Fachartikel

Windows Server 2016 mit Windows Defender und ATA schützen (3)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren.
Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.
ATA-Infrastruktur aufbauen
ATA besteht aus Gateways, die die Informationen im Netzwerk sammeln und die Analyse durchführen. Der generelle Aufbau einer ATA-Infrastruktur ist nicht kompliziert. Sie installieren zunächst das ATA-Center auf einem Server im Netzwerk. Der Installationsassistent dazu ist schnell durchgeklickt. Microsoft hat bei der Bereitstellung darauf geachtet, dass die Lösung innerhalb weniger Minuten einsatzbereit ist.

Das ATA-Center ist das zentrale Verwaltungswerkzeug und sammelt alle Informationen aus der Umgebung. Sie können verschiedene Gateways an ein ATA-Center anbinden. Um die Umgebung aufzubauen, benötigen Sie also im Idealfall mehrere Server. Sie können die komplette Installation jedoch auch auf einem einzelnen Server durchführen. Sobald die Installation abgeschlossen ist, erstellt ATA eigene Regeln und analysiert das Netzwerk. Sie müssen keinerlei zusätzliche Konfigurationen vornehmen, oder Daten aktualisieren – ATA arbeitet vollständig autonom. Sobald die Software die Gewohnheiten der Anwender kennt, kann es ungewöhnliche Benutzerzugriffe schnell entdecken. Je länger Sie das System betreiben, umso mehr lernt es dazu.

Achten Sie darauf, zwischen den beteiligten Servern die nötigen Ports freizuschalten, auch für das Versenden von Alarmen an die Administratoren. Dies betrifft die Ports für SSL (443), HTTP (80) und HTTPS (443). Auch muss ein ATA-Gateway in der Lage sein, den gesamten Netzwerkverkehr zu sehen. Hierfür richten Sie für jeden DC, den das Tool überwachen soll, Port-Mirroring ein. Die genauen Systemvoraussetzungen erläutert Microsoft im TechNet unter [4].

Sind alle Voraussetzungen erfüllt, installieren Sie das ATA Center. Im Rahmen dessen legen Sie auch die Größe der Datenbanken, die IP-Adressen und weitere wichtige Einstellungen fest. Allerdings sind diese Einstellungen sehr trivial. Außerdem hinterlegen Sie hier die Zertifikate für die sichere Anbindung. In Testumgebungen können Sie mit selbstsignierten Zertifikaten arbeiten. Die Center-Communication-IP-Adresse können Sie während der Einrichtung auf die IP-Adresse der Verwaltungswebseite einstellen. Wichtig ist in diesem Fall nur, dass Sie einen anderen Port verwenden.

ATA nutzt zum Speichern der Daten die kostenlose Datenbank MongoDB. Diese arbeitet standardmäßig im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ MongoDB \ bin \ data". Die Systemdateien legt der Assistent im Verzeichnis "%programfiles%  \ Microsoft Advanced Threat Analytics \ Center" ab.

Nachdem Sie das ATA-Center über den Assistenten installiert haben, bauen Sie über die Weboberfläche eine Verbindung zur Konsole auf. Dazu geben Sie im Browser nur die IP-Adresse oder den Namen des Centers ein. Nachdem Sie sich am Center angemeldet haben, verwalten Sie die ATA-Umgebung in dieser Konsole. Im Hauptfenster sehen sie später die verdächtigen Angriffe und durchgeführten Aktionen. Doch zunächst müssen Sie die Konfiguration der Umgebung abschließen. Dazu benötigen Sie die ATA-Gateways, die die eigentliche Untersuchung des Netzwerkes vornehmen.

So einfach wie die Einrichtung des ATA-Centers und ATA-Gateways ist, so einfach ist schließlich auch die Deinstallation, wenn Sie die Lösung nicht mehr verwenden möchten. Rufen Sie hierfür auf den Servern die Verwaltung der installierten Programme auf und deinstallieren an dieser Stelle das Gateway oder das Center – je nachdem was Sie entfernen wollen. Danach sollten Sie die restlichen Server der ATA-Infrastruktur neu starten, damit die neuen Konfigurationsdaten eingelesen werden.
ATA-Gateway konfigurieren
Nachdem Sie das ATA-Center installiert und eingerichtet haben, wechseln Sie auf dessen Verwaltungsseite. Diese starten Sie über das Icon auf dem Desktop des Servers oder über den Link "https://Servername oder IP-Adresse". Nach der Installation in produktiven Umgebungen oder bei Fehlern können Sie auch die Logdateien zur Analyse heranziehen. Die Datei "Microsoft.Tri.Center-Errors.log" finden Sie im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ Logs".

Das ATA-Center sowie das ATA-Gateway arbeiten als Systemdienste. Überprüfen Sie daher die Systemdienste "Microsoft Advanced Threat Analytics Center" und "Microsoft Advanced Threat Analytics Center". Diese müssen gestartet sein, damit die Umgebung funktioniert. Sie können das ATA auch mit der Windows-Leistungsüberwachung überprüfen. Dazu wurden die neuen Bereiche "NetworkListener Captured Frames / sec" und "EntityTransfer Activity Transfers / sec" integriert. Mehr Informationen hierzu erhalten Sie im TechNet-Forum zu ATA unter [5].

Im nächsten Schritt konfigurieren Sie ein erstes ATA-Gateway. Zur Anmeldung am ATA-Center verwenden Sie entweder ein Domänenadmin-Konto, das Konto eines lokalen Administrators oder ein Konto, das Sie in der lokalen Gruppe "Microsoft Advanced Threat Analytics Administrators" aufgenommen haben. Die lokale Verwaltung der Benutzer starten Sie am schnellsten durch Eingabe von lusrmgr.msc. In der Weboberfläche wechseln Sie nun zu den Einstellungen. Über den Bereich "Gateways" legen Sie bei "Domain Connectivity Settings" zunächst Anmeldeinformationen fest, mit denen sich später die Gateways zur Registrierung am ATA-Center anmelden. Hier verwenden Sie entweder eigene Benutzerkonten oder das Konto eines Administrators.

In der Weboberfläche können Sie auch die notwendigen Installationsdateien für Gateways direkt aus dem Internet herunterladen. Das Gateway installieren Sie im Grunde genommen wie das ATA-Center. Sie extrahieren die ZIP-Datei und führen die Installation aus. Die Installationsdatei können Sie auch auf mehreren Gateways nutzen. Möchten Sie multiple Gateways installieren, kopieren Sie die Installationsdateien einfach auf eine Freigabe im Netzwerk. In kleinen Umgebungen oder Testumgebungen können Sie das Gateway und das Center auf dem gleichen Server installieren. Sie können bei Bedarf jederzeit weitere Gateways installieren und an das System anbinden.

Im Rahmen der Installation müssen Sie das Gateway am Center anmelden. Dazu geben Sie den Benutzernamen und das Kennwort im Fenster ein. Es gibt zudem die Möglichkeit, das Gateways mit selbstsignierten Zertifikaten zu konfigurieren. Nach der erfolgreichen Installation besteht die Möglichkeit, die Verwaltungsoberfläche des ATA-Centers auch vom Gateway aus zu starten. So testen Sie auch die Verbindung zwischen Gateway und Center. Die Installationsdateien des Gateways finden Sie im Verzeichnis "%programfiles%\Microsoft Advanced Threat Analytics\Gateway".

Haben Sie ein Gateway installiert, wird es im ATA-Center in der Verwaltung angezeigt. Die Verwaltung öffnen Sie über das Zahnradsymbol oben rechts in der Konsole. Alle Gateways finden Sie über den Menüpunkt "Gateways". Sobald Sie ein Gateway registriert haben, müssen Sie noch Einstellungen vornehmen. Dazu blendet die Weboberfläche die Schaltfläche "Konfiguration erforderlich" ein. Setzen Sie mehrere Gateways ein, lassen sich die Einstellungen an dieser Stelle auch synchronisieren.

Wichtig ist zunächst das Hinzufügen eines DNS-Servers im Active Directory, das Festlegen der Netzwerkschnittstelle und das Auswählen einer passenden IP-Adresse, auf die das Gateway aufgeschaltet wird und so den Netzwerkverkehr überwacht. Über den Menüpunkt "Center" wird die URL zur Verwaltung und der IP-Endpunkt für die Verbindung der Gateways konfiguriert. Weitere Einstellungen nehmen Sie noch bei "Erkennung" vor. So legen Sie über "Warnung" fest, wie ATA seine Alarme versenden soll. Hier haben Sie die Möglichkeiten, einen E-Mail-Server oder einen Syslog-Server zu definieren. Diese Einstellungen sind aber optional. Sobald Sie die Konfiguration abgeschlossen haben, ist ATA eingerichtet und schützt das Netzwerk. Das Setup kann natürlich auch auf virtuellen Servern erfolgen.

Seite 2: Warnungen verwalten und Lizenzfrage klären


Seite 1 von 2 Nächste Seite >>
15.04.2019/jp/ln/Thomas Joos

Nachrichten

Angreifer manipulieren DNS-Einträge bei Registraren [18.04.2019]

Cisco Talos hat eine neue Angriffsmethode entdeckt. So spionierten Cyberkriminelle Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen konnten sie dann Attacken gegen staatliche Organisationen und andere Ziele ausführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. [mehr]

IT-Dienstleister gehackt, Zugriff auf Kundensysteme [17.04.2019]

Der drittgrößte indische IT-Outsourcer Wipro ist offenbar erfolgreich gehackt worden. Laut dem Security-Blog KrebsOnSecurity konnten sich Unbekannte Zugang zu den Konten von Angestellten des indischen IT-Dienstleisters verschaffen und sollen bereits seit mehreren Monaten Zugriff auf das System haben. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen