sie den Assistenten und bestätigen die einzelnen Fenster für die Installation. In allen Fenstern müssen Sie die Standardeingaben einfach nur bestätigen.
Nach der Installation von Nmap starten Sie Zenmap. Dabei handelt es sich um die grafische Oberfläche für das Befehlszeilentool Nmap. Um einen einfachen Scan zu starten, geben Sie im Feld "Ziel" eine IP-Adresse ein. Anschließend klicken Sie auf "Scan". Danach verbindet sich Nmap mit dem Rechner und zeigt alle offenen Ports an. Im Ordner "Nmap\scripts" befinden sich spezielle Skripte für Nmap, die besondere Aufgaben durchführen können, zum Beispiel Dropbox-Rechner im Netzwerk finden.
Um ein ganzes Subnetz nach offenen Ports zu scannen, geben Sie den Befehl nmap -sn Subnetz ein, zum Beispiel nmap -sn 192.168.178.0/24. Alternativ verwenden Sie den Befehl nmap Start-IP-Adresse-Letzte Stelle der letzten IP-Adresse, zum Beispiel nmap 192.168.178.1-254.
Benutzerberechtigungen überprüfen
Bei der Serverhärtung spielen auch Berechtigungen für Dateien und Verzeichnisse eine wichtige Rolle. Um zu überprüfen, ob ein Benutzer Rechte auf ein Verzeichnis hat, sind die effektiven Berechtigungen wichtig. Um diese anzuzeigen, öffnen Sie in den Eigenschaften des Verzeichnisses die Registerkarte "Sicherheit" und dann die erweiterten Einstellungen. Wählen Sie das Register "Effektiver Zugriff" aus, sehen Sie alle speziellen Berechtigungen, die der Benutzer in Summe hat. Um die Berechtigungen für einen anderen Benutzer anzuzeigen, wählen Sie über "Einen Benutzer auswählen" ein anderes Konto aus.
Vor allem in Unternehmen, bei denen mehrere Administratoren das Active Directory verwalten und ein komplexeres Berechtigungsmodell im Einsatz ist, kann es sinnvoll sein, die Berechtigungen im AD auszulesen und zu dokumentieren. Dazu gibt es das kostenlose Tool AD ACL Scanner [8]. Dabei handelt es sich um ein PowerShell-Skript mit einer grafischen Oberfläche. Sie müssen das Werkzeug daher nicht installieren.
Verfügen Sie auf dem Server oder Computer nicht über umfassende Administratorrechte, können Sie die Einstellungen für PowerShell-Skripte für Ihr Benutzerkonto ändern: Set-ExecutionPolicy Unrestricted -Scope CurrentUser. Anschließend geben Sie in der PowerShell den Befehl .\adaclscan4.5.ps1 ein. Dazu müssen Sie sich im Verzeichnis des Tools befinden. Starten Sie das Werkzeug auf einem Domänenmitglied, reicht es aus, wenn Sie auf "Connect" klicken. Klicken Sie dann im unteren Feld auf die OU oder Domäne, die Sie scannen wollen und danach auf "Run scan". Anschließend liest die Software schon die Rechte aus und zeigt sie in einem Bericht an. Den Bericht können Sie in eine HTML-Datei exportieren oder ausdrucken.
Seite 1: Netzwerke mit Nmap untersuchen
Seite 2: Security Compliance Manager 4.0
ln/Thomas Joos
[5] https://technet.microsoft.com/de-de/sysinternals/bb897437
[6] www.nirsoft.net/utils/cports.html
[7] http://nmap.org
[8] https://blogs.technet.microsoft.com/pfesweplat/2013/05/13/take-control-over-ad-permissions-and-the-ad-acl-scanner-tool/
Zur Analyse und Absicherung der Netzwerkverbindungen auf einem Server ist es unerlässlich, sich die geöffneten Ports genauer anzusehen. Hilfreich ist dabei das Tool TCPView [5] von Sysinternals. NirSoft stellt mit CurrPorts [6] ein ähnliches kostenloses Werkzeug zur Verfügung. Beide Tools können Sie direkt starten, eine Installation ist nicht notwendig.
Mit TCPView lassen Sie sich alle TCP- und UDP-Endpunkte eines Servers anzeigen. Zusätzlich sehen Sie, welche Prozesse auf die Endpunkte und Ports zugreifen. Sie erfahren also Details zum Prozess, dessen ID, das Protokoll, die Remoteadresse und den Port. Gelöschte Endpunkte zeigt das Tool rot an, neue Endpunkte grün. Den aktuellen Verbindungsstatus können Sie über das Menü auch abspeichern.
CurrPorts zeigt in einer grafischen Oberfläche ebenfalls die geöffneten Ports an sowie die Anwendungen inklusive der Prozesse, die die Ports geöffnet halten. Über das Kontextmenü der einzelnen Verbindungen beenden Sie die Prozesse und rufen weitere Informationen auf. Außer mit diesen Zusatztools bringen Sie geöffnete Ports auch mit Bordmitteln in Windows Server 2016 auf den Schirm:Starten Sie eine Eingabeaufforderung über das Kontextmenü mit Administratorrechten.
- Geben Sie den Befehl netstat -an ein.
- Windows zeigt die geöffneten Ports an.
- Ausführlichere Informationen erhalten Sie mit netstat -banvo.
- Die Routingtabelle des Computers sehen Sie mit netstat -r, Statistiken zu TCP/IP zeigt das Tool mit netstat -s an.
Netzwerke mit Nmap untersuchen
Kostenlose Tools wie Nmap [7] helfen ebenfalls bei der Suche nach Netzwerkgeräten und offenen Ports auf Servern. Der Vorteil von Nmap liegt darin, dass in den Installationsdateien bereits vorgefertigte Überwachungsskripte integriert sind. Mit diesen können Sie schnell und einfach Netzwerke und lokal geöffnete Ports untersuchen.
Alles, was Sie tun müssen, ist Nmap zu installieren und zu starten. Anschließend scannt das Tool das Netzwerk. Auf der Downloadseite gibt es auch jede Menge Skripte. Diese haben die Endung NSE (Nmap Script Engine) und lassen sich in Nmap zur Spezifizierung von Scanjobs verwenden. Für Windows-Rechner gibt es eine Installationsdatei für Nmap. Nach dem Download starten Sie den Assistenten und bestätigen die einzelnen Fenster für die Installation. In allen Fenstern müssen Sie die Standardeingaben einfach nur bestätigen.
Nach der Installation von Nmap starten Sie Zenmap. Dabei handelt es sich um die grafische Oberfläche für das Befehlszeilentool Nmap. Um einen einfachen Scan zu starten, geben Sie im Feld "Ziel" eine IP-Adresse ein. Anschließend klicken Sie auf "Scan". Danach verbindet sich Nmap mit dem Rechner und zeigt alle offenen Ports an. Im Ordner "Nmap\scripts" befinden sich spezielle Skripte für Nmap, die besondere Aufgaben durchführen können, zum Beispiel Dropbox-Rechner im Netzwerk finden.
Um ein ganzes Subnetz nach offenen Ports zu scannen, geben Sie den Befehl nmap -sn Subnetz ein, zum Beispiel nmap -sn 192.168.178.0/24. Alternativ verwenden Sie den Befehl nmap Start-IP-Adresse-Letzte Stelle der letzten IP-Adresse, zum Beispiel nmap 192.168.178.1-254.
Benutzerberechtigungen überprüfen
Bei der Serverhärtung spielen auch Berechtigungen für Dateien und Verzeichnisse eine wichtige Rolle. Um zu überprüfen, ob ein Benutzer Rechte auf ein Verzeichnis hat, sind die effektiven Berechtigungen wichtig. Um diese anzuzeigen, öffnen Sie in den Eigenschaften des Verzeichnisses die Registerkarte "Sicherheit" und dann die erweiterten Einstellungen. Wählen Sie das Register "Effektiver Zugriff" aus, sehen Sie alle speziellen Berechtigungen, die der Benutzer in Summe hat. Um die Berechtigungen für einen anderen Benutzer anzuzeigen, wählen Sie über "Einen Benutzer auswählen" ein anderes Konto aus.
Vor allem in Unternehmen, bei denen mehrere Administratoren das Active Directory verwalten und ein komplexeres Berechtigungsmodell im Einsatz ist, kann es sinnvoll sein, die Berechtigungen im AD auszulesen und zu dokumentieren. Dazu gibt es das kostenlose Tool AD ACL Scanner [8]. Dabei handelt es sich um ein PowerShell-Skript mit einer grafischen Oberfläche. Sie müssen das Werkzeug daher nicht installieren.
Verfügen Sie auf dem Server oder Computer nicht über umfassende Administratorrechte, können Sie die Einstellungen für PowerShell-Skripte für Ihr Benutzerkonto ändern: Set-ExecutionPolicy Unrestricted -Scope CurrentUser. Anschließend geben Sie in der PowerShell den Befehl .\adaclscan4.5.ps1 ein. Dazu müssen Sie sich im Verzeichnis des Tools befinden. Starten Sie das Werkzeug auf einem Domänenmitglied, reicht es aus, wenn Sie auf "Connect" klicken. Klicken Sie dann im unteren Feld auf die OU oder Domäne, die Sie scannen wollen und danach auf "Run scan". Anschließend liest die Software schon die Rechte aus und zeigt sie in einem Bericht an. Den Bericht können Sie in eine HTML-Datei exportieren oder ausdrucken.
Seite 1: Netzwerke mit Nmap untersuchen
Seite 2: Security Compliance Manager 4.0
| Seite 1 von 2 | Nächste Seite >> |
ln/Thomas Joos
[5] https://technet.microsoft.com/de-de/sysinternals/bb897437
[6] www.nirsoft.net/utils/cports.html
[7] http://nmap.org
[8] https://blogs.technet.microsoft.com/pfesweplat/2013/05/13/take-control-over-ad-permissions-and-the-ad-acl-scanner-tool/
