Fachartikel

Windows Server 2016 mit Windows Defender und ATA schützen (3)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren.
Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.
ATA-Infrastruktur aufbauen
ATA besteht aus Gateways, die die Informationen im Netzwerk sammeln und die Analyse durchführen. Der generelle Aufbau einer ATA-Infrastruktur ist nicht kompliziert. Sie installieren zunächst das ATA-Center auf einem Server im Netzwerk. Der Installationsassistent dazu ist schnell durchgeklickt. Microsoft hat bei der Bereitstellung darauf geachtet, dass die Lösung innerhalb weniger Minuten einsatzbereit ist.

Das ATA-Center ist das zentrale Verwaltungswerkzeug und sammelt alle Informationen aus der Umgebung. Sie können verschiedene Gateways an ein ATA-Center anbinden. Um die Umgebung aufzubauen, benötigen Sie also im Idealfall mehrere Server. Sie können die komplette Installation jedoch auch auf einem einzelnen Server durchführen. Sobald die Installation abgeschlossen ist, erstellt ATA eigene Regeln und analysiert das Netzwerk. Sie müssen keinerlei zusätzliche Konfigurationen vornehmen, oder Daten aktualisieren – ATA arbeitet vollständig autonom. Sobald die Software die Gewohnheiten der Anwender kennt, kann es ungewöhnliche Benutzerzugriffe schnell entdecken. Je länger Sie das System betreiben, umso mehr lernt es dazu.

Achten Sie darauf, zwischen den beteiligten Servern die nötigen Ports freizuschalten, auch für das Versenden von Alarmen an die Administratoren. Dies betrifft die Ports für SSL (443), HTTP (80) und HTTPS (443). Auch muss ein ATA-Gateway in der Lage sein, den gesamten Netzwerkverkehr zu sehen. Hierfür richten Sie für jeden DC, den das Tool überwachen soll, Port-Mirroring ein. Die genauen Systemvoraussetzungen erläutert Microsoft im TechNet unter [4].

Sind alle Voraussetzungen erfüllt, installieren Sie das ATA Center. Im Rahmen dessen legen Sie auch die Größe der Datenbanken, die IP-Adressen und weitere wichtige Einstellungen fest. Allerdings sind diese Einstellungen sehr trivial. Außerdem hinterlegen Sie hier die Zertifikate für die sichere Anbindung. In Testumgebungen können Sie mit selbstsignierten Zertifikaten arbeiten. Die Center-Communication-IP-Adresse können Sie während der Einrichtung auf die IP-Adresse der Verwaltungswebseite einstellen. Wichtig ist in diesem Fall nur, dass Sie einen anderen Port verwenden.

ATA nutzt zum Speichern der Daten die kostenlose Datenbank MongoDB. Diese arbeitet standardmäßig im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ MongoDB \ bin \ data". Die Systemdateien legt der Assistent im Verzeichnis "%programfiles%  \ Microsoft Advanced Threat Analytics \ Center" ab.

Nachdem Sie das ATA-Center über den Assistenten installiert haben, bauen Sie über die Weboberfläche eine Verbindung zur Konsole auf. Dazu geben Sie im Browser nur die IP-Adresse oder den Namen des Centers ein. Nachdem Sie sich am Center angemeldet haben, verwalten Sie die ATA-Umgebung in dieser Konsole. Im Hauptfenster sehen sie später die verdächtigen Angriffe und durchgeführten Aktionen. Doch zunächst müssen Sie die Konfiguration der Umgebung abschließen. Dazu benötigen Sie die ATA-Gateways, die die eigentliche Untersuchung des Netzwerkes vornehmen.

So einfach wie die Einrichtung des ATA-Centers und ATA-Gateways ist, so einfach ist schließlich auch die Deinstallation, wenn Sie die Lösung nicht mehr verwenden möchten. Rufen Sie hierfür auf den Servern die Verwaltung der installierten Programme auf und deinstallieren an dieser Stelle das Gateway oder das Center – je nachdem was Sie entfernen wollen. Danach sollten Sie die restlichen Server der ATA-Infrastruktur neu starten, damit die neuen Konfigurationsdaten eingelesen werden.
ATA-Gateway konfigurieren
Nachdem Sie das ATA-Center installiert und eingerichtet haben, wechseln Sie auf dessen Verwaltungsseite. Diese starten Sie über das Icon auf dem Desktop des Servers oder über den Link "https://Servername oder IP-Adresse". Nach der Installation in produktiven Umgebungen oder bei Fehlern können Sie auch die Logdateien zur Analyse heranziehen. Die Datei "Microsoft.Tri.Center-Errors.log" finden Sie im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ Logs".

Das ATA-Center sowie das ATA-Gateway arbeiten als Systemdienste. Überprüfen Sie daher die Systemdienste "Microsoft Advanced Threat Analytics Center" und "Microsoft Advanced Threat Analytics Center". Diese müssen gestartet sein, damit die Umgebung funktioniert. Sie können das ATA auch mit der Windows-Leistungsüberwachung überprüfen. Dazu wurden die neuen Bereiche "NetworkListener Captured Frames / sec" und "EntityTransfer Activity Transfers / sec" integriert. Mehr Informationen hierzu erhalten Sie im TechNet-Forum zu ATA unter [5].

Im nächsten Schritt konfigurieren Sie ein erstes ATA-Gateway. Zur Anmeldung am ATA-Center verwenden Sie entweder ein Domänenadmin-Konto, das Konto eines lokalen Administrators oder ein Konto, das Sie in der lokalen Gruppe "Microsoft Advanced Threat Analytics Administrators" aufgenommen haben. Die lokale Verwaltung der Benutzer starten Sie am schnellsten durch Eingabe von lusrmgr.msc. In der Weboberfläche wechseln Sie nun zu den Einstellungen. Über den Bereich "Gateways" legen Sie bei "Domain Connectivity Settings" zunächst Anmeldeinformationen fest, mit denen sich später die Gateways zur Registrierung am ATA-Center anmelden. Hier verwenden Sie entweder eigene Benutzerkonten oder das Konto eines Administrators.

In der Weboberfläche können Sie auch die notwendigen Installationsdateien für Gateways direkt aus dem Internet herunterladen. Das Gateway installieren Sie im Grunde genommen wie das ATA-Center. Sie extrahieren die ZIP-Datei und führen die Installation aus. Die Installationsdatei können Sie auch auf mehreren Gateways nutzen. Möchten Sie multiple Gateways installieren, kopieren Sie die Installationsdateien einfach auf eine Freigabe im Netzwerk. In kleinen Umgebungen oder Testumgebungen können Sie das Gateway und das Center auf dem gleichen Server installieren. Sie können bei Bedarf jederzeit weitere Gateways installieren und an das System anbinden.

Im Rahmen der Installation müssen Sie das Gateway am Center anmelden. Dazu geben Sie den Benutzernamen und das Kennwort im Fenster ein. Es gibt zudem die Möglichkeit, das Gateways mit selbstsignierten Zertifikaten zu konfigurieren. Nach der erfolgreichen Installation besteht die Möglichkeit, die Verwaltungsoberfläche des ATA-Centers auch vom Gateway aus zu starten. So testen Sie auch die Verbindung zwischen Gateway und Center. Die Installationsdateien des Gateways finden Sie im Verzeichnis "%programfiles%\Microsoft Advanced Threat Analytics\Gateway".

Haben Sie ein Gateway installiert, wird es im ATA-Center in der Verwaltung angezeigt. Die Verwaltung öffnen Sie über das Zahnradsymbol oben rechts in der Konsole. Alle Gateways finden Sie über den Menüpunkt "Gateways". Sobald Sie ein Gateway registriert haben, müssen Sie noch Einstellungen vornehmen. Dazu blendet die Weboberfläche die Schaltfläche "Konfiguration erforderlich" ein. Setzen Sie mehrere Gateways ein, lassen sich die Einstellungen an dieser Stelle auch synchronisieren.

Wichtig ist zunächst das Hinzufügen eines DNS-Servers im Active Directory, das Festlegen der Netzwerkschnittstelle und das Auswählen einer passenden IP-Adresse, auf die das Gateway aufgeschaltet wird und so den Netzwerkverkehr überwacht. Über den Menüpunkt "Center" wird die URL zur Verwaltung und der IP-Endpunkt für die Verbindung der Gateways konfiguriert. Weitere Einstellungen nehmen Sie noch bei "Erkennung" vor. So legen Sie über "Warnung" fest, wie ATA seine Alarme versenden soll. Hier haben Sie die Möglichkeiten, einen E-Mail-Server oder einen Syslog-Server zu definieren. Diese Einstellungen sind aber optional. Sobald Sie die Konfiguration abgeschlossen haben, ist ATA eingerichtet und schützt das Netzwerk. Das Setup kann natürlich auch auf virtuellen Servern erfolgen.

Seite 2: Warnungen verwalten und Lizenzfrage klären


Seite 1 von 2 Nächste Seite >>
15.04.2019/jp/ln/Thomas Joos

Nachrichten

Datenverschlüsselung für jeden Speicherort [20.08.2019]

DataLocker präsentiert im Zuge eines Relaunches die neue, nun zentral gemanagte Version von "SafeCrypt". Der Hersteller verspricht mit der Neuvorstellung die sichere Verschlüsselung von Daten auf lokalen und externen Laufwerken sowie in der Cloud. Als virtuelles Laufwerk ist SafeCrypt in der Lage, Daten direkt auf dem lokalen Rechner des Nutzers zu verschlüsseln. [mehr]

Zentrales Verschlüsselungswerkzeug [19.08.2019]

Mit dem neuen Tool "Panda Full Encryption" erweitert Panda Security seine Cybersicherheitssoftware "Adaptive Defense 360" um ein Modul zur Endpoint-Verschlüsselung. Zu der vollständigen Ver- und Entschlüsselung aller Laufwerke bietet es zudem die Verwaltung der Wiederherstellungsschlüssel sowie die Möglichkeit einer Datenanalyse zum Verschlüsselungsstatus. [mehr]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen