von Redaktion IT-A…
Lesezeit
4 Minuten
Windows Server 2016 härten (3)
Sie haben verschiedene Möglichkeiten, um Windows Server 2016 mit Bordmitteln und Tools zu härten. So leistet neben dem Blocken von eventuell gefährlichen PowerShell-Skripten auch der Ressourcen-Manager für Dateiserver seinen Anteil beim Absichern des Servers. Nicht zu vergessen ist auch Microsofts Baseline Security Analyzer. Unser Artikel gibt einen Überblick. Im dritten Teil geht es um weitere Sicherheitstools von Microsoft. Außerdem zeigen wir, wie Sie SSL in WSUS nutzen.
Attack Surface Analyzer
Ein weiteres Tool zum Absichern von Servern im Netzwerk ist der Microsoft Attack Surface Analyzer [10]. Das kostenlose Werkzeug scannt den lokalen Computer auf Sicherheitslücken. Haben Sie den Scan abgeschlossen, fertigen Sie im nächsten Schritt einen Bericht an. Dazu liest der Analyzer die erstellten CAB-Dateien der einzelnen Scanvorgänge ein.
Nach der Installation startet das Tool zunächst einen Baseline-Scan. In weiteren Product-Scans überprüft der Scanner, ob nach der Installation von Anwendungen Unterschiede vorhanden sind. Den Bericht zeigt das Tool im Browser an. Über verschiedene Schaltflächen und Unterteilungen in Sektionen sehen Sie, wie Sie die Sicherheit im System verbessern.
Nach dem Start der Anwendung wählen Sie "Run new scan" und lassen den Computer mit "Run Scan" untersuchen. Anschließend aktivieren Sie "Generate attack surface report" und wählen bei "Baseline Cab" die Protokolldatei des Scanvorgangs aus. Mit "Generate" erstellen Sie schließlich den Bericht. In weiteren Product-Scans überprüft das Tool, ob nach der Installation von Anwendungen Unterschiede vorhanden sind. Den Bericht zeigt das Werkzeug im Browser an.
Baseline Security Analyzer
Microsofts Baseline Security Analyzer (MBSA) [11] scannt Computer, IP-Bereiche oder Domänen auf Microsoft-Sicherheitsempfehlungen. Verfügen Sie über Administratorberechtigungen, untersucht das Tool alle PCs auf fehlende Patches, Sicherheitslücken und fehlerhafte Sicherheitskonfigurationen. Nach der Analyse des gewünschten IP-Bereichs erhalten Sie einen umfassenden Bericht, welche Patches auf den Computern fehlen und wie Sie die Sicherheit der Computer erhöhen können. Nach der Installation und der Eingabe eines IP-Bereich oder einer Domäne untersuchen Sie über die Option "Mehrere Computer überprüfen" das gesamte Netzwerk auf einmal nach fehlenden Patches und kritischen Sicherheitslücken.
Aktivieren Sie den Scanvorgang per Klick auf die Schaltfläche "Suche starten", lädt der MBSA zunächst aktuelle Sicherheitsinformationen aus dem Internet herunter. Danach beginnt das Tool damit, den konfigurierten IP-Bereich nach Sicherheitslücken zu durchsuchen. Im Anschluss zeigt das Werkzeug einen detaillierten Bericht über die fehlenden Aktualisierungen und Sicherheitslücken an. Aus diesem lässt sich ein Maßnahmenkatalog erarbeiten, zum Beispiel die Einführung der Windows Server Update Services. Der Scanvorgang des MBSA kann durchaus einige Minuten oder sogar Stunden dauern, abhängig von der Anzahl der Rechner, die im konfigurierten Subnetz integriert sind.
Die Berichte werden gespeichert und können über das Startfenster des MBSA jederzeit erneut angezeigt werden. Zu jedem Überprüfungspunkt zeigt der MBSA eine Detailansicht an. Gibt es Probleme oder findet der MBSA Sicherheitsgefahren, erhalten Sie einen Hinweis zur Lösung des Problems für jeden einzelnen Rechner.
Sicheres DNS-System
Durch die engere Verzahnung der Server miteinander ist auch eine Verbesserung des DNS-Systems notwendig, vor allem im Bereich der Sicherheit. Bereits mit Windows Server 2008 R2 hat Microsoft DNSSEC eingeführt, um Zonen und Einträge abzusichern. In Windows Server 2016 lassen sich Zonen online digital signieren. DNSSEC integriert sich in der neuen Version komplett in das Active Directory. Dies umfasst auch die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Windows Server 2016 unterstützt offizielle Standards wie NSEC3 und RSA/SHA-2.
Neu seit Windows Server 2012 ist auch die Unterstützung von DNSSEC auf schreibgeschützten Domänencontrollern (RODC). Findet ein RODC mit Windows Server 2012 R2/2016 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Das hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind.
DNSSEC lässt sich über das Kontextmenü von Zonen erstellen. Eine komplizierte Konfiguration in der Eingabeaufforderung ist nicht mehr notwendig. Auch Zonen offline zu setzen, ist nicht mehr erforderlich. Die Signierung der Zone erfolgt über einen Assistenten. Mit diesem können Sie recht einfach DNS-Zonen vor Manipulationen schützen. Der Assistent erlaubt die manuelle Signierung, eine Aktualisierung der Signierung und eine Signierung auf Basis automatischer Einstellungen. Mit Windows Server 2016 lassen sich signierte Zonen auch auf andere DNS-Server im Netzwerk replizieren.
SSL in WSUS nutzen
Standardmäßig nutzt WSUS für die Kommunikation mit den Clients und der Verwaltungskonsole das HTTP-Protokoll. In sicheren Umgebungen sollten Sie hier SSL aktivieren. Dazu müssen Sie auf dem Server zunächst ein Serverzertifikat installieren. Hier gehen Sie vor wie bei der üblichen Installation von Serverzertifikaten im IIS-Manager. Sie können hier auch auf eine interne Zertifizierungsstelle setzen.
Im nächsten Schritt entfernen Sie die veraltete HTTP-Verbindung aus der Verwaltungskonsole und fügen über das Kontextmenü eine neue Verbindung hinzu. Geben Sie den Servernamen ein sowie die korrekte Portnummer für die Anbindung an SSL. Aktivieren Sie außerdem die Option "Verbindung mit diesem Server über SSL herstellen". Klicken Sie nach der erfolgreichen Anbindung des Servers auf den Servernamen in der Konsole, sehen Sie im unteren Bereich bei Verbindung, dass dieser jetzt SSL für die Kommunikation nutzt.
Achten Sie aber darauf, dass Sie auch in den Gruppenrichtlinien zur Anbindung der Clients den Port auf 8531 setzen müssen. Der HTTP-Port 8530 steht nicht mehr zur Verfügung. Sie finden die Einstellungen über "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update". Passen Sie die Einstellung "Internen Pfad für den Microsoft Updatedienst angeben" entsprechend an.
Fazit
Es gibt verschiedene Möglichkeiten, Windows Server 2016 zu härten. Es lohnt sich also, einen Blick auf die Möglichkeiten von MBSA, Attack Surface Analyzer und SCM zu werfen, denn mit diesen Werkzeugen sichern Sie nicht nur Ihre Arbeitsstationen sondern auch die Server ab.
Im ersten Teil blockierten wir Skripte per PowerShell, installierten FSRM und wappneten uns gegen Ransomware. Im zweiten Teil erklärten wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern.
ln/Thomas Joos
[10] www.microsoft.com/en-us/download/confirmation.aspx?id=24487
[11] www.microsoft.com/de-de/download/details.aspx?id=7558
Ein weiteres Tool zum Absichern von Servern im Netzwerk ist der Microsoft Attack Surface Analyzer [10]. Das kostenlose Werkzeug scannt den lokalen Computer auf Sicherheitslücken. Haben Sie den Scan abgeschlossen, fertigen Sie im nächsten Schritt einen Bericht an. Dazu liest der Analyzer die erstellten CAB-Dateien der einzelnen Scanvorgänge ein.
Nach der Installation startet das Tool zunächst einen Baseline-Scan. In weiteren Product-Scans überprüft der Scanner, ob nach der Installation von Anwendungen Unterschiede vorhanden sind. Den Bericht zeigt das Tool im Browser an. Über verschiedene Schaltflächen und Unterteilungen in Sektionen sehen Sie, wie Sie die Sicherheit im System verbessern.
Nach dem Start der Anwendung wählen Sie "Run new scan" und lassen den Computer mit "Run Scan" untersuchen. Anschließend aktivieren Sie "Generate attack surface report" und wählen bei "Baseline Cab" die Protokolldatei des Scanvorgangs aus. Mit "Generate" erstellen Sie schließlich den Bericht. In weiteren Product-Scans überprüft das Tool, ob nach der Installation von Anwendungen Unterschiede vorhanden sind. Den Bericht zeigt das Werkzeug im Browser an.
Baseline Security Analyzer
Microsofts Baseline Security Analyzer (MBSA) [11] scannt Computer, IP-Bereiche oder Domänen auf Microsoft-Sicherheitsempfehlungen. Verfügen Sie über Administratorberechtigungen, untersucht das Tool alle PCs auf fehlende Patches, Sicherheitslücken und fehlerhafte Sicherheitskonfigurationen. Nach der Analyse des gewünschten IP-Bereichs erhalten Sie einen umfassenden Bericht, welche Patches auf den Computern fehlen und wie Sie die Sicherheit der Computer erhöhen können. Nach der Installation und der Eingabe eines IP-Bereich oder einer Domäne untersuchen Sie über die Option "Mehrere Computer überprüfen" das gesamte Netzwerk auf einmal nach fehlenden Patches und kritischen Sicherheitslücken.
Aktivieren Sie den Scanvorgang per Klick auf die Schaltfläche "Suche starten", lädt der MBSA zunächst aktuelle Sicherheitsinformationen aus dem Internet herunter. Danach beginnt das Tool damit, den konfigurierten IP-Bereich nach Sicherheitslücken zu durchsuchen. Im Anschluss zeigt das Werkzeug einen detaillierten Bericht über die fehlenden Aktualisierungen und Sicherheitslücken an. Aus diesem lässt sich ein Maßnahmenkatalog erarbeiten, zum Beispiel die Einführung der Windows Server Update Services. Der Scanvorgang des MBSA kann durchaus einige Minuten oder sogar Stunden dauern, abhängig von der Anzahl der Rechner, die im konfigurierten Subnetz integriert sind.
Die Berichte werden gespeichert und können über das Startfenster des MBSA jederzeit erneut angezeigt werden. Zu jedem Überprüfungspunkt zeigt der MBSA eine Detailansicht an. Gibt es Probleme oder findet der MBSA Sicherheitsgefahren, erhalten Sie einen Hinweis zur Lösung des Problems für jeden einzelnen Rechner.
Sicheres DNS-System
Durch die engere Verzahnung der Server miteinander ist auch eine Verbesserung des DNS-Systems notwendig, vor allem im Bereich der Sicherheit. Bereits mit Windows Server 2008 R2 hat Microsoft DNSSEC eingeführt, um Zonen und Einträge abzusichern. In Windows Server 2016 lassen sich Zonen online digital signieren. DNSSEC integriert sich in der neuen Version komplett in das Active Directory. Dies umfasst auch die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Windows Server 2016 unterstützt offizielle Standards wie NSEC3 und RSA/SHA-2.
Neu seit Windows Server 2012 ist auch die Unterstützung von DNSSEC auf schreibgeschützten Domänencontrollern (RODC). Findet ein RODC mit Windows Server 2012 R2/2016 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Das hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind.
DNSSEC lässt sich über das Kontextmenü von Zonen erstellen. Eine komplizierte Konfiguration in der Eingabeaufforderung ist nicht mehr notwendig. Auch Zonen offline zu setzen, ist nicht mehr erforderlich. Die Signierung der Zone erfolgt über einen Assistenten. Mit diesem können Sie recht einfach DNS-Zonen vor Manipulationen schützen. Der Assistent erlaubt die manuelle Signierung, eine Aktualisierung der Signierung und eine Signierung auf Basis automatischer Einstellungen. Mit Windows Server 2016 lassen sich signierte Zonen auch auf andere DNS-Server im Netzwerk replizieren.
SSL in WSUS nutzen
Standardmäßig nutzt WSUS für die Kommunikation mit den Clients und der Verwaltungskonsole das HTTP-Protokoll. In sicheren Umgebungen sollten Sie hier SSL aktivieren. Dazu müssen Sie auf dem Server zunächst ein Serverzertifikat installieren. Hier gehen Sie vor wie bei der üblichen Installation von Serverzertifikaten im IIS-Manager. Sie können hier auch auf eine interne Zertifizierungsstelle setzen.
Nachdem Sie das Serverzertifikat installiert haben, rufen Sie im IIS-Manager "Sites / WSUS-Verwaltung" auf. Klicken Sie danach auf "Bindungen" und bearbeiten Sie die Bindung für SSL zum Port 8531. Hier wählen Sie jetzt auch das installierte Zertifikat aus. Zusätzlich müssen Sie noch für die folgenden untergeordneten Verzeichnisse der Seite "WSUS-Verwaltung" die SSL-Einstellungen aufrufen und danach die Option "SSL erforderlich" aktivieren:
- ApiRemoting30
- ClientWebService
- DssAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Im nächsten Schritt entfernen Sie die veraltete HTTP-Verbindung aus der Verwaltungskonsole und fügen über das Kontextmenü eine neue Verbindung hinzu. Geben Sie den Servernamen ein sowie die korrekte Portnummer für die Anbindung an SSL. Aktivieren Sie außerdem die Option "Verbindung mit diesem Server über SSL herstellen". Klicken Sie nach der erfolgreichen Anbindung des Servers auf den Servernamen in der Konsole, sehen Sie im unteren Bereich bei Verbindung, dass dieser jetzt SSL für die Kommunikation nutzt.
Achten Sie aber darauf, dass Sie auch in den Gruppenrichtlinien zur Anbindung der Clients den Port auf 8531 setzen müssen. Der HTTP-Port 8530 steht nicht mehr zur Verfügung. Sie finden die Einstellungen über "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update". Passen Sie die Einstellung "Internen Pfad für den Microsoft Updatedienst angeben" entsprechend an.
Fazit
Es gibt verschiedene Möglichkeiten, Windows Server 2016 zu härten. Es lohnt sich also, einen Blick auf die Möglichkeiten von MBSA, Attack Surface Analyzer und SCM zu werfen, denn mit diesen Werkzeugen sichern Sie nicht nur Ihre Arbeitsstationen sondern auch die Server ab.
Im ersten Teil blockierten wir Skripte per PowerShell, installierten FSRM und wappneten uns gegen Ransomware. Im zweiten Teil erklärten wir, wie Sie Netzwerke mit Nmap untersuchen und wie Sie mit Security Compliance Manager 4.0 Server optimal absichern.
ln/Thomas Joos
[10] www.microsoft.com/en-us/download/confirmation.aspx?id=24487
[11] www.microsoft.com/de-de/download/details.aspx?id=7558
