Fachartikel

Windows Server 2016 härten (1)

Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im ersten Teil blockieren wir Skripte per PowerShell, installieren FSRM und wappnen uns gegen Ransomware.
Undurchdringbar zu sein wie diese Rüstung ist das Ziel der Härtung von Windows Server 2016.
Zunächst einmal sollten Sie dafür sorgen, dass nicht jedermann auf Ihren Webserver zugreifen kann. Theoretisch können Sie ganze Domänen vom Zugriff auf den IIS in Windows Server 2016 ausschließen. Dazu muss die DNS-Infrastruktur im Unternehmen Reverse-DNS unterstützen. Dadurch lassen sich die IP-Adressen der zugreifenden Clients zu einer Domäne auflösen. Darüber hinaus müssen Sie zuvor die Einschränkungen für Domänenfilterung aktivieren. Klicken Sie dazu im Bereich "Einschränkungen für IP-Adressen und Domänen" auf "Featureeinstellungen bearbeiten". Um diese Funktion nutzen zu können, müssen Sie wiederum den Rollendienst "IP- und Domänenbeschränkungen" installieren.

Anschließend öffnet sich ein neues Fenster. Hier legen Sie fest, was mit Clients passieren soll, für die keine Regeln hinterlegt sind. Standardmäßig dürfen alle Clients zugreifen, außer denen, für die Sie Ablehnungseinträge konfigurieren. Aktivieren Sie an dieser Stelle die Option "Verweigern", dürfen nur die Clients Verbindung zum IIS aufbauen, für die Sie einen Zulassungseintrag konfiguriert haben. Aktivieren Sie das Kontrollkästchen "Einschränkungen nach Domänenname aktivieren", können Sie Zulassungs- beziehungsweise Ablehnungseinträge erstellen, die als Basis einen bestimmten Domänennamen nutzen. Nach der Aktivierung erhalten Sie eine Warnung, dass Reverse-DNS-Einträge den Server belasten, was allerdings abhängig ist von den Zugriffen.

Skripte per PowerShell blockieren
Immer mehr Tools arbeiten mit Skripten über die PowerShell. Da in der PowerShell so gut wie alle Servereinstellungen anpassbar sind, sollten Sie auch hier die Sicherheit optimieren und anpassen. Sie müssen stets einen vollqualifizierten Pfad zu der Skriptdatei angeben, auch wenn sich das Skript im aktuellen Verzeichnis befindet. Wenn Sie auf das aktuelle Verzeichnis verweisen wollen, geben Sie einen Punkt ein, zum Beispiel ".script.ps1". Zum Schutz des Systems enthält die PowerShell verschiedene Sicherheitsfeatures, zu denen auch die Ausführungsrichtlinie zählt. Diese bestimmt, ob Skripte ausgeführt werden dürfen und ob diese digital signiert sein müssen.

Standardmäßig blockiert die PowerShell Skripte. Oft werden die Einstellungen aber geändert. Auf sicheren Servern sollten Sie in jedem Fall so vorgehen, dass nur signierte oder gar keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript ausführen, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie können die Ausführungsrichtlinie mit dem Cmdlet "Set-ExecutionPolicy" ändern und mit "Get-ExecutionPolicy" anzeigen. Sie können folgende Einstellungen vornehmen:

  • Restricted: Skripte sind generell nicht erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.
  • AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie aber regelmäßig bestimmte Skripte ausführen müssen.
  • RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.
  • Unrestricted: Mit dieser Konfiguration funktionieren alle Skripte.
Nach der Eingabe von Set-ExecutionPolicy unrestricted müssen Sie die Ausführung noch bestätigen. Danach funktionieren eigene Skripte. Für sensible Server sollten Sie Set-ExecutionPolicy restricted nutzen.
Installation von FSRM
In Windows Server 2016 haben Sie zusätzlich die Möglichkeit, mit dem Ressourcen-Manager für Dateiserver (FSRM) den Zugriff von Anwendern auf Dateien etwas mehr unter Kontrolle zu stellen. Das gilt auch für Windows Server 2012/ 2012 R2. Diese zusätzliche Serverrolle wird über den Server-Manager installiert. Sie gehört zu den Datei- und iSCSI-Diensten. Grundsätzlich lässt sich damit auch der Schutz auf Servern mit Windows Server 2008/2008 R2 erhöhen, allerdings nicht so einfach, da hier die Unterstützung der PowerShell fehlt.

Der Ressourcen-Manager für Dateiserver ist standardmäßig nicht installiert, wenn Windows Server 2016 als Dateiserver im Einsatz ist. Sie können das Tool über den Server-Manager jederzeit nachträglich hinzufügen. Die Installation dazu starten Sie über "Verwalten / Rollen und Features hinzufügen". Der Rollendienst "Ressourcen-Manager für Dateiserver" ist über "Datei-/Speicherdienste / Datei- und iSCSI-Dienste" zu finden. Nach der Installation öffnen Sie das Tool durch Eingabe von "fsrm.msc" im Startmenü. Wenn das Verwaltungsprogramm gestartet ist, passen Sie über "Optionen konfigurieren" im Kontextmenü zum Eintrag "Ressourcen-Manager für Dateiserver" zunächst allgemeine Einstellungen an. Hier konfigurieren Sie zum Beispiel Benachrichtigungen und Berichte zur Nutzung des Servers.

Der Ressourcen-Manager für Dateiserver ist kein Virenscanner. Er kann also nicht aktiv nach Angreifern suchen. Es besteht aber die Möglichkeit ihm mitzuteilen, mit welchen Dateiendungen die Angreifer normalerweise auf den Server gelangen. Diese Dateigruppen lassen sich mit dem Ressourcen-Manager sperren. Die Dateigruppen werden entweder über die grafische Oberfläche angelegt oder mit dem PowerShell-Cmdlet "New-FsrmFileGroup". Microsoft stellt dazu im TechNet ein Skript [1] zur Verfügung. Dort ist auch die genaue Syntax zum Erstellen der Dateigruppe zum Schutz vor Ransomware zu sehen.

Die Dateiliste sollten Sie ständig erweitern. Die Vorgehensweise dazu wird auch im bekannten Exchange-Blog "Franky's Web" [2] beschrieben. Hier sind auch die verschiedenen Dateiendungen zu sehen, die aktuellen Erpressungs-Trojaner nutzen. Auch im Blog von Spiceworks [3] finden Sie diese Dateiendungen. Wer mit Ransomware infizierten Anwendern die Rechte für die Freigaben entziehen will, findet auf Franky's Web ein passendes Skript [4].

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Seite 1 von 2 Nächste Seite >>
6.05.2019/ln/Thomas Joos

Nachrichten

Malware-Untersuchung vor Ort [7.07.2020]

Die Sandboxing-Technologie von Kaspersky kann künftig auch in Kundennetzwerken eingesetzt werden. Die Umgebung unterstützt Sicherheitsexperten dabei, zielgerichtete Attacken zu entdecken und zu analysieren, während sie gleichzeitig sichergehen können, dass alle untersuchten Dateien innerhalb der eigenen Organisation verbleiben. Die eigene IT-Umgebung soll sich dabei realitätsnah nachbilden lassen. [mehr]

EU-US Privacy Shield vor dem Aus? [6.07.2020]

Die Europäische Kommission bereitet sich auf das Scheitern des EU-US Privacy Shield vor, die in der EU ansässigen Firmen sollten ebenfalls dringend mit den Vorbereitungen beginnen, rät Detlef Schmuck, Geschäftsführer der Hamburger Datensicherheits­firma TeamDrive. Würde die transatlantische Datenschutzvereinbarung vom Europäischen Gerichtshof (EuGH) wie von vielen Seiten erwartet am 16. Juli für ungültig erklärt, stünden Millionen europäischer Unternehmen, die US-amerikanische Datendienste nutzen, im Regen. [mehr]

Tipps & Tools

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen