Defender in Windows Server 2016 installieren und konfigurieren

    Windows Defender unter Server 2016Windows Server enthält in der Version 2016 erst­mals die Anti-Malware von Microsoft. Während Defender bei Server Core und Desktop Experience vorin­stal­liert ist, muss man es unter Nano Server als Package hinzufügen. Für das Manage­ment auf einem Server ohne GUI stehen GPOs und Power­Shell-Cmdlets zur Verfügung.

    Während die Microsoft Security Essentials und der daraus hervor­gegangene Defender lange nur als kostenloser Basisschutz galten, unter­nimmt Microsoft seit einiger Zeit erhebliche Anstrengungen, um aus seiner Anti-Malware in eine vollwertige Security-Lösung zu machen (was etwa Kaspersky zu einer Klage veranlasste).

    Verbesserte Engine unter Windows 10 1703

    Mit dem Creators Update ergänzte Microsoft die AV-Engine um neue Fähigkeiten, die auch unbekannte Malware aufgrund bestimmter Verhaltens­muster erkennen und entschärfen kann. Wenn Defender nicht in der Lage ist, eine verdächtige Datei selbst zu bewerten, dann konsultiert er Microsofts Cloud-Service, bei dem alle Daten von den Endgeräten zusammenlaufen.

    Defender nutzt im Hintergrund Cloud-Dienste zum Schutz von Windows-Rechners.

    Eine ausführliche Beschreibung der neuen Features enthält dieses kürzlich erschienene Whitepaper (PDF).

    Neben dem im Betriebssystem enthaltenen Malware-Schutz bietet Microsoft für Unternehmen einen zusätzlich hinzu­buchbaren Cloud-Service namens Advanced Threat Protection (ATP).

    Sicherheit auch für Server

    Zu Microsofts Ambitionen, Malware verstärkt den Kampf anzusagen, gehörte auch die Integration von Defender in Windows Server 2016. Dieser war zuvor den Client-Betriebs­systemen vorbehalten. Seit der Aufgabe von Forefront Protection gab es somit von Microsoft auf dem Server keinen eigen­ständigen Schutz gegen Schad­programme.

    Defender ist auf Windows Server 2016 vorinstalliert und lässt sich als Feature auch wieder entfernen.

    Installiert man Windows Server 2016, dann ist Windows Defender standardmäßig schon aktiviert, selbst wenn man noch keine Rollen hinzugefügt hat. Über den Wizard im Server Manager kann man ihn wieder entfernen, wenn man stattdessen das Produkt eines Drittanbieters bevorzugt. Mittels PowerShell ließe sich dies mit

    Get-WindowsFeature -Name "*Defender*" | Uninstall-WindowsFeature

    erreichen.

    Defender über GUI verwalten

    Bei einem Server mit Desktop Experience lässt sich die Anti-Malware von Benutzern mit administrativen Rechten wie auf dem Client in der App Einstellungen unter Update und Sicherheit => Windows Defender verwalten.

    Defender lässt sich unter Windows Server 2016 mit Desktop Experience über die App Einstellungen verwalten.

    Abhängig von den Anwendungen, die auf einem Server laufen, wird man dort bestimmte Dateien oder Verzeichnisse vom Scan ausschließen, etwa solche in denen sich Datenbanken befinden. Alternativ kann man Dateitypen und Prozesse definieren, die Defender generell ignoriert.

    Im Unterschied zur Client-Version überspringt Defender am Server abhängig von den installierten Rollen selbständig bestimmte Ordner. Das Feature nennt sich Automatische Ausschlüsse und lässt sich über die GUI nicht konfigurieren.

    Neben den automatischen Ausschlüssen von Windows Server kann man weitere Verzeichnisse angeben, die der Scan überspringen soll.

    Ein weiterer Unterschied zu der Client-Ausführung besteht darin, dass sich unter Windows Server 2016 keine Option findet, um einen Offline-Scan zu aktivieren. Auch das dafür zuständige Cmdlet Start-MpWDOScan verweigert dort den Dienst. Dafür müsste nämlich der Rechner neu gestartet werden.

    Der Offline-Scan von Defender findet sich nur auf Client-Systemen.

    Besonders auf dem Server stellt sich zudem die Frage, ob man es zulassen möchte, dass Defender verdächtige Dateien zur Überprüfung in die Cloud überträgt. Dafür sind gleich zwei Einstellungen zuständig, die sich über die GUI deaktivieren lassen.

    Defender über Gruppenrichtlinien verwalten

    Unter Server Core steht die App Einstellungen mangels GUI nicht zur Verfügung. Hier kann man Defender über Gruppen­richtlinien zentral konfigurieren. Das wird man für das Management vieler Server unabhängig von der gewählten Installations­option ohnehin in Betracht ziehen.

    Die entsprechenden Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Defender Antivirus. Nutzt man allerdings die Templates von Windows Server 2016, dann sind die Einstellungen unter Windows-Komponenten => Endpoint Protection.

    Die Einstellungen für die Gruppenrichtlinien von Defender finden sich in den Vorlagen des Servers unter Endpoint Protection.

    Für GPOs gibt es deutlich mehr Optionen zur Konfiguration der Anti-Malware als auf der GUI. Interessant ist hier etwa die Möglichkeit, den Zeitpunkt für das Signatur-Update festzulegen, so dass dieser Vorgang etwa nicht während der Bürozeiten erfolgt. Ähnliches gilt für die Konfiguration von Scans, wo man die Intervalle für die schnelle Überprüfung festlegen oder den Zeitpunkt für Scans bestimmen kann.

    Defender über PowerShell konfigurieren

    Seit Windows 8.1 lässt sich Microsofts Anti-Malware auch über PowerShell steuern. Von besonderem Nutzen sind die neuen Cmdlets unter Nano Server, der ja weder eine GUI bietet noch GPOs unterstützt. Möchte man Defender unter Server Core interaktiv verwalten, dann bleibt dort ebenfalls nur die PowerShell.

    Der superschlanke Nano Server enthält von Haus aus keine Binaries für Rollen und Features, vielmehr müssen sie explizit als Package hinzugefügt werden. Das gilt auch für Defender, wobei man hier ebenfalls die Wahl hat, das entsprechende Package beim Erstellen des Nano-Images oder zur Laufzeit zu integrieren (siehe dazu: Rollen und Features installieren in Nano Server 2016).

    Package für Defender vor dem Ausrollen von Nano Server über den Image Builder hinzufügen.

    Wenn der Package-Provider bereits installiert ist, kann man Defender mit diesem Befehl auf einem Online-System hinzufügen:

    Install-NanoServerPackage -name Microsoft-NanoServer-Defender-Package

    Defender-Package online auf einem Nano Server hinzufügen

    Anschließend ist ein Neustart erforderlich.

    Nun kann man sich mit

    Get-Command -Module Defender

    die Namen der 12 Cmdlets anzeigen lassen. Die aktuelle Konfiguration liest man nun mit

    Get-MpPreference

    aus. Die Namen der Einstellungen sind einigermaßen selbsterklärend, ihren Wert ändert man mit Hilfe von Set-MpPreference. Die TechNet-Dokumentation des Cmdlets erläutert sämtliche Parameter, deren Namen identisch sind mit jenen der Einstellungen, die Get-MpPreference ausspuckt. Will man nur Ausschlüsse konfigurieren, dann reicht dafür auch Add-MpPreference.

    Manuelle Scans startet man mit Hilfe von Start-MPScan, wobei man über den Parameter ScanType mit den Werten FullScan und QuickScan zwischen einer schnellen und einer vollständigen Überprüfung wählen kann.

    Manuellen Scan von Windows Defender mit PowerShell starten

    Schließlich sei noch darauf hingewiesen, dass die Signaturen zur Erkennung von Schadprogrammen über Windows Update aktualisiert werden. Während das Patch-Management von Windows Server Core und Desktop Experience normalerweise automatisiert abläuft, muss man unter Nano Server dafür selbst Sorge tragen (siehe dazu: Nano Server über Windows Update oder WSUS aktualisieren).

    Alternativ steht das Cmdlet Update-MpSignature zur Verfügung, um die neuesten Signaturen manuell herunterzuladen. Dabei kann man neben Windows Update weitere Quellen angeben, unter anderem auch eine Freigabe im Netzwerk.

    Keine Kommentare