Fachartikel

Seite 2 - Windows Server 2016 härten (1)

Ransomware: Dateiprüfungsverwaltung nutzen
Über den Konsoleneintrag "Dateiprüfungsverwaltung" im Ressourcen-Manager für Dateiserver erstellen Sie Dateiprüfungen. Damit steuern Sie, welche Dateitypen von Benutzern gespeichert werden dürfen. Wenn Anwender versuchen, blockierte Dateien zu speichern, erhalten Sie eine entsprechende Nachricht. Auf diese Weise schützen Sie Ihre Dateiserver zumindest teilweise vor gefährlichen Dateien. Ändern Anwender aber die Endungen der Dateien ab, lassen sich diese weiterhin speichern. Der Schutz ist also nicht der zuverlässigste. Sie geben mit dem Schutz etwa vor, dass keine Musikdateien, Bilder oder Videos in persönlichen Ordnern auf einem Server gespeichert werden. Sie können die Speicherung bestimmter Arten von Mediendateien zulassen, die die Rechteverwaltung unterstützen oder den Unternehmensrichtlinien entsprechen. Auch ist es möglich, speziellen Anwendern im Unternehmen Privilegien zum Speichern beliebiger Dateien in ihrem persönlichen Ordner gewähren.

Über den Eintrag "Dateiprüfungen" erstellen Sie mit der rechten Maustaste neue Dateiprüfungen. Dabei wird ein Pfad festgelegt, auf dem die Dateiprüfung aktiviert ist. Sie können die Prüfung anhand einer Vorlage anlegen oder eine benutzerdefinierte Prüfung definieren. In beiden Fällen lässt sich konfigurieren, dass die Anwender daran gehindert werden, die Dateien zu speichern (aktive Prüfung). Bei einer passiven Prüfung darf der Anwender speichern, Administratoren erhalten auf Wunsch aber eine E-Mail. Sicherer ist also auf jeden Fall die aktive Prüfung. Auch hier erhalten Administratoren eine E-Mail.

Auf der Registerkarte "Befehl" legen Sie außerdem fest, dass der Server bei einem Angriff durch Ransomware automatisch herunterfährt. Das verhindert in den meisten Fällen das Verschlüsseln. Dazu müssen Sie einfach shutdown.exe ausführen lassen, und zwar mit den Optionen "/s" für Herunterfahren und "t 0" für sofortigen Start des Vorgangs.

Selbst wenn ein Virenschutz auf den Arbeitsstationen und Servern installiert ist, besteht die Gefahr eines Ransomware-Befalls auf dem Fileserver. Mit etwas Nacharbeit lässt sich das aber unwahrscheinlicher machen, vor allem mit dem Ressourcen-Manager für Dateiserver. Unabhängig von Tools und Serverdiensten sollten sich Administratoren umfassende Gedanken zum Schutz gegen Ransomware machen. Folgende, generelle Vorgehensweisen sollten Sie ergreifen:

  • Erhöhen Sie den Schreibschutz auf Dateiservern auf ein Maximum.
  • Scannen Sie eingehende E-Mails besonders sorgfältig auf Archive und Word-Dokumente.
  • Optimieren Sie die Abstände der Datensicherungen und deren Aufbewahrungszeit. Nehmen Sie häufigere Datensicherungen vor, die dann länger aufbewahrt werden.
  • Klären Sie die Anwender über Ransomware auf und darüber, wie sie sich selbst schützen können.
  • Verringern Sie die Abstände für Aktualisierungen der Definitionsdateien für Virenscanner auf Servern und Arbeitsstationen.
Arbeiten Unternehmen mit Schattenkopien, lassen sich verschlüsselte Dateien über die Schattenkopien des Servers wiederherstellen. Organisationen, die diese Funktion noch nicht nutzen, sollten diese für Windows-Dateiserver also auf jeden Fall aktivieren. Erpressungs-Trojaner verschlüsseln zwar die aktiven Dateien, aber nicht die Schattenkopien. Schattenkopien konfigurieren Sie in den Eigenschaften von Datenträgern auf dem Dateiserver auf der Registerkarte "Schattenkopien". Bei der Nutzung von Schattenkopien ist zu berücksichtigen, dass dafür einiges an Speicherplatz erforderlich ist, da sämtliche Änderungen gespeichert werden müssen.

Werden zusätzliche Datenträger eingebaut, müssen Sie die Schattenkopien manuell konfigurieren. Bei den Eigenschaften der Schattenkopien können Sie ein Limit für den maximal belegten Platz auf dem Datenträger definieren. Darüber hinaus lässt sich ein Zeitplan für die Erstellung von Schattenkopien erstellen. Administratoren können Schattenkopien auch jederzeit manuell über die Schaltfläche "Jetzt erstellen" erzeugen. Der hauptsächliche Nutzen der Schattenkopien liegt darin, dass sich versehentlich gelöschte oder veränderte Dateien sehr schnell wiederherstellen lassen. Das ist bei Ransomware zumindest ein grundlegender Schutz.

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Im zweiten Teil des Workshops erklären wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern. Im dritten Teil geht es um weitere Sicherheitstools von Microsoft. Außerdem zeigen wir, wie Sie SSL in WSUS nutzen.

<< Vorherige Seite Seite 2 von 2
6.05.2019/ln/Thomas Joos

Nachrichten

Neuer Rechtsleitfaden zu IT-Security-Anforderungen [27.06.2019]

Trend Micro stellt die neueste Version seines juristischen Leitfadens vor. Dieser beleuchtet rechtliche Themengebiete, die bei der Gestaltung von IT-Infrastruktur und IT-Sicherheit in Unternehmen zu beachten sind. Kernthemen der aktuellen Auflage sind die besonderen Anforderung, die das IT-Sicherheitsgesetz 2.0 an Kritische Infrastrukturen stellen wird sowie das kürzlich in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen. [mehr]

Mimikatz bleibt die größte Gefahr [26.06.2019]

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. Eine besondere Rolle spielt Mimikatz. [mehr]

IP-Kameras im Visier [25.06.2019]

Tipps & Tools

Hyper-Threading Ein- und Abschalten [9.06.2019]

Simultaneous Multithreading (SMT) oder Hyper- Threading sind Technologien, die entwickelt wurden, um die CPU-Leistungsfähigkeit durch Parallelisierung von Berechnungen zu verbessern. Dieser Tipp zeigt Ihnen, wie Sie Hyper-Threading aktivieren und deaktivieren und weist auf Besonderheiten hin, die auf unterstützter Hardware zu beachten sind. [mehr]

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Buchbesprechung

Anzeigen