Fachartikel

Windows Server 2016 mit Windows Defender und ATA schützen (1)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im ersten Teil beschäftigen wir uns vor allem damit, wie Sie Windows Defender per GUI und PowerShell verwalten.
Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.
Um ohne externen Virenscanner sowie während der Ersteinrichtung bereits geschützt zu sein, bringt Windows Server 2016 den standardmäßig aktivierten Windows Defender mit. Der Dienst trägt in Server 2016 die Bezeichnung "Windows Server Antimalware". Der Virenscanner bietet einen rudimentären Virenschutz, der sich auch per Gruppenrichtlinie steuern lässt. Installieren Sie auf dem Server einen anderen Virenscanner, wird Defender deaktiviert.

Windows Defender lässt sich in der grafischen Oberfläche aber auch in der Befehlszeile und der PowerShell verwalten. Auch auf Nano-Servern ist Defender als Paket verfügbar, standardmäßig hier aber nicht aktiv. Arbeiten Sie mit Windows Defender, sollten Sie auch weitere Tools von Microsoft im Blick behalten, mit denen Sie den Server schützen beziehungsweise das Betriebssystem überprüfen. Diese arbeiten normalerweise eng mit Windows Defender zusammen, auch auf Arbeitsstationen mit Windows 10.

Die Aktualisierung des Virenschutzes in Windows Defender findet über Windows Update statt, genauso wie auf Windows-Arbeitsstationen. Achten Sie aber darauf, dass die Aktualisierung standardmäßig auf Windows-Servern nicht aktiv ist, der Scanner selbst aber schon. Sie müssen Windows-Update also entweder manuell oder über Gruppenrichtlinien aktivieren. Die Bereitstellung der Definitionsdateien erfolgt ebenfalls über Windows-Update, lässt sich aber auch an den WSUS delegieren. Die Windows-Update-Steuerung erreichen Sie in Server 2016 über die Einstellungs-Apps und dann die Auswahl "Update" und "Sicherheit / Windows Update". Die Settings für den Windows Defender finden Sie wiederum direkt im Menü "Update und Sicherheit / Windows Defender".
Windows Defender steuern
Im Gegensatz zur Clientversion Windows 10 wird auf Servern mit Windows Server 2016 nicht das Verwaltungsprogramm für Windows Defender installiert. Über den Server-Manager und den Assistenten zum Hinzufügen oder Entfernen von Rollen lässt sich Windows Defender deinstallieren oder dessen GUI einspielen. In der PowerShell installieren Sie die grafische Oberfläche mit dem Befehl
Install-WindowsFeature -Name Windows-Defender-GUI
Um Windows Defender vom Server zu deinstallieren verwenden Sie
Uninstall-WindowsFeature -Name Windows-Server-Antimalware
Sie können in der grafischen Oberfläche jedoch keine Einstellungen vornehmen, Windows Defender schützt das System im Hintergrund automatisch. Die ordnungsgemäße Funktion des Malwareschutzes verifizieren Sie in der Befehlszeile:
sc query Windefend
Der Dienst, durch die Datei "C:\ Program Files \ Windows Defender \ MsMpEng.exe" bereitgestellt, muss dabei als gestartet angezeigt werden. Grundsätzlich müssen auf dem Server "Windows Defender Network Inspection Service" (Wdnissvc), "Windows Error Reporting Service" und "Windows Update Service" laufen.

Auf dem Server finden Sie im Verzeichnis "C:\ Program Files \ Windows Defender" Befehlszeilentools von Windows Defender, zum Beispiel "MPCMDRun.exe", mit dem Sie Skripte erstellen, Aktualisierungen herunterladen und Einstellungen anpassen. Zusätzlich sollten Sie die Ereignisse in der Ereignisanzeige der Server überwachen, denn hier lassen sich alle wichtigen Informationen von Windows Defender auslesen [1].

Definitionsdateien automatisieren
Damit der Server zuverlässig geschützt wird, müssen Sie manuell oder über Gruppenrichtlinien die Windows-Updates aktivieren. Hier ist auch eine Anbindung an WSUS möglich. Dabei unterscheidet sich die Installation der Definitionsdateien von den Updates.

Bild 1: Windows Defender wird über Windows Update mit Definitionsdateien versorgt.

Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update" vor. Das gilt für lokale Richtlinien in Windows 10 ebenso wie für Gruppenrichtlinien, die Sie mit Server 2016 umsetzen. Grundsätzlich haben Sie bei der Konfiguration der automatischen Updates in drei Optionen:
  1. Automatisches Herunterladen der Patche vom WSUS auf den Rechner, aber keine Installation, sondern nur die Meldung anzeigen, dass Patche vorhanden sind. Bei dieser Einstellung werden die Updates nicht installiert. Allerdings installiert Windows Defender die Definitionsdateien automatisch.
  2. Meldung anzeigen, dass neue Patche auf dem WSUS zur Verfügung stehen, aber kein Herunterladen der Patche auf den lokalen Computer.
  3. Automatisches Herunterladen und Installieren der Patche. Dies ist die optimale Einstellung für Arbeitsstationen und kleine Netze. Bei diesem Vorgang werden die Windows-Updates, aber auch die Definitionsdateien automatisch installiert.
Seite 1: Definitionsdateien von Windows Defender automatisieren
Seite 2: Verwaltung von Windows Defener per GUI und PowerShell


Seite 1 von 2 Nächste Seite >>
1.04.2019/jp/ln/Thomas Joos

Nachrichten

Mimikatz bleibt die größte Gefahr [26.06.2019]

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. Eine besondere Rolle spielt Mimikatz. [mehr]

IP-Kameras im Visier [25.06.2019]

IP-Kameras sind massiven Cyberangriffen ausgesetzt. So hat Trend Micro nach eigenen Angaben innerhalb von fünf Monaten insgesamt fünf Millionen Attacken gegen IP-Kameras abgewehrt. 75 Prozent aller abgewehrten Angriffe waren dabei Login-Versuche mittels Brute-Force. [mehr]

Tipps & Tools

Hyper-Threading Ein- und Abschalten [9.06.2019]

Simultaneous Multithreading (SMT) oder Hyper- Threading sind Technologien, die entwickelt wurden, um die CPU-Leistungsfähigkeit durch Parallelisierung von Berechnungen zu verbessern. Dieser Tipp zeigt Ihnen, wie Sie Hyper-Threading aktivieren und deaktivieren und weist auf Besonderheiten hin, die auf unterstützter Hardware zu beachten sind. [mehr]

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Buchbesprechung

Anzeigen