Windows Server 2016 Defender und ATA

Da die Firma Microsoft in der Vergangenheit oft in Sachen Sicherheit kritisiert wurde, hat man beim neuen Windows Server 2016 System nochmal so richtig nachgelegt. Vor allem für die Benutzer mehrerer Geräte ist Microsoft Advanced Threat Analytics (ATA), ein Tool zur Sicherheitsüberwachung im Netzwerk, besonders wertvoll. Zusätzlich dazu hat man auch den Windows Defender eingebaut, ein erstklassiges Tool zum Schutz vor unerwünschter Malware.
Im Seminar ”Upgrade your skills to MCSA Windows Server 2016“ werden unter Anderem, die Vorzüge und Details dieser Erneuerungen vorgestellt und behandelt.

Mit dem Windows Defender ist Ihr System bereits während der Ersteinrichtung vor unerwünschten Schädlingen geschützt. Dafür sorgt ein einfacher Virenscanner, der sich per Gruppenrichtlinie kontrollieren lässt. Microsoft bietet zudem eine grosse Palette an weiteren Tools zur Überwachung des Servers an, welche sich ideal mit dem Windows Defender ergänzen und auch auf Windows 10 Systemen reibungslos ihren Dienst verrichten. Um stets auf dem neusten Stand zu sein, wird Windows Defender regelmässig per Windows Update aktualisiert.

Steuerung von Windows Defender

Anders als bei der Clientversion, wird auf Systemen mit Windows 2016 Server nicht das Verwaltungsprogramm für Windows Defender installiert. Der Dienst lässt sich dagegen mit Hilfe des Rollen-Assistent oder über den Server-Manager einspielen bzw. entfernen. Alternativ kann man sich die GUI auch per Befehlszeile in der PowerShell installieren. Konfigurieren lässt sich der Dienst in der graphischen Benutzeroberfläche nicht, da der Windows Defender im Hintergrund läuft und das System automatisch überwacht und schützt. Sämtliche Informationen können in der Ereignisanzeige überwacht und ausgelesen werden.

Updates und Automatisierung von Definitionsdateien

Um zu jeder Zeit geschützt zu sein müssen Sie Windows Update aktivieren und die die Definitionsdateien automatisieren. Dazu haben Sie drei verschiedene Möglichkeiten zur Auswahl:

1. Patches automatisch vom WSUS downloaden. Wobei Windows Defender zwar die Definitionsdateien installiert, die Updates jedoch manuell ausgeführt werden müssen.

2. Benachrichtigungen anzeigen, wenn neue Patches verfügbar sind, ohne sie automatisch herunterzuladen

3. Automatischer Download und direkte Installation von Updates und Patches. Dies ist die bevorzugte Einstellung für kleine Netzwerke, sowie Arbeitsstationen.

Die graphische Benutzeroberfläche

In der GUI können Sie den Windows Defender schnell und übersichtlich verwalten. Mit einem Klick wird das System gescannt und die Festplatte auf Eindringlinge und Viren überprüft. Dabei haben Sie auch die Möglichkeit einer Schnellüberprüfung. Von Windows Defender entdeckte Schädlinge lassen sich daraufhin direkt entfernen.

Um nicht den Überblick zu verlieren sollte der Verlauf vom Nutzer regelmässig überprüft werden. Somit haben Sie Einblick auf alle ausgeführten Aktionen und zusätzlich können Sie jederzeit sehen, welche Programme blockiert sind und welche Eindringlinge von Windows Defender erkannt und gestoppt wurden.

Microsoft Advanced Threat Analytics

Mit Microsoft Advanced Threat Analytics (ATA) stellt man Unternehmen ein mächtiges Werkzeug zur Verfügung. Die Erweiterung der Enterprise Mobilty Suite (EMS) dient dabei, in erster Linie, zur frühzeitigen Erkennung von unerwünschten Angriffen und Aktionen im Netzwerk. Durch die gezielte Überwachung der Active-Directory-Domänencontroller werden Angriffe auf persönliche Daten, rechtzeitig und konsequent verhindert. Da die Benutzer von Firmennetzwerken in der Regel über verschiedene Geräte und Verbindungen auf interne Daten zugreifen, lässt sich das System nur durch eine Tool wie ATA, effizient überwachen und vor unerwünschten Eingriffen schützen.

Die Installation von ATA erfolgt schnell und einfach. Direkt nach der Einrichtung des Tools wird eine genaue Analyse des Systems durchgeführt. Falls ein Trojaner versuchen sollte sich Zugriff auf Benutzerdaten im Active Directory zu verschaffen, wird dieser sofort erkannt und eine Warnung auf der GUI angezeigt.

Angriffe auf das Netzwerk

Laut Microsoft haben 76 Prozent aller Angriffe auf interne Netzwerke, den Diebstahl von Anmeldeinformationen zum Ziel. Beim Zugriff auf einen Dateiserver wird eine hohe Anzahl an Daten übermittelt und durch die Nutzung anderer Serverdienste werden Hashes erstellt, die den Eintritt ermöglichen.

Sind die Daten erst einmal gestohlen, können Angreifer problemlos auf das Netzwerk zugreifen. Auf einem infizierten Rechner lassen sich dann auch die Anmeldedaten anderer Nutzer, wie zum Beispiel, die des Administrators auslesen. Ist dies geschehen steigt das Risiko eines derartigen Angriffes um ein Vielfaches. Der Eindringling kann daraufhin, ohne Spuren zu hinterlassen, auf eine Vielzahl weiterer Dienste im System zugreifen und sämtliche Daten des Netzwerks sammeln und stehlen.

Mit Hilfe von Brute-Force-Angriffen hat der Eindringling sogar die Möglichkeit, sich Zugriff auf Passwörter von aktiven Konten zu verschaffen. ATA erkennt derartige Angriffe direkt und kann zurückverfolgen von welchem Client aus angegriffen wurde, welcher Domänencontroller verwendet wird und welche Konten betroffen sind. Versucht nun jemand sich mit diesen gestohlenen Daten in das System einzuklinken, wird dies von ATA sofort erkannt und angezeigt.

Angreifer ausfindig machen mit SIEM und Deep-Packet- Inspection

Im Gegensatz zu Firewalls und Virenscannern, besteht die Hauptaufgabe von ATA darin Sicherheitslücken zu erkennen, Administratoren über gestohlene Daten zu informieren, sowie Schäden durch bereits erfolgte Angriffe zu reduzieren. Das Tool bietet dabei eine übersichtliche Benutzeroberfläche, mit der Möglichkeit E-Mails zu verschicken oder Syslogs zu verfolgen, sobald ein Angriff erkannt wurde. ATA arbeitet mit Machine Learning Technologien und Analysen in Echtzeit, da herkömmliche Tools für aufwendig ausgeführte Angriffe bei Weitem nicht mehr ausreichen. Deep Packet Inspection (DPI) und Security-Information-and-Event-Managment (SIEM) sorgen dafür dass auffällige Aktion im Netzwerk direkt entdeckt, gesammelt und analysiert werden. Zudem erkennt die Software auch sämtliche Schwachstellen und Sicherheitslücken im internen Netzwerk.

Unkomplizierte Sammlung von Informationen

Um die von ATA ausgegebenen Informationen zu verstehen müssen Sie, als Administrator, kein Sicherheitsexperte sein. Das Tool analysiert das Netzwerk und stellt Ihnen alle nötigen Informationen, übersichtlich auf der Benutzeroberfläche zur Verfügung. Alle Vorgänge auf dem Server werden genausten protokolliert und untersucht, so dass ATA automatisch zwischen normalen und verdächtigen Aktionen im Netzwerk zu unterscheiden lernt. Daraufhin kann ATA anhand der gesammelten Daten, den exakten Zeitpunkt, sowie auch den Ablauf eines Angriffs erkennen. Der Administrator wird im Falle einer Attacke sofort benachrichtigt und ausserdem leitet ATA, umgehend automatische Gegenmassnahmen ein.

Fazit

Der Windows Defender bietet zwar einen sichere Grundlage für die Sicherheit Ihrer Server, dennoch sollten Sie nicht auf zusätzliche Funktionen wie Microsoft Advanced Threat Analytics verzichten. Für Administratoren die hohen Wert auf Sicherheit legen, jedoch wenig Geld und Zeit für komplizierte Sicherheitssysteme haben, ist Windows Defender in Verbindung mit ATA die perfekte Lösung. Im Seminar ”Upgrade your skills to MCSA Windows Server 2016“ werden alle Einzelheiten sowie die Anwendung und Bedienung des Dienstes ausführlich behandelt und erklärt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.