Fachartikel

Windows Server 2016 mit Windows Defender und ATA schützen (1)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im ersten Teil beschäftigen wir uns vor allem damit, wie Sie Windows Defender per GUI und PowerShell verwalten.
Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.
Um ohne externen Virenscanner sowie während der Ersteinrichtung bereits geschützt zu sein, bringt Windows Server 2016 den standardmäßig aktivierten Windows Defender mit. Der Dienst trägt in Server 2016 die Bezeichnung "Windows Server Antimalware". Der Virenscanner bietet einen rudimentären Virenschutz, der sich auch per Gruppenrichtlinie steuern lässt. Installieren Sie auf dem Server einen anderen Virenscanner, wird Defender deaktiviert.

Windows Defender lässt sich in der grafischen Oberfläche aber auch in der Befehlszeile und der PowerShell verwalten. Auch auf Nano-Servern ist Defender als Paket verfügbar, standardmäßig hier aber nicht aktiv. Arbeiten Sie mit Windows Defender, sollten Sie auch weitere Tools von Microsoft im Blick behalten, mit denen Sie den Server schützen beziehungsweise das Betriebssystem überprüfen. Diese arbeiten normalerweise eng mit Windows Defender zusammen, auch auf Arbeitsstationen mit Windows 10.

Die Aktualisierung des Virenschutzes in Windows Defender findet über Windows Update statt, genauso wie auf Windows-Arbeitsstationen. Achten Sie aber darauf, dass die Aktualisierung standardmäßig auf Windows-Servern nicht aktiv ist, der Scanner selbst aber schon. Sie müssen Windows-Update also entweder manuell oder über Gruppenrichtlinien aktivieren. Die Bereitstellung der Definitionsdateien erfolgt ebenfalls über Windows-Update, lässt sich aber auch an den WSUS delegieren. Die Windows-Update-Steuerung erreichen Sie in Server 2016 über die Einstellungs-Apps und dann die Auswahl "Update" und "Sicherheit / Windows Update". Die Settings für den Windows Defender finden Sie wiederum direkt im Menü "Update und Sicherheit / Windows Defender".
Windows Defender steuern
Im Gegensatz zur Clientversion Windows 10 wird auf Servern mit Windows Server 2016 nicht das Verwaltungsprogramm für Windows Defender installiert. Über den Server-Manager und den Assistenten zum Hinzufügen oder Entfernen von Rollen lässt sich Windows Defender deinstallieren oder dessen GUI einspielen. In der PowerShell installieren Sie die grafische Oberfläche mit dem Befehl
Install-WindowsFeature -Name Windows-Defender-GUI
Um Windows Defender vom Server zu deinstallieren verwenden Sie
Uninstall-WindowsFeature -Name Windows-Server-Antimalware
Sie können in der grafischen Oberfläche jedoch keine Einstellungen vornehmen, Windows Defender schützt das System im Hintergrund automatisch. Die ordnungsgemäße Funktion des Malwareschutzes verifizieren Sie in der Befehlszeile:
sc query Windefend
Der Dienst, durch die Datei "C:\ Program Files \ Windows Defender \ MsMpEng.exe" bereitgestellt, muss dabei als gestartet angezeigt werden. Grundsätzlich müssen auf dem Server "Windows Defender Network Inspection Service" (Wdnissvc), "Windows Error Reporting Service" und "Windows Update Service" laufen.

Auf dem Server finden Sie im Verzeichnis "C:\ Program Files \ Windows Defender" Befehlszeilentools von Windows Defender, zum Beispiel "MPCMDRun.exe", mit dem Sie Skripte erstellen, Aktualisierungen herunterladen und Einstellungen anpassen. Zusätzlich sollten Sie die Ereignisse in der Ereignisanzeige der Server überwachen, denn hier lassen sich alle wichtigen Informationen von Windows Defender auslesen [1].

Definitionsdateien automatisieren
Damit der Server zuverlässig geschützt wird, müssen Sie manuell oder über Gruppenrichtlinien die Windows-Updates aktivieren. Hier ist auch eine Anbindung an WSUS möglich. Dabei unterscheidet sich die Installation der Definitionsdateien von den Updates.

Bild 1: Windows Defender wird über Windows Update mit Definitionsdateien versorgt.

Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update" vor. Das gilt für lokale Richtlinien in Windows 10 ebenso wie für Gruppenrichtlinien, die Sie mit Server 2016 umsetzen. Grundsätzlich haben Sie bei der Konfiguration der automatischen Updates in drei Optionen:
  1. Automatisches Herunterladen der Patche vom WSUS auf den Rechner, aber keine Installation, sondern nur die Meldung anzeigen, dass Patche vorhanden sind. Bei dieser Einstellung werden die Updates nicht installiert. Allerdings installiert Windows Defender die Definitionsdateien automatisch.
  2. Meldung anzeigen, dass neue Patche auf dem WSUS zur Verfügung stehen, aber kein Herunterladen der Patche auf den lokalen Computer.
  3. Automatisches Herunterladen und Installieren der Patche. Dies ist die optimale Einstellung für Arbeitsstationen und kleine Netze. Bei diesem Vorgang werden die Windows-Updates, aber auch die Definitionsdateien automatisch installiert.
Seite 1: Definitionsdateien von Windows Defender automatisieren
Seite 2: Verwaltung von Windows Defener per GUI und PowerShell


Seite 1 von 2 Nächste Seite >>
1.04.2019/jp/ln/Thomas Joos

Nachrichten

Angreifer manipulieren DNS-Einträge bei Registraren [18.04.2019]

Cisco Talos hat eine neue Angriffsmethode entdeckt. So spionierten Cyberkriminelle Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen konnten sie dann Attacken gegen staatliche Organisationen und andere Ziele ausführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. [mehr]

IT-Dienstleister gehackt, Zugriff auf Kundensysteme [17.04.2019]

Der drittgrößte indische IT-Outsourcer Wipro ist offenbar erfolgreich gehackt worden. Laut dem Security-Blog KrebsOnSecurity konnten sich Unbekannte Zugang zu den Konten von Angestellten des indischen IT-Dienstleisters verschaffen und sollen bereits seit mehreren Monaten Zugriff auf das System haben. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen