Tags: Windows Server 2016, Nano Server, Malware, Sicherheit
Windows Server enthält in der Version 2016 erstmals die Anti-Malware von Microsoft. Während Defender bei Server Core und Desktop Experience vorinstalliert ist, muss man es unter Nano Server als Package hinzufügen. Für das Management auf einem Server ohne GUI stehen GPOs und PowerShell-Cmdlets zur Verfügung.
Während die Microsoft Security Essentials und der daraus hervorgegangene Defender lange nur als kostenloser Basisschutz galten, unternimmt Microsoft seit einiger Zeit erhebliche Anstrengungen, um aus seiner Anti-Malware in eine vollwertige Security-Lösung zu machen (was etwa Kaspersky zu einer Klage veranlasste).
Verbesserte Engine unter Windows 10 1703
Mit dem Creators Update ergänzte Microsoft die AV-Engine um neue Fähigkeiten, die auch unbekannte Malware aufgrund bestimmter Verhaltensmuster erkennen und entschärfen kann. Wenn Defender nicht in der Lage ist, eine verdächtige Datei selbst zu bewerten, dann konsultiert er Microsofts Cloud-Service, bei dem alle Daten von den Endgeräten zusammenlaufen.
Eine ausführliche Beschreibung der neuen Features enthält dieses kürzlich erschienene Whitepaper (PDF).
Neben dem im Betriebssystem enthaltenen Malware-Schutz bietet Microsoft für Unternehmen einen zusätzlich hinzubuchbaren Cloud-Service namens Advanced Threat Protection (ATP).
Sicherheit auch für Server
Zu Microsofts Ambitionen, Malware verstärkt den Kampf anzusagen, gehörte auch die Integration von Defender in Windows Server 2016. Dieser war zuvor den Client-Betriebssystemen vorbehalten. Seit der Aufgabe von Forefront Protection gab es somit von Microsoft auf dem Server keinen eigenständigen Schutz gegen Schadprogramme.
Installiert man Windows Server 2016, dann ist Windows Defender standardmäßig schon aktiviert, selbst wenn man noch keine Rollen hinzugefügt hat. Über den Wizard im Server Manager kann man ihn wieder entfernen, wenn man stattdessen das Produkt eines Drittanbieters bevorzugt. Mittels PowerShell ließe sich dies mit
Get-WindowsFeature -Name "*Defender*" | Uninstall-WindowsFeature
erreichen.
Defender über GUI verwalten
Bei einem Server mit Desktop Experience lässt sich die Anti-Malware von Benutzern mit administrativen Rechten wie auf dem Client in der App Einstellungen unter Update und Sicherheit => Windows Defender verwalten.
Abhängig von den Anwendungen, die auf einem Server laufen, wird man dort bestimmte Dateien oder Verzeichnisse vom Scan ausschließen, etwa solche in denen sich Datenbanken befinden. Alternativ kann man Dateitypen und Prozesse definieren, die Defender generell ignoriert.
Im Unterschied zur Client-Version überspringt Defender am Server abhängig von den installierten Rollen selbständig bestimmte Ordner. Das Feature nennt sich Automatische Ausschlüsse und lässt sich über die GUI nicht konfigurieren.
Ein weiterer Unterschied zu der Client-Ausführung besteht darin, dass sich unter Windows Server 2016 keine Option findet, um einen Offline-Scan zu aktivieren. Auch das dafür zuständige Cmdlet Start-MpWDOScan verweigert dort den Dienst. Dafür müsste nämlich der Rechner neu gestartet werden.
Besonders auf dem Server stellt sich zudem die Frage, ob man es zulassen möchte, dass Defender verdächtige Dateien zur Überprüfung in die Cloud überträgt. Dafür sind gleich zwei Einstellungen zuständig, die sich über die GUI deaktivieren lassen.
Defender über Gruppenrichtlinien verwalten
Unter Server Core steht die App Einstellungen mangels GUI nicht zur Verfügung. Hier kann man Defender über Gruppenrichtlinien zentral konfigurieren. Das wird man für das Management vieler Server unabhängig von der gewählten Installationsoption ohnehin in Betracht ziehen.
Die entsprechenden Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Antivirus. Nutzt man allerdings die Templates von Windows Server 2016, dann sind die Einstellungen unter Windows-Komponenten => Endpoint Protection.
Für GPOs gibt es deutlich mehr Optionen zur Konfiguration der Anti-Malware als auf der GUI. Interessant ist hier etwa die Möglichkeit, den Zeitpunkt für das Signatur-Update festzulegen, so dass dieser Vorgang etwa nicht während der Bürozeiten erfolgt. Ähnliches gilt für die Konfiguration von Scans, wo man die Intervalle für die schnelle Überprüfung festlegen oder den Zeitpunkt für Scans bestimmen kann.
Defender über PowerShell konfigurieren
Seit Windows 8.1 lässt sich Microsofts Anti-Malware auch über PowerShell steuern. Von besonderem Nutzen sind die neuen Cmdlets unter Nano Server, der ja weder eine GUI bietet noch GPOs unterstützt. Möchte man Defender unter Server Core interaktiv verwalten, dann bleibt dort ebenfalls nur die PowerShell.
Der superschlanke Nano Server enthält von Haus aus keine Binaries für Rollen und Features, vielmehr müssen sie explizit als Package hinzugefügt werden. Das gilt auch für Defender, wobei man hier ebenfalls die Wahl hat, das entsprechende Package beim Erstellen des Nano-Images oder zur Laufzeit zu integrieren (siehe dazu: Rollen und Features installieren in Nano Server 2016).
Wenn der Package-Provider bereits installiert ist, kann man Defender mit diesem Befehl auf einem Online-System hinzufügen:
Install-NanoServerPackage -name Microsoft-NanoServer-Defender-Package
Anschließend ist ein Neustart erforderlich.
Nun kann man sich mit
Get-Command -Module Defender
die Namen der 12 Cmdlets anzeigen lassen. Die aktuelle Konfiguration liest man nun mit
Get-MpPreference
aus. Die Namen der Einstellungen sind einigermaßen selbsterklärend, ihren Wert ändert man mit Hilfe von Set-MpPreference. Die TechNet-Dokumentation des Cmdlets erläutert sämtliche Parameter, deren Namen identisch sind mit jenen der Einstellungen, die Get-MpPreference ausspuckt. Will man nur Ausschlüsse konfigurieren, dann reicht dafür auch Add-MpPreference.
Manuelle Scans startet man mit Hilfe von Start-MPScan, wobei man über den Parameter ScanType mit den Werten FullScan und QuickScan zwischen einer schnellen und einer vollständigen Überprüfung wählen kann.
Schließlich sei noch darauf hingewiesen, dass die Signaturen zur Erkennung von Schadprogrammen über Windows Update aktualisiert werden. Während das Patch-Management von Windows Server Core und Desktop Experience normalerweise automatisiert abläuft, muss man unter Nano Server dafür selbst Sorge tragen (siehe dazu: Nano Server über Windows Update oder WSUS aktualisieren).
Alternativ steht das Cmdlet Update-MpSignature zur Verfügung, um die neuesten Signaturen manuell herunterzuladen. Dabei kann man neben Windows Update weitere Quellen angeben, unter anderem auch eine Freigabe im Netzwerk.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Übersicht: Die wichtigsten Features von Windows Defender
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
- Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
Weitere Links