Fachartikel

Seite 2 - Windows Server 2016 härten (1)

Ransomware: Dateiprüfungsverwaltung nutzen
Über den Konsoleneintrag "Dateiprüfungsverwaltung" im Ressourcen-Manager für Dateiserver erstellen Sie Dateiprüfungen. Damit steuern Sie, welche Dateitypen von Benutzern gespeichert werden dürfen. Wenn Anwender versuchen, blockierte Dateien zu speichern, erhalten Sie eine entsprechende Nachricht. Auf diese Weise schützen Sie Ihre Dateiserver zumindest teilweise vor gefährlichen Dateien. Ändern Anwender aber die Endungen der Dateien ab, lassen sich diese weiterhin speichern. Der Schutz ist also nicht der zuverlässigste. Sie geben mit dem Schutz etwa vor, dass keine Musikdateien, Bilder oder Videos in persönlichen Ordnern auf einem Server gespeichert werden. Sie können die Speicherung bestimmter Arten von Mediendateien zulassen, die die Rechteverwaltung unterstützen oder den Unternehmensrichtlinien entsprechen. Auch ist es möglich, speziellen Anwendern im Unternehmen Privilegien zum Speichern beliebiger Dateien in ihrem persönlichen Ordner gewähren.

Über den Eintrag "Dateiprüfungen" erstellen Sie mit der rechten Maustaste neue Dateiprüfungen. Dabei wird ein Pfad festgelegt, auf dem die Dateiprüfung aktiviert ist. Sie können die Prüfung anhand einer Vorlage anlegen oder eine benutzerdefinierte Prüfung definieren. In beiden Fällen lässt sich konfigurieren, dass die Anwender daran gehindert werden, die Dateien zu speichern (aktive Prüfung). Bei einer passiven Prüfung darf der Anwender speichern, Administratoren erhalten auf Wunsch aber eine E-Mail. Sicherer ist also auf jeden Fall die aktive Prüfung. Auch hier erhalten Administratoren eine E-Mail.

Auf der Registerkarte "Befehl" legen Sie außerdem fest, dass der Server bei einem Angriff durch Ransomware automatisch herunterfährt. Das verhindert in den meisten Fällen das Verschlüsseln. Dazu müssen Sie einfach shutdown.exe ausführen lassen, und zwar mit den Optionen "/s" für Herunterfahren und "t 0" für sofortigen Start des Vorgangs.

Selbst wenn ein Virenschutz auf den Arbeitsstationen und Servern installiert ist, besteht die Gefahr eines Ransomware-Befalls auf dem Fileserver. Mit etwas Nacharbeit lässt sich das aber unwahrscheinlicher machen, vor allem mit dem Ressourcen-Manager für Dateiserver. Unabhängig von Tools und Serverdiensten sollten sich Administratoren umfassende Gedanken zum Schutz gegen Ransomware machen. Folgende, generelle Vorgehensweisen sollten Sie ergreifen:

  • Erhöhen Sie den Schreibschutz auf Dateiservern auf ein Maximum.
  • Scannen Sie eingehende E-Mails besonders sorgfältig auf Archive und Word-Dokumente.
  • Optimieren Sie die Abstände der Datensicherungen und deren Aufbewahrungszeit. Nehmen Sie häufigere Datensicherungen vor, die dann länger aufbewahrt werden.
  • Klären Sie die Anwender über Ransomware auf und darüber, wie sie sich selbst schützen können.
  • Verringern Sie die Abstände für Aktualisierungen der Definitionsdateien für Virenscanner auf Servern und Arbeitsstationen.
Arbeiten Unternehmen mit Schattenkopien, lassen sich verschlüsselte Dateien über die Schattenkopien des Servers wiederherstellen. Organisationen, die diese Funktion noch nicht nutzen, sollten diese für Windows-Dateiserver also auf jeden Fall aktivieren. Erpressungs-Trojaner verschlüsseln zwar die aktiven Dateien, aber nicht die Schattenkopien. Schattenkopien konfigurieren Sie in den Eigenschaften von Datenträgern auf dem Dateiserver auf der Registerkarte "Schattenkopien". Bei der Nutzung von Schattenkopien ist zu berücksichtigen, dass dafür einiges an Speicherplatz erforderlich ist, da sämtliche Änderungen gespeichert werden müssen.

Werden zusätzliche Datenträger eingebaut, müssen Sie die Schattenkopien manuell konfigurieren. Bei den Eigenschaften der Schattenkopien können Sie ein Limit für den maximal belegten Platz auf dem Datenträger definieren. Darüber hinaus lässt sich ein Zeitplan für die Erstellung von Schattenkopien erstellen. Administratoren können Schattenkopien auch jederzeit manuell über die Schaltfläche "Jetzt erstellen" erzeugen. Der hauptsächliche Nutzen der Schattenkopien liegt darin, dass sich versehentlich gelöschte oder veränderte Dateien sehr schnell wiederherstellen lassen. Das ist bei Ransomware zumindest ein grundlegender Schutz.

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Im zweiten Teil des Workshops erklären wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern. Im dritten Teil geht es um weitere Sicherheitstools von Microsoft. Außerdem zeigen wir, wie Sie SSL in WSUS nutzen.

<< Vorherige Seite Seite 2 von 2
6.05.2019/ln/Thomas Joos

Nachrichten

Kritische Citrix-Schwachstellen werden ausgenutzt [17.01.2020]

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. [mehr]

Einfallstor VPN [15.01.2020]

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des jüngsten Sodinokibi-Ransomware-Angriffs auf Travelex, der das Remote Access VPN-System als Einfallstor verwendete. Aufgrund eines ungepatchten VPN-Servers gelang es den Angreifern beispielsweise, das IT-System der englischen Devisengesellschaft bereits am Neujahrsabend stillzulegen. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen