Wenn Administratoren zu spät oder womöglich gar nicht bemerken, dass Systeme kompromittiert wurden, dann können sie den Schaden nicht rechtzeitig begrenzen oder Schwachstellen bleiben für künftige Angriffe bestehen. SIEM-Tools informieren Systemverwalter in Echtzeit über verdächtige Aktivitäten.
Ein neues Feature von Windows 10 und Server 2016 ist Protected Event Logging, das sensible Daten im Eventlog verschlüsselt. Es nutzt den offenen Standard Cryptographic Message Syntax (CMS), den PowerShell mit eigenen Cmdlets unterstützt. Damit lassen sich neben Log-Einträgen auch Dateien ver- bzw. entschlüsseln.
Lösungen für Managed File Transfer gibt es als On-prem-Anwendungen oder als Cloud-Service (SaaS). Beide Optionen müssen gleichermaßen hohe Anforderungen erfüllen. Die SaaS-Variante bietet alle Funktionen einer lokalen Lösung, ohne dass sich Admins mit der Wartung von Software und Infrastruktur beschäftigen müssen.
Runecast Analyzer ist ein Tool zur automatisierten Analyse potenzieller Fehlerquellen in VMware-Installationen. Der Administrator kann damit vSphere, vSAN, NSX oder Horizon auf fehlende Patches, Inkompatibilitäten oder Fehlkonfigurationen untersuchen. Runecast nutzt dafür Quellen wie die VMware Knowledgebase.*
Als mächtiges Werkzeug ist PowerShell nicht nur für Admins, sondern auch für Hacker interessant. Um verdächtige Aktivitäten zu entdecken, ist es hilfreich, alle ausgeführten Befehle mitzuschneiden. Neben dem Aufzeichnen in einer Textdatei unterstützt PowerShell seit der Version 5 auch die Protokollierung im Eventlog.
Um dem Missbrauch von PowerShell auf die Schliche zu kommen, kann man sämtliche ausgeführte Kommandos und Scripts mitschneiden. Dafür existieren zwei Mechanismen, einer davon schreibt alle Ein- und Ausgaben in eine Datei. Es empfiehlt sich, die gesammelten Daten an zentraler Stelle zusammenzuführen.
PowerShell 7 ist die nächste Version von PowerShell Core und beruht auf .NET Core 3.0. Allerdings entfällt der Namenszusatz "Core", weil Microsoft mit dem Release 7 Windows PowerShell ersetzen will. Daher soll es mit fast allen bestehenden Windows-Modulen kompatibel sein. Hinzu kommen einige neue Features.
EventSentry ist ein erschwingliches SIEM-Tool (Security Information and Event Management), das Windows- sowie Linux-Systeme überwacht und über alle Vorgänge im Netzwerk informiert. Die wichtigste Neuerung der Version 4.0 besteht im Add-on ADMonitor, das sämtliche Änderungen im Active Directory erfasst.
Die wichtigsten Informationsquellen zur Fehleranalyse in IT-Umgebungen und somit auch bei VMware sind Log-Dateien, Tasks und Ereignisse. Das gilt sowohl für vCenter als auf für ESXi und virtuelle Maschinen. Ich zeige, wo die wichtigsten Protokolldateien zu finden sind und mit welchen Bordmitteln man sie durchsucht.
Der DHCP-Dienst von Windows Server erlaubt es, wesentliche Aktivitäten wie das Zuweisen oder Erneuern einer IP-Adresse, das Löschen einer Lease oder dabei auftretende Fehler zu protokollieren. Dafür verwendet er eine eigene Log-Datei. Ihre Konfiguration und die Auswertung kann PowerShell übernehmen.
Ein übermäßiges Anwachsen der Datenbank kann negative Folgen im Betrieb und bei der Migration von vCenter haben. Mit dem Reset der vpx-Provider lässt sich aber nicht nur die Inventory-Datenbank bereinigen, vielmehr kann diese Maßnahme auch andere Probleme mit vCenter und dem Web Client beheben.