Unerwünschte Dateitypen auf File-Server mit FSRM blockieren

    , 28.05.2014
    Tags: , ,

    Speichern von Bildern blockiertWenn man verhindern möchte, dass Benutzer voluminöse Video- und Audio-Daten oder ausführbare Programme auf freigegebenen Verzeichnissen speichern, dann bietet der Ressourcen-Manager für Dateiserver (File Server Resource Manager = FSRM) diese Möglichkeit.

    Der FSRM dient seit Windows Server 2008 als die zentrale Schaltstelle für das Management der Dateidienste. Auf dem Server muss er als eigene Komponente der Rolle Datei- und iSCSI-Dienste installiert werden. Für das Remote-Management der File-Server von einer Windows-Workstation aus gehört er zum Lieferumfang von RSAT.

    File-Server für Remote-Management konfigurieren

    Wenn man die Dateidienste entfernt verwalten möchte, sei es von einem Client oder einem anderen Server aus, dann muss man berücksichtigen, dass für FSRM eigene Firewall-Regeln aktiviert werden müssen. Andernfalls erhält man die Fehlermeldung "Der RPC-Server ist auf dem Computer <Name> nicht erreichbar".

    Das Remote-Management mittels FSRM funktioniert nur, wenn die Firewall am File-Server dafür konfiguriert wurde.

    Am einfachsten schaltet man die Firewall für FSRM auf dem File-Server in einer Eingabeaufforderung mit administrativen Rechten durch Eingabe dieses Befehls frei:

    netsh advfirewall firewall set rule group="Remoteverwaltung für Ressourcen-Manager für Dateiserver" new enable=yes

    Hat man sich mit dem gewünschten File-Server verbunden, dann enthält die Navigation im linken Fenster den Punkt Dateiprüfungsverwaltung. Darunter befinden sich die drei Einträge Dateiprüfungen, Dateiprüfungsvorlagen und Dateigruppen.

    Dateigruppen verwalten

    Die Überwachung von unerwünschten Dateitypen erfolgt nicht über die Inspektion ihres Inhalts, sondern einfach anhand ihrer Namenserweiterung. Typischerweise möchte man nicht nur ein bestimmtes Video- oder Archivformat blockieren, sondern generell diese Art von Dateien. Aus diesem Grund versammelt Dateigruppen eine Vielzahl von Extensionen für jeden Typus, beispielsweise für Videos, Programme oder Bilder.

    Die Dateigruppen bestehen aus Listen von Extensionen für eine bestimmte Art von Daten.

    Wählt man zum Beispiel die Gruppe Bilddateien aus, dann sind davon JPG, GIF, PNG, usw. betroffen. Der FSRM enthält mehrere vordefinierte Listen, die unter anderem die Extensionen für Programme, gepackte Archive oder temporäre Dateien umfassen. Diese lassen sich bei Bedarf editieren, so dass man zusätzliche Namenserweiterungen hinzufügen oder vorhandene entfernen kann. Es besteht auch die Möglichkeit, eigenen Gruppen anzulegen.

    Templates für Filter

    Ein zweiter Mechanismus, der das Überwachen und Blockieren von Dateitypen vereinfacht, sind Vorlagen. Sie enthalten eine Liste aller definierten Dateigruppen, von denen einzelne bereits ausgewählt sind. Jeder Filter sieht die Auswahl zwischen zwei Prüfungstypen vor, nämlich aktives und passives Prüfen. Ersteres unterbindet das Speichern nicht zulässiger Dateitypen, während Zweiteres dies zulässt und sich darauf beschränkt, die Aktivitäten der Benutzer zu überwachen.

    Der FSRM bringt mehrere Vorlagen mit, aus denen sich Dateiprüfungen erstellen lassen.

    Templates geben zudem eine Reihe von Aktionen vor, die ausgeführt werden, wenn Benutzer blockierte Inhalte speichern möchten. So kann sich ein Administrator in einem solchen Fall per Mail informieren lassen. Voraussetzung dafür ist jedoch, dass man im Menü Aktionen => Optionen konfigurieren zuvor einen SMTP-Server eingerichtet hat. Die Vorlage für die Nachricht erlaubt die Verwendung zahlreicher Variablen, etwa für Server, Pfad oder die betroffene Dateigruppe.

    Weitere mögliche Aktionen sind ein individuell anpassbarer Eintrag in das Ereignisprotokoll (wieder unter Verwendung von Variablen) sowie die Ausführung eines beliebigen Programms oder eines Scripts. Schließlich kann der FSRM auch Berichte generieren, die Dateien unter verschiedenen Kriterien wie Größe, Dateigruppe oder Häufigkeit der Nutzung filtern.

    Dateitypen blockieren

    Die eigentliche Sperre für bestimmte Dateien erfolgt erst durch das Anlegen einer so genannten Dateiprüfung. Hier kann man nach Angabe eines Verzeichnisses eine Vorlage auswählen, aus der die Filterregel ihre Einstellungen übernimmt. Dies ist das empfohlene Vorgehen. Alternativ kann man innerhalb der Dateiprüfung alle Einstellungen direkt konfigurieren, die man normal in Templates hinterlegt.

    Das Blockieren von Dateitypen erfolgt schließlich über das Anlegen von Dateiprüfungen.

    Blockiert man bestimmte Dateitypen in einem Verzeichnis, dann wirkt sich diese Maßnahme auf alle Unterverzeichnisse aus. Möchte man die Sperre in einem dieser Ordner aufheben, dann kann man für ihn eine Dateiprüfungsausnahme einrichten. Sie beschränkt sich auf die Angabe des Pfades und die Auswahl der Dateigruppe(n).

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    1 Kommentar

    Gerd Mueller (Besucher) sagt:
    13. September 2021 - 11:11

    Leider wird nur die Endung erkannt. Eine umbenannte exe wird trotzdem zugelassen.

    Beispiel:

    installer.exe.txt funktioniert