Fachartikel

Windows Server 2016 härten (2)

Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im zweiten Teil erklären wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern.
Undurchdringbar zu sein wie diese Rüstung ist das Ziel der Härtung von Windows Server 2016.
Offene Ports prüfen
Zur Analyse und Absicherung der Netzwerkverbindungen auf einem Server ist es unerlässlich, sich die geöffneten Ports genauer anzusehen. Hilfreich ist dabei das Tool TCPView [5] von Sysinternals. NirSoft stellt mit CurrPorts [6] ein ähnliches kostenloses Werkzeug zur Verfügung. Beide Tools können Sie direkt starten, eine Installation ist nicht notwendig.

Mit TCPView lassen Sie sich alle TCP- und UDP-Endpunkte eines Servers anzeigen. Zusätzlich sehen Sie, welche Prozesse auf die Endpunkte und Ports zugreifen. Sie erfahren also Details zum Prozess, dessen ID, das Protokoll, die Remoteadresse und den Port. Gelöschte Endpunkte zeigt das Tool rot an, neue Endpunkte grün. Den aktuellen Verbindungsstatus können Sie über das Menü auch abspeichern.

CurrPorts zeigt in einer grafischen Oberfläche ebenfalls die geöffneten Ports an sowie die Anwendungen inklusive der Prozesse, die die Ports geöffnet halten. Über das Kontextmenü der einzelnen Verbindungen beenden Sie die Prozesse und rufen weitere Informationen auf. Außer mit diesen Zusatztools bringen Sie geöffnete Ports auch mit Bordmitteln in Windows Server 2016 auf den Schirm:Starten Sie eine Eingabeaufforderung über das Kontextmenü mit Administratorrechten.
  1. Geben Sie den Befehl netstat -an ein.
  2. Windows zeigt die geöffneten Ports an.
  3. Ausführlichere Informationen erhalten Sie mit netstat -banvo.
  4. Die Routingtabelle des Computers sehen Sie mit netstat -r, Statistiken zu TCP/IP zeigt das Tool mit netstat -s an.
Netzwerke mit Nmap untersuchen
Kostenlose Tools wie Nmap [7] helfen ebenfalls bei der Suche nach Netzwerkgeräten und offenen Ports auf Servern. Der Vorteil von Nmap liegt darin, dass in den Installationsdateien bereits vorgefertigte Überwachungsskripte integriert sind. Mit diesen können Sie schnell und einfach Netzwerke und lokal geöffnete Ports untersuchen.

Alles, was Sie tun müssen, ist Nmap zu installieren und zu starten. Anschließend scannt das Tool das Netzwerk. Auf der Downloadseite gibt es auch jede Menge Skripte. Diese haben die Endung NSE (Nmap Script Engine) und lassen sich in Nmap zur Spezifizierung von Scanjobs verwenden. Für Windows-Rechner gibt es eine Installationsdatei für Nmap. Nach dem Download starten Sie den Assistenten und bestätigen die einzelnen Fenster für die Installation. In allen Fenstern müssen Sie die Standardeingaben einfach nur bestätigen.

Nach der Installation von Nmap starten Sie Zenmap. Dabei handelt es sich um die grafische Oberfläche für das Befehlszeilentool Nmap. Um einen einfachen Scan zu starten, geben Sie im Feld "Ziel" eine IP-Adresse ein. Anschließend klicken Sie auf "Scan". Danach verbindet sich Nmap mit dem Rechner und zeigt alle offenen Ports an. Im Ordner "Nmap\scripts" befinden sich spezielle Skripte für Nmap, die besondere Aufgaben durchführen können, zum Beispiel Dropbox-Rechner im Netzwerk finden.

Um ein ganzes Subnetz nach offenen Ports zu scannen, geben Sie den Befehl nmap -sn Subnetz ein, zum Beispiel nmap -sn 192.168.178.0/24. Alternativ verwenden Sie den Befehl nmap Start-IP-Adresse-Letzte Stelle der letzten IP-Adresse, zum Beispiel nmap 192.168.178.1-254.

Benutzerberechtigungen überprüfen
Bei der Serverhärtung spielen auch Berechtigungen für Dateien und Verzeichnisse eine wichtige Rolle. Um zu überprüfen, ob ein Benutzer Rechte auf ein Verzeichnis hat, sind die effektiven Berechtigungen wichtig. Um diese anzuzeigen, öffnen Sie in den Eigenschaften des Verzeichnisses die Registerkarte "Sicherheit" und dann die erweiterten Einstellungen. Wählen Sie das Register "Effektiver Zugriff" aus, sehen Sie alle speziellen Berechtigungen, die der Benutzer in Summe hat. Um die Berechtigungen für einen anderen Benutzer anzuzeigen, wählen Sie über "Einen Benutzer auswählen" ein anderes Konto aus.

Vor allem in Unternehmen, bei denen mehrere Administratoren das Active Directory verwalten und ein komplexeres Berechtigungsmodell im Einsatz ist, kann es sinnvoll sein, die Berechtigungen im AD auszulesen und zu dokumentieren. Dazu gibt es das kostenlose Tool AD ACL Scanner [8]. Dabei handelt es sich um ein PowerShell-Skript mit einer grafischen Oberfläche. Sie müssen das Werkzeug daher nicht installieren.

Verfügen Sie auf dem Server oder Computer nicht über umfassende Administratorrechte, können Sie die Einstellungen für PowerShell-Skripte für Ihr Benutzerkonto ändern: Set-ExecutionPolicy Unrestricted -Scope CurrentUser. Anschließend geben Sie in der PowerShell den Befehl .\adaclscan4.5.ps1 ein. Dazu müssen Sie sich im Verzeichnis des Tools befinden. Starten Sie das Werkzeug auf einem Domänenmitglied, reicht es aus, wenn Sie auf "Connect" klicken. Klicken Sie dann im unteren Feld auf die OU oder Domäne, die Sie scannen wollen und danach auf "Run scan". Anschließend liest die Software schon die Rechte aus und zeigt sie in einem Bericht an. Den Bericht können Sie in eine HTML-Datei exportieren oder ausdrucken.

Seite 1: Netzwerke mit Nmap untersuchen
Seite 2: Security Compliance Manager 4.0


Seite 1 von 2 Nächste Seite >>
13.05.2019/ln/Thomas Joos

Nachrichten

BSI untersucht Blockchain-Technologie [23.05.2019]

Spätestens der finanzielle Höhenflug der Kryptowährung Bitcoin im Jahr 2017 hat dazu geführt, dass auch außerhalb der Fachwelt über die Blockchain diskutiert wurde. Nachdem das BSI bereits im Februar 2018 in einem Eckpunktepapier grundsätzliche Fragestellungen im Zusammenhang mit der Blockchain untersucht hat, legt die nationale Cyber-Sicherheitsbehörde nun eine umfassende und tiefgehende Analyse der Blockchain-Technologie vor. [mehr]

Warteschleifen für verdächtige E-Mails [23.05.2019]

Die Dunkel GmbH ergänzt ihr Sicherheitsprogramm "Safe Cascade by Dunkel" um eine 12-Stunden-Sperrfrist für E-Mails, die laut Scanner virenfrei sind, aber verdächtige Anhänge enthalten. Durchläuft eine Mail erfolgreich den bisherigen Prüfparcours, lässt wegen ihrer Anlage aber dennoch auf Risiko schließen, greift das neue Feature: Sie verharrt in einer Zwangspause. Stuft der Algorithmus sie nach Ablauf der Frist tatsächlich als bösartig ein, wird sie vernichtet und nicht in das Postfach des Empfängers geleitet. [mehr]

Tipps & Tools

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen