Fachartikel

Windows Server 2016 härten (1)

Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im ersten Teil blockieren wir Skripte per PowerShell, installieren FSRM und wappnen uns gegen Ransomware.
Undurchdringbar zu sein wie diese Rüstung ist das Ziel der Härtung von Windows Server 2016.
Zunächst einmal sollten Sie dafür sorgen, dass nicht jedermann auf Ihren Webserver zugreifen kann. Theoretisch können Sie ganze Domänen vom Zugriff auf den IIS in Windows Server 2016 ausschließen. Dazu muss die DNS-Infrastruktur im Unternehmen Reverse-DNS unterstützen. Dadurch lassen sich die IP-Adressen der zugreifenden Clients zu einer Domäne auflösen. Darüber hinaus müssen Sie zuvor die Einschränkungen für Domänenfilterung aktivieren. Klicken Sie dazu im Bereich "Einschränkungen für IP-Adressen und Domänen" auf "Featureeinstellungen bearbeiten". Um diese Funktion nutzen zu können, müssen Sie wiederum den Rollendienst "IP- und Domänenbeschränkungen" installieren.

Anschließend öffnet sich ein neues Fenster. Hier legen Sie fest, was mit Clients passieren soll, für die keine Regeln hinterlegt sind. Standardmäßig dürfen alle Clients zugreifen, außer denen, für die Sie Ablehnungseinträge konfigurieren. Aktivieren Sie an dieser Stelle die Option "Verweigern", dürfen nur die Clients Verbindung zum IIS aufbauen, für die Sie einen Zulassungseintrag konfiguriert haben. Aktivieren Sie das Kontrollkästchen "Einschränkungen nach Domänenname aktivieren", können Sie Zulassungs- beziehungsweise Ablehnungseinträge erstellen, die als Basis einen bestimmten Domänennamen nutzen. Nach der Aktivierung erhalten Sie eine Warnung, dass Reverse-DNS-Einträge den Server belasten, was allerdings abhängig ist von den Zugriffen.

Skripte per PowerShell blockieren
Immer mehr Tools arbeiten mit Skripten über die PowerShell. Da in der PowerShell so gut wie alle Servereinstellungen anpassbar sind, sollten Sie auch hier die Sicherheit optimieren und anpassen. Sie müssen stets einen vollqualifizierten Pfad zu der Skriptdatei angeben, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn Sie auf das aktuelle Verzeichnis verweisen wollen, geben Sie einen Punkt ein, zum Beispiel ".script.ps1". Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Diese bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen.

Standardmäßig blockiert die PowerShell Skripte. Oft werden die Einstellungen aber geändert. Auf sicheren Servern sollten Sie in jedem Fall so vorgehen, dass nur signierte oder gar keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript ausführen, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie können die Ausführungsrichtlinie mit dem Cmdlet "Set-ExecutionPolicy" ändern und mit "Get-ExecutionPolicy" anzeigen. Sie können folgende Einstellungen vornehmen:

  • Restricted: Skripte sind generell nicht erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.
  • AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie aber regelmäßig bestimmte Skripte ausführen müssen.
  • RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.
  • Unrestricted: Mit dieser Konfiguration funktionieren alle Skripte.
Nach der Eingabe von Set-ExecutionPolicy unrestricted müssen Sie die Ausführung noch bestätigen. Danach funktionieren eigene Skripte. Für sensible Server sollten Sie Set-ExecutionPolicy restricted nutzen.
Installation von FSRM
In Windows Server 2016 haben Sie zusätzlich die Möglichkeit, mit dem Ressourcen-Manager für Dateiserver (FSRM) den Zugriff von Anwendern auf Dateien etwas mehr unter Kontrolle zu stellen. Das gilt auch für Windows Server 2012/ 2012 R2. Diese zusätzliche Serverrolle wird über den Server-Manager installiert. Sie gehört zu den Datei- und iSCSI-Diensten. Grundsätzlich lässt sich damit auch der Schutz auf Servern mit Windows Server 2008/2008 R2 erhöhen, allerdings nicht so einfach, da hier die Unterstützung der PowerShell fehlt.

Der Ressourcen-Manager für Dateiserver ist standardmäßig nicht installiert, wenn Windows Server 2016 als Dateiserver im Einsatz ist. Sie können das Tool über den Server-Manager jederzeit nachträglich hinzufügen. Die Installation dazu starten Sie über "Verwalten / Rollen und Features hinzufügen". Der Rollendienst "Ressourcen-Manager für Dateiserver" ist über "Datei-/Speicherdienste / Datei- und iSCSI-Dienste" zu finden. Nach der Installation öffnen Sie das Tool durch Eingabe von "fsrm.msc" im Startmenü. Wenn das Verwaltungsprogramm gestartet ist, passen Sie über "Optionen konfigurieren" im Kontextmenü zum Eintrag "Ressourcen-Manager für Dateiserver" zunächst allgemeine Einstellungen an. Hier konfigurieren Sie zum Beispiel Benachrichtigungen und Berichte zur Nutzung des Servers.

Der Ressourcen-Manager für Dateiserver ist kein Virenscanner. Er kann also nicht aktiv nach Angreifern suchen. Es besteht aber die Möglichkeit ihm mitzuteilen, mit welchen Dateiendungen die Angreifer normalerweise auf den Server gelangen. Diese Dateigruppen lassen sich mit dem Ressourcen-Manager sperren. Die Dateigruppen werden entweder über die grafische Oberfläche angelegt oder mit dem PowerShell-Cmdlet "New-FsrmFileGroup". Microsoft stellt dazu im TechNet ein Skript [1] zur Verfügung. Dort ist auch die genaue Syntax zum Erstellen der Dateigruppe zum Schutz vor Ransomware zu sehen.

Die Dateiliste sollten Sie ständig erweitern. Die Vorgehensweise dazu wird auch im bekannten Exchange-Blog "Franky's Web" [2] beschrieben. Hier sind auch die verschiedenen Dateiendungen zu sehen, die aktuellen Erpressungs-Trojaner nutzen. Auch im Blog von Spiceworks [3] finden Sie diese Dateiendungen. Wer mit Ransomware infizierten Anwendern die Rechte für die Freigaben entziehen will, findet auf Franky's Web ein passendes Skript [4].

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Seite 1 von 2 Nächste Seite >>
6.05.2019/ln/Thomas Joos

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen