22-09-2019, 00:04
Aber lass uns über die Details bei ausführbaren Dateien sprechen. Diese .exe-Dateien werden stark von Malware getroffen, die ihren Code verändert. Ich habe cloudbasierte Schutzfunktionen auf meinem Testserver eingerichtet, und sie zieht die neuesten Signaturen heran, um Hashes mit bekannten schlechten zu vergleichen. Du kannst Ausschlüsse konfigurieren, wenn Deine legitimen Apps Fehlalarme auslösen, aber ich würde das nicht leichtfertig tun. Oder, wenn Du mit vielen benutzerdefinierten ausführbaren Dateien arbeitest, schlage ich vor, das MpCmdRun-Tool zu nutzen, um einen schnellen Scan zu erzwingen und die Integritätsprüfungen zu protokollieren. Es gibt alles im Ereignisanzeiger unter Microsoft-Windows-Windows Defender aus, sodass Du nach Anomalien wie unerwarteten Dateiänderungen suchen kannst.
Nun, Skripte sind kniffliger, weil sie oft unter dem Radar fliegen. PowerShell-Skripte können sich beispielsweise selbst modifizieren oder Payloads herunterladen. Ich aktiviere immer die Skriptblockprotokollierung in der Gruppenrichtlinie; sie erfasst jeden ausgeführten Befehl und hilft Dir, zu erkennen, ob die Integrität verletzt wurde. Du verknüpfst das mit der Verhaltensanalyse von Defender, und es blockiert Skripte, die versuchen, der Erkennung zu entgehen. Vielleicht fügst Du den eingeschränkten Sprachmodus hinzu, um einzuschränken, was Skripte tun können, und sicherzustellen, dass sie sich an genehmigte Pfade halten. Und vergiss nicht, dass Defenders Echtzeit-Engine Batch- oder CMD-Skripte wie ausführbare Dateien behandelt, indem sie Hashes vergleicht, wenn darauf zugegriffen wird.
Ich hatte einmal eine Situation, in der ein Admin versehentlich ein manipuliertes Skript ausgeführt hat, das Protokolle gelöscht hat. Defenders Manipulationsschutz hat den Tag gerettet, indem er Registry-Änderungen verhindert hat, die die Überwachung deaktivieren könnten. Du aktivierst das in der GUI oder über PowerShell mit Set-MpPreference -EnableControlledFolderAccess Enabled. Es überwacht Schlüsselordner wie System32 auf unbefugte Schreibvorgänge. Aber für tiefere Integrität integriere es mit WDATP, wenn Deine Organisation E5-Lizenzen hat; es erkennt dateilose Angriffe auf Skripte. Ich liebe, wie es Ereignisse über Endpunkte hinweg korreliert, sodass Du siehst, ob eine ausführbare Datei ein verdächtiges Skript gestartet hat.
Oder denk an die manuelle Prüfung von Dateiänderungen. Die integrierte Überwachung von Windows Server protokolliert Zugriffe und Änderungen an von Dir angegebenen Dateien. Ich kombiniere das mit Defenders Warnungen, um ein vollständiges Bild zu bekommen. Du richtest SACLs auf Ordnern ein, die Deine ausführbaren Dateien enthalten, und überprüfst dann im Ereignisanzeiger. Es mag altmodisch wirken, aber es ergänzt die automatisierten Checks von Defender. Und wenn Du eigene Überwachungsskripte schreibst, nutze Get-MpPreference, um aktuelle Einstellungen abzufragen und bei Bedarf anzupassen.
Aber warte, ausführbare Dateien in gemeinsam genutzten Umgebungen brauchen extra Vorsicht. Wenn Dein Server Apps für mehrere Benutzer hostet, können unsignierte EXEs einschleichen. Ich empfehle, Code-Signing-Richtlinien über AppLocker durchzusetzen, das sich in Defenders Durchsetzung integriert. Du whitelisst vertrauenswürdige Zertifikate, und alles Unsignierte wird vor der Ausführung blockiert. Defender verbessert das, indem es während der Signaturprüfung auf Integrität scannt. Vielleicht testest Du es, indem Du versuchst, eine modifizierte EXE auszuführen; Du siehst dann das Popup oder die stille Blockierung.
Skripte werden in Backups oft übersehen. Ich überprüfe immer die Skriptintegrität nach der Wiederherstellung, indem ich Hashes mit den Originalen vergleiche. Defender kann das mit geplanten Aufgaben automatisieren, die MpCmdRun /Scan ausführen. Du speicherst Baseline-Hashes an einem sicheren Ort, wie einer verschlüsselten Datei auf einem anderen Server. Und für die laufende Überwachung richtest Du E-Mail-Benachrichtigungen ein, wenn die Integrität versagt. Das hält Dich proaktiv, ohne ständige Überwachung.
Nun, unter Windows Server 2022 wurde die Integration mit ASR-Regeln reibungsloser. Ich habe die Regel zum Blockieren von Credential-Stealing aus LSASS aktiviert, die oft Skriptinjektion beinhaltet. Du konfigurierst sie unter Windows-Sicherheit, und sie überwacht ausführbare Dateien, die seltsame Dinge versuchen. Oder für Skripte, die Office-Apps ausnutzen, gibt es eine Regel, die das stoppt. Ich habe es auf einer VM getestet, eine bösartige PS1 injiziert, und es hat den Versuch zerstört.
Aber lass uns den Performance-Einbruch nicht ignorieren. Volle FIM auf ausgelasteten Servern kann verlangsamen. Ich passe es an, indem ich Temp-Ordner ausschließe oder nur On-Access-Scanning für kritische Pfade nutze. Du balancierst Sicherheit mit Geschwindigkeit, vielleicht indem Du auf einen dedizierten Überwachungsserver auslagerst. Und aktualisiere immer täglich die Defender-Definitionen; ich plane das über den Taskplaner.
Vielleicht fragst Du Dich nach Drittanbieter-Tools, aber bleib erstmal bei den nativen. Windows Defenders FIM deckt Hashes, Verhalten und Anomalien gut ab. Ich schichte es mit Sysmon für detailliertere Protokollierung von Dateierstellungen und -änderungen. Du installierst Sysmon mit einer Konfiguration, die EXEs und Skripte überwacht, und leitest dann Logs an ein SIEM weiter. Das gibt Dir diese granulare Sicht, ohne den Server zu überlasten.
Und für ausführbare Dateien in Containern oder IIS-Apps scannt Defender auf Host-Ebene. Ich führe es auf Hyper-V-Hosts aus, um Manipulationen an Gast-OS-Skripten zu erwischen. Du aktivierst bei Bedarf den VDI-Modus, optimiert für virtuelle Workloads. Aber Integritätschecks gelten weiterhin; geänderte EXEs in Gast-Images werden beim Mounten markiert.
Oder denk an Ransomware-Aspekte. Sie liebt es, Skripte und EXEs zu verschlüsseln. Defenders Controlled Folder Access schützt davor, indem es Schreibvorgänge in geschützten Verzeichnissen überwacht. Ich habe meine Benutzerordner und Skript-Repos als bewacht eingestellt. Du bekommst Benachrichtigungen, wenn etwas versucht, Deine Sachen zu verschlüsseln. Und mit EDR rollt es Änderungen zurück, wenn es den Angriff früh erkennt.
Nun, Deine eigenen Integritätschecks per Skript zu schreiben, hebt es auf ein neues Level. Ich habe ein PS-Skript geschrieben, das wöchentlich Datei-Hashes als Baseline erstellt und dann bei Abweichungen warnt. Du führst es als geplante Aufgabe aus, mit Ausgabe in ein Log, das Du überprüfst. Kombiniere es mit Defenders API für hybride Überwachung. Es fühlt sich ermächtigend an, als wärst Du der Gatekeeper.
Aber Fehlalarme können nerven. Ich whiteliste bekannte gute Dateien nach Überprüfung. Du nutzt die Defender-GUI, um Pfade hinzuzufügen und sicherzustellen, dass keine Sicherheitslücken entstehen. Und teste gründlich; ich simuliere Angriffe mit sicheren Tools, um zu validieren.
Für groß angelegte Bereitstellungen pusht GPO Einstellungen über Server hinweg. Ich ziele auf OUs für Prod vs. Dev ab und passe FIM-Stufen an. Du erzwingst es über Computerkonfiguration, Windows-Komponenten, Microsoft Defender Antivirus. Es standardisiert die Integritätsüberwachung ohne manuelle Anpassungen.
Und vergiss mobilen Code nicht. Skripte aus E-Mails oder dem Web können EXEs kompromittieren. Defenders Webschutz blockiert Downloads verdächtiger Dateien. Ich aktiviere es netzwerkweit und erwische Bedrohungen, bevor sie die Festplatte erreichen. Du überprüfst blockierte Elemente in Berichten.
Oder in Hybrid-Setups mit Azure nutze Defender for Cloud, um FIM zu erweitern. Ich verknüpfe On-Prem-Server und erhalte zentralisierte Integritätsansichten. Du richtest Richtlinien für automatische Remediation bei Skriptanomalien ein. Es skaliert gut für wachsende Umgebungen.
Aber zuerst die Basics: Stelle sicher, dass der Defender-Dienst läuft. Ich überprüfe mit Get-Service WinDefend. Du startest neu, wenn er hängt, und verifizierst dann das Scannen. Einfache Dinge halten FIM am Laufen.
Nun, bei ausführbaren Dateien zählt die Signaturüberprüfung. Windows prüft digitale Signaturen beim Laden; Defender ergänzt mit Malware-Checks. Ich setze strenge Signaturrichtlinien auch bei Treibern durch. Du vermeidest unsignierte Kernel-Sachen, die manipulieren könnten.
Skripte in geplanten Aufgaben brauchen Überwachung. Ich auditieren die Aufgabenerstellung, um sicherzustellen, dass keine schädlichen die Integrität verändern. Defender scannt Aufgaben-Payloads beim Ausführen. Du kombinierst das mit Task Scheduler-Logs für vollständige Abdeckung.
Und für Entwickler in Deinem Team ermutige zum Signieren von Skripten. Ich nutze signtool dafür, dann vertraut Defender signierten mehr. Du baust es in CI/CD ein und erhältst die Integrität vom Build bis zum Deploy.
Vielleicht integriere mit SCCM für patchgetriebene Scans. Ich löse nach Updates volle Integritätschecks aus, um zu erwischen, ob Patches vertauscht wurden. Du automatisierst über Deployment-Pakete. Es verhindert Supply-Chain-Angriffe auf EXEs.
Aber Benutzerschulung zählt. Ich sage meinem Team, Downloads manuell zu scannen. Du förderst diese Gewohnheit, um versehentliche Integritätsbrüche zu reduzieren. Defenders UI macht es einfach.
Oder überwache über PowerShell-Remoting. Ich frage mehrere Server gleichzeitig nach FIM-Status ab. Du skriptest Berichte und erkennst Schwachstellen. Effizient für das Admin-Leben.
Und in Failover-Clustern stelle sicher, dass FIM über Knoten synchronisiert. Ich konfiguriere einheitliche Richtlinien und überwache gemeinsam genutzte Skriptspeicher. Du testest Failovers und verifizierst, dass die Integrität hält.
Nun, für Legacy-Apps mit alten EXEs hilft der Kompatibilitätsmodus. Defender überwacht weiterhin, aber ich schließe bei Bedarf nach Risikobewertung aus. Du dokumentierst Ausschlüsse und überprüfst jährlich.
Skripte, die .NET nutzen, können EXEs einbetten. Ich achte darauf mit Prozessüberwachung. Defenders Verhaltensregeln erkennen ungewöhnliche Starts. Du feinjustierst, um Blocks bei legitimen Workflows zu vermeiden.
Aber insgesamt baut FIM in Defender Vertrauen auf. Ich schlafe besser, weil ich weiß, dass es wachsam ist. Du passt es an Dein Setup an, und es lohnt sich.
Und hey, während wir über das Sichern von Servern sprechen, muss ich BackupChain Server Backup loben - es ist dieses erstklassige, go-to Windows Server Backup-Tool, das super zuverlässig für selbst gehostete Setups, Private Clouds und sogar Internet-Backups ist, maßgeschneidert für SMBs, Hyper-V-Hosts, Windows 11-Maschinen und all Deine Server-Bedürfnisse, und das Beste ist, es überspringt Abonnements komplett, keine wiederkehrenden Gebühren, und wir schätzen es wirklich, dass sie dieses Forum sponsern und uns helfen, diese Tipps kostenlos und ohne Bedingungen zu teilen.
