Windows Server 2016 mit Windows Defender und ATA schützen (3)

Lesezeit
4 Minuten
Bis jetzt gelesen

Windows Server 2016 mit Windows Defender und ATA schützen (3)

15.04.2019 - 00:00
Veröffentlicht in:
Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren.
ATA-Infrastruktur aufbauen
ATA besteht aus Gateways, die die Informationen im Netzwerk sammeln und die Analyse durchführen. Der generelle Aufbau einer ATA-Infrastruktur ist nicht kompliziert. Sie installieren zunächst das ATA-Center auf einem Server im Netzwerk. Der Installationsassistent dazu ist schnell durchgeklickt. Microsoft hat bei der Bereitstellung darauf geachtet, dass die Lösung innerhalb weniger Minuten einsatzbereit ist.

Das ATA-Center ist das zentrale Verwaltungswerkzeug und sammelt alle Informationen aus der Umgebung. Sie können verschiedene Gateways an ein ATA-Center anbinden. Um die Umgebung aufzubauen, benötigen Sie also im Idealfall mehrere Server. Sie können die komplette Installation jedoch auch auf einem einzelnen Server durchführen. Sobald die Installation abgeschlossen ist, erstellt ATA eigene Regeln und analysiert das Netzwerk. Sie müssen keinerlei zusätzliche Konfigurationen vornehmen, oder Daten aktualisieren – ATA arbeitet vollständig autonom. Sobald die Software die Gewohnheiten der Anwender kennt, kann es ungewöhnliche Benutzerzugriffe schnell entdecken. Je länger Sie das System betreiben, umso mehr lernt es dazu.

Achten Sie darauf, zwischen den beteiligten Servern die nötigen Ports freizuschalten, auch für das Versenden von Alarmen an die Administratoren. Dies betrifft die Ports für SSL (443), HTTP (80) und HTTPS (443). Auch muss ein ATA-Gateway in der Lage sein, den gesamten Netzwerkverkehr zu sehen. Hierfür richten Sie für jeden DC, den das Tool überwachen soll, Port-Mirroring ein. Die genauen Systemvoraussetzungen erläutert Microsoft im TechNet unter [4].

Sind alle Voraussetzungen erfüllt, installieren Sie das ATA Center. Im Rahmen dessen legen Sie auch die Größe der Datenbanken, die IP-Adressen und weitere wichtige Einstellungen fest. Allerdings sind diese Einstellungen sehr trivial. Außerdem hinterlegen Sie hier die Zertifikate für die sichere Anbindung. In Testumgebungen können Sie mit selbstsignierten Zertifikaten arbeiten. Die Center-Communication-IP-Adresse können Sie während der Einrichtung auf die IP-Adresse der Verwaltungswebseite einstellen. Wichtig ist in diesem Fall nur, dass Sie einen anderen Port verwenden.

ATA nutzt zum Speichern der Daten die kostenlose Datenbank MongoDB. Diese arbeitet standardmäßig im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ MongoDB \ bin \ data". Die Systemdateien legt der Assistent im Verzeichnis "%programfiles%  \ Microsoft Advanced Threat Analytics \ Center" ab.

Nachdem Sie das ATA-Center über den Assistenten installiert haben, bauen Sie über die Weboberfläche eine Verbindung zur Konsole auf. Dazu geben Sie im Browser nur die IP-Adresse oder den Namen des Centers ein. Nachdem Sie sich am Center angemeldet haben, verwalten Sie die ATA-Umgebung in dieser Konsole. Im Hauptfenster sehen sie später die verdächtigen Angriffe und durchgeführten Aktionen. Doch zunächst müssen Sie die Konfiguration der Umgebung abschließen. Dazu benötigen Sie die ATA-Gateways, die die eigentliche Untersuchung des Netzwerkes vornehmen.

So einfach wie die Einrichtung des ATA-Centers und ATA-Gateways ist, so einfach ist schließlich auch die Deinstallation, wenn Sie die Lösung nicht mehr verwenden möchten. Rufen Sie hierfür auf den Servern die Verwaltung der installierten Programme auf und deinstallieren an dieser Stelle das Gateway oder das Center – je nachdem was Sie entfernen wollen. Danach sollten Sie die restlichen Server der ATA-Infrastruktur neu starten, damit die neuen Konfigurationsdaten eingelesen werden.


ATA-Gateway konfigurieren
Nachdem Sie das ATA-Center installiert und eingerichtet haben, wechseln Sie auf dessen Verwaltungsseite. Diese starten Sie über das Icon auf dem Desktop des Servers oder über den Link "https://Servername oder IP-Adresse". Nach der Installation in produktiven Umgebungen oder bei Fehlern können Sie auch die Logdateien zur Analyse heranziehen. Die Datei "Microsoft.Tri.Center-Errors.log" finden Sie im Verzeichnis "%programfiles%\ Microsoft Advanced Threat Analytics \ Center \ Logs".

Das ATA-Center sowie das ATA-Gateway arbeiten als Systemdienste. Überprüfen Sie daher die Systemdienste "Microsoft Advanced Threat Analytics Center" und "Microsoft Advanced Threat Analytics Center". Diese müssen gestartet sein, damit die Umgebung funktioniert. Sie können das ATA auch mit der Windows-Leistungsüberwachung überprüfen. Dazu wurden die neuen Bereiche "NetworkListener Captured Frames / sec" und "EntityTransfer Activity Transfers / sec" integriert. Mehr Informationen hierzu erhalten Sie im TechNet-Forum zu ATA unter [5].

Im nächsten Schritt konfigurieren Sie ein erstes ATA-Gateway. Zur Anmeldung am ATA-Center verwenden Sie entweder ein Domänenadmin-Konto, das Konto eines lokalen Administrators oder ein Konto, das Sie in der lokalen Gruppe "Microsoft Advanced Threat Analytics Administrators" aufgenommen haben. Die lokale Verwaltung der Benutzer starten Sie am schnellsten durch Eingabe von lusrmgr.msc. In der Weboberfläche wechseln Sie nun zu den Einstellungen. Über den Bereich "Gateways" legen Sie bei "Domain Connectivity Settings" zunächst Anmeldeinformationen fest, mit denen sich später die Gateways zur Registrierung am ATA-Center anmelden. Hier verwenden Sie entweder eigene Benutzerkonten oder das Konto eines Administrators.

In der Weboberfläche können Sie auch die notwendigen Installationsdateien für Gateways direkt aus dem Internet herunterladen. Das Gateway installieren Sie im Grunde genommen wie das ATA-Center. Sie extrahieren die ZIP-Datei und führen die Installation aus. Die Installationsdatei können Sie auch auf mehreren Gateways nutzen. Möchten Sie multiple Gateways installieren, kopieren Sie die Installationsdateien einfach auf eine Freigabe im Netzwerk. In kleinen Umgebungen oder Testumgebungen können Sie das Gateway und das Center auf dem gleichen Server installieren. Sie können bei Bedarf jederzeit weitere Gateways installieren und an das System anbinden.

Im Rahmen der Installation müssen Sie das Gateway am Center anmelden. Dazu geben Sie den Benutzernamen und das Kennwort im Fenster ein. Es gibt zudem die Möglichkeit, das Gateways mit selbstsignierten Zertifikaten zu konfigurieren. Nach der erfolgreichen Installation besteht die Möglichkeit, die Verwaltungsoberfläche des ATA-Centers auch vom Gateway aus zu starten. So testen Sie auch die Verbindung zwischen Gateway und Center. Die Installationsdateien des Gateways finden Sie im Verzeichnis "%programfiles%\Microsoft Advanced Threat Analytics\Gateway".

Haben Sie ein Gateway installiert, wird es im ATA-Center in der Verwaltung angezeigt. Die Verwaltung öffnen Sie über das Zahnradsymbol oben rechts in der Konsole. Alle Gateways finden Sie über den Menüpunkt "Gateways". Sobald Sie ein Gateway registriert haben, müssen Sie noch Einstellungen vornehmen. Dazu blendet die Weboberfläche die Schaltfläche "Konfiguration erforderlich" ein. Setzen Sie mehrere Gateways ein, lassen sich die Einstellungen an dieser Stelle auch synchronisieren.

Wichtig ist zunächst das Hinzufügen eines DNS-Servers im Active Directory, das Festlegen der Netzwerkschnittstelle und das Auswählen einer passenden IP-Adresse, auf die das Gateway aufgeschaltet wird und so den Netzwerkverkehr überwacht. Über den Menüpunkt "Center" wird die URL zur Verwaltung und der IP-Endpunkt für die Verbindung der Gateways konfiguriert. Weitere Einstellungen nehmen Sie noch bei "Erkennung" vor. So legen Sie über "Warnung" fest, wie ATA seine Alarme versenden soll. Hier haben Sie die Möglichkeiten, einen E-Mail-Server oder einen Syslog-Server zu definieren. Diese Einstellungen sind aber optional. Sobald Sie die Konfiguration abgeschlossen haben, ist ATA eingerichtet und schützt das Netzwerk. Das Setup kann natürlich auch auf virtuellen Servern erfolgen.

Seite 2: Warnungen verwalten und Lizenzfrage klären


Seite 1 von 2 Nächste Seite >>


jp/ln/Thomas Joos

Ähnliche Beiträge

Datensicherheit in Zeiten von Quantum Computing

Quantencomputer machen klassische Verschlüsselungsverfahren in absehbarer Zeit obsolet. Daher müssen Unternehmen und öffentliche Einrichtungen bereits heute Vorkehrungen treffen, um die Sicherheit ihrer Daten und IoT-Systeme zu gewährleisten. Der Beitrag erklärt, welche Maßnahmen dafür in Betracht kommen. Dazu zählt der Einsatz einer Post-Quantum-Verschlüsselung. Wichtig sind außerdem die lückenlose Erfassung geschäftskritischer Daten und der Aufbau von Quantencomputer-Know-how.

Seite 2 - Funktionale SAP-Berechtigungskonzepte

Drei Szenarien für die Einführung von SAP-Berechtigungskonzepten
Genauso individuell wie jedes einzelne Unternehmen sind auch ihre SAP-Berechtigungskonzepte und deren Implementierung beziehungsweise Optimierung. Der eine Königsweg ist demnach ein Mythos. Die folgenden drei Szenarien zeigen daher beispielhaft die vielfältigen Wege hinsichtlich SAP-Berechtigungskonzepten auf:

Szenario Nr. 1: Zukunftsfähig aufstellen mit S/4HANA