Fachartikel

Seite 2 - Windows Server 2016 härten (1)

Ransomware: Dateiprüfungsverwaltung nutzen
Über den Konsoleneintrag "Dateiprüfungsverwaltung" im Ressourcen-Manager für Dateiserver erstellen Sie Dateiprüfungen. Damit steuern Sie, welche Dateitypen von Benutzern gespeichert werden dürfen. Wenn Anwender versuchen, blockierte Dateien zu speichern, erhalten Sie eine entsprechende Nachricht. Auf diese Weise schützen Sie Ihre Dateiserver zumindest teilweise vor gefährlichen Dateien. Ändern Anwender aber die Endungen der Dateien ab, lassen sich diese weiterhin speichern. Der Schutz ist also nicht der zuverlässigste. Sie geben mit dem Schutz etwa vor, dass keine Musikdateien, Bilder oder Videos in persönlichen Ordnern auf einem Server gespeichert werden. Sie können die Speicherung bestimmter Arten von Mediendateien zulassen, die die Rechteverwaltung unterstützen oder den Unternehmensrichtlinien entsprechen. Auch ist es möglich, speziellen Anwendern im Unternehmen Privilegien zum Speichern beliebiger Dateien in ihrem persönlichen Ordner gewähren.

Über den Eintrag "Dateiprüfungen" erstellen Sie mit der rechten Maustaste neue Dateiprüfungen. Dabei wird ein Pfad festgelegt, auf dem die Dateiprüfung aktiviert ist. Sie können die Prüfung anhand einer Vorlage anlegen oder eine benutzerdefinierte Prüfung definieren. In beiden Fällen lässt sich konfigurieren, dass die Anwender daran gehindert werden, die Dateien zu speichern (aktive Prüfung). Bei einer passiven Prüfung darf der Anwender speichern, Administratoren erhalten auf Wunsch aber eine E-Mail. Sicherer ist also auf jeden Fall die aktive Prüfung. Auch hier erhalten Administratoren eine E-Mail.

Auf der Registerkarte "Befehl" legen Sie außerdem fest, dass der Server bei einem Angriff durch Ransomware automatisch herunterfährt. Das verhindert in den meisten Fällen das Verschlüsseln. Dazu müssen Sie einfach shutdown.exe ausführen lassen, und zwar mit den Optionen "/s" für Herunterfahren und "t 0" für sofortigen Start des Vorgangs.

Selbst wenn ein Virenschutz auf den Arbeitsstationen und Servern installiert ist, besteht die Gefahr eines Ransomware-Befalls auf dem Fileserver. Mit etwas Nacharbeit lässt sich das aber unwahrscheinlicher machen, vor allem mit dem Ressourcen-Manager für Dateiserver. Unabhängig von Tools und Serverdiensten sollten sich Administratoren umfassende Gedanken zum Schutz gegen Ransomware machen. Folgende, generelle Vorgehensweisen sollten Sie ergreifen:

  • Erhöhen Sie den Schreibschutz auf Dateiservern auf ein Maximum.
  • Scannen Sie eingehende E-Mails besonders sorgfältig auf Archive und Word-Dokumente.
  • Optimieren Sie die Abstände der Datensicherungen und deren Aufbewahrungszeit. Nehmen Sie häufigere Datensicherungen vor, die dann länger aufbewahrt werden.
  • Klären Sie die Anwender über Ransomware auf und darüber, wie sie sich selbst schützen können.
  • Verringern Sie die Abstände für Aktualisierungen der Definitionsdateien für Virenscanner auf Servern und Arbeitsstationen.
Arbeiten Unternehmen mit Schattenkopien, lassen sich verschlüsselte Dateien über die Schattenkopien des Servers wiederherstellen. Organisationen, die diese Funktion noch nicht nutzen, sollten diese für Windows-Dateiserver also auf jeden Fall aktivieren. Erpressungs-Trojaner verschlüsseln zwar die aktiven Dateien, aber nicht die Schattenkopien. Schattenkopien konfigurieren Sie in den Eigenschaften von Datenträgern auf dem Dateiserver auf der Registerkarte "Schattenkopien". Bei der Nutzung von Schattenkopien ist zu berücksichtigen, dass dafür einiges an Speicherplatz erforderlich ist, da sämtliche Änderungen gespeichert werden müssen.

Werden zusätzliche Datenträger eingebaut, müssen Sie die Schattenkopien manuell konfigurieren. Bei den Eigenschaften der Schattenkopien können Sie ein Limit für den maximal belegten Platz auf dem Datenträger definieren. Darüber hinaus lässt sich ein Zeitplan für die Erstellung von Schattenkopien erstellen. Administratoren können Schattenkopien auch jederzeit manuell über die Schaltfläche "Jetzt erstellen" erzeugen. Der hauptsächliche Nutzen der Schattenkopien liegt darin, dass sich versehentlich gelöschte oder veränderte Dateien sehr schnell wiederherstellen lassen. Das ist bei Ransomware zumindest ein grundlegender Schutz.

Seite 1: Skripte per PowerShell blockieren und Installation von FSRM
Seite 2: Ransomware: Dateiprüfungsverwaltung nutzen


Im zweiten Teil des Workshops erklären wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern. Im dritten Teil geht es um weitere Sicherheitstools von Microsoft. Außerdem zeigen wir, wie Sie SSL in WSUS nutzen.

<< Vorherige Seite Seite 2 von 2
6.05.2019/ln/Thomas Joos

Nachrichten

Vertrauliche Dienstgespräche mit dem iPhone [16.09.2019]

Das Bundesamt für Sicherheit in der Informationstechnik ermöglicht Behörden zum ersten Mal vertrauliche Telefonate mit dem iPhone. Das Amt gibt die Mobile Encryption App für Ende-zu-Ende verschlüsseltes Telefonieren frei. Die Anwendung ist für Gespräche der Geheimhaltungsstufe "Nur für den Dienstgebrauch" freigegeben. Aktuell nutzen Behörden vorwiegend Spezialgeräte für vertrauliche Gespräche. [mehr]

Cloud: Viel genutzt, wenig gesichert [11.09.2019]

Unternehmen haben mit der rasanten Expansion der Cloud zu kämpfen. Dies geht aus dem neuen Cloud Security Threat Report (CSTR) von Symantec hervor. Dabei geben 53 Prozent der Organisationen in Deutschland an, dass ihre Cloudsicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloudanwendungen Schritt zu halten. [mehr]

Ungleicher Kampf [6.09.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen