In den Rollen, die wir im IT-Bereich ausüben, ist es am wichtigsten , alle Informationen und die gesamte Konfiguration der Infrastruktur zu sichern, um unbefugten Zugriff, fehlerhafte Handhabung, Verbreitung von Viren, Installation nicht autorisierter Anwendungen usw. zu vermeiden.
Wir wissen, dass Nicht-IT-Mitarbeiter in einem Unternehmen die Schwachstellen beim Kopieren, Installieren oder Ausführen verschiedener Programme auf dem lokalen Computer nicht kennen, da sie von dort auf das gesamte Netzwerk übertragen werden können und schwerwiegende Probleme mit Zeit, Ressourcen und Ressourcen verursachen Geld Anlässe.
Eine der großen Neuerungen in Windows Server 2016 ist die Möglichkeit, den Dateityp zu verwalten, den Benutzer auf ihren Computern oder in einem freigegebenen Ordner installieren oder speichern können, was zu Sicherheitsproblemen, Angriffen oder Leistungsproblemen führen kann der etablierten Architektur. Zum Verwalten und Verwalten dieses Dateityps verwenden wir den Dateifilter-Manager in Windows Server 2016. Das folgende Thema könnte Sie auch interessieren: Verwalten von Gebühren in Windows Server 2016 .
1. Was ist der Dateifilter-Manager?
Der Filter-Manager ist ein Add-On zur Rolle des Ressourcen-Managers für Dateiserver, mit dem wir Parameter erstellen können, um den Dateityp zu definieren, den jeder Benutzer auf seinen Computern verwenden kann.
- Definieren Sie Vorlagen, die auf neue Ordner oder Volumes angewendet werden können.
- Erstellen und verwalten Sie Filter, mit denen wir die von Benutzern gespeicherten Dateien zentral steuern können.
- Generieren Sie Benachrichtigungen, die uns benachrichtigen, wenn ein Benutzer versucht, eine nicht autorisierte Datei zu speichern.
- Erstellen Sie Filterausnahmen für definierte Benutzer.
Mit diesem Administrator können wir beispielsweise verhindern, dass Benutzer einer bestimmten Gruppe EXE-Dateien speichern. Gleichzeitig können wir jedoch eine Ausnahme erstellen, damit der Koordinator dieses Bereichs über diese Berechtigung verfügt.
2. Implementierungsszenario
Wie bereits erwähnt, verwenden wir für diese Analyse den Dateifilter-Manager in einer Umgebung mit Windows Server 2016 Technical Preview 5 und haben außerdem einen freigegebenen Ordner mit dem Namen Production erstellt.
In diesem Produktionsordner erstellen wir die Einschränkung einiger der gebräuchlichsten Dateitypen.
3. Analysieren Sie die Dateifilterung
Um den Filtererstellungsprozess zu starten, öffnen wir den Ressourcen-Manager für Dateiserver mit einer der folgenden Methoden:
Über das Menü Extras im Server-Manager:
Über Verwaltung im Startmenü:
Sobald wir eine der oben genannten Optionen ausgewählt haben, wird das folgende Fenster geöffnet:
Klicken Sie auf die Option Verwaltung der Dateifilterung, und es wird Folgendes angezeigt :
Wenn wir auf die Optionen Dateifiltervorlagen und Dateigruppen klicken , sehen wir, dass wir standardmäßig bereits vordefinierte Werte haben.
In Dateifiltervorlagen sehen wir Vorlagen für E-Mail, Audio und Video, ausführbare Dateien ua
In Archivgruppen werden die verschiedenen Kategorien angezeigt, die wir einschränken können, z. B. Textdateien, temporäre Dateien, ausführbare Dateien, Audio- und Videodateien usw.
4. Erstellen Sie die Einschränkungsrichtlinie mithilfe der Dateifilterung
Nachdem wir in unserem Produktionsbeispiel festgelegt haben, welche Art von Dateien auf die Benutzer der Organisationseinheit beschränkt werden sollen, wählen wir die Option Dateifilter aus .
Dort wählen wir die Option Dateifilter auf eine der folgenden Arten erstellen:
- Klicken Sie mit der rechten Maustaste auf Dateifilter .
- Wählen Sie auf der rechten Seite Dateifilter erstellen .
Sobald wir diese Option ausgewählt haben, wird das folgende Fenster angezeigt, in dem wir die Route angeben müssen, auf der sich der Ordner befindet, auf den die Einschränkung angewendet wird.
Im Feld ” Eigenschaften dieser Dateifiltervorlage ableiten ” sehen Sie, dass standardmäßig die Einschränkung für Audio- und Videodateien ausgewählt ist. Wenn Sie nach unten scrollen, sehen Sie die verschiedenen Einschränkungsalternativen.
Lassen Sie uns die Option Ausführbare Dateien blockieren für dieses Beispiel auswählen und wir werden Folgendes sehen:
Beachten Sie, dass im unteren Teil eine Zusammenfassung der anzuwendenden Einschränkungen, des Ordners, auf den sie angewendet werden sollen, und der Art und Weise angezeigt wird, wie der Administrator über diese Ereignisse benachrichtigt wird. Wir sehen die Einschränkung, die wir erstellen:
5. Überprüfen Sie die Wirksamkeit der Einschränkung
Um zu überprüfen, ob die von uns erstellte Einschränkung ordnungsgemäß funktioniert, wird versucht, eine ausführbare Datei in den Produktionsordner zu kopieren. Die folgende Fehlermeldung wird angezeigt:
6. Anzeigen der Absicht in der Ereignisanzeige
Wie in der Zusammenfassung der Einschränkung beschrieben, erreicht die Warnung, dass ein Benutzer versucht hat, eine Datei, in diesem Fall eine ausführbare Datei, in den ausgewählten Ordner zu kopieren, unsere Mail und die Windows-Ereignisanzeige. Dies können wir überprüfen, indem wir die Ereignisanzeige öffnen und in Windows Logs / Application nach der Warnung suchen:
Wir können sehen, wie die Ereignisanzeige uns detaillierte Informationen darüber gibt, welchen Benutzer und welche Art von Datei er zu kopieren versucht hat, und von dort aus können wir zentral steuern, welche Benutzer nicht durch die Richtlinien der Organisation geschützt sind.
7. Festlegen von Einschränkungen mithilfe der Filtervorlagen
Als Nächstes wird erläutert, wie die Standardvorlagen im Ressourcenmanager verwendet werden . In diesem Beispiel werden wir die Vorlage implementieren, um ausführbare Dateien zu überwachen.
Um diese Vorlage zu erstellen, klicken Sie mit der rechten Maustaste auf die Vorlage oder wählen Sie die Option Dateifiltervorlage erstellen in der rechten Spalte.
Wir werden das folgende Fenster sehen:
In diesem Fenster müssen wir die notwendigen Parameter definieren wie:
- Name der Vorlage
- Art der Filterung
- Definieren Sie, welche Dateigruppe eingeschränkt werden soll
Wenn wir eine definierte Gruppe von Dateien erstellen möchten, können wir die Option Erstellen verwenden und die gewünschten Dateitypen hinzufügen, z. B. * .exe, * .mp3, * .bat usw.
In der Registerkarte E-Mail-Nachricht können wir definieren, an wen die Warnmeldung gesendet wird (Wir müssen das Kontrollkästchen aktivieren, damit die Nachrichten gesendet werden).
Auf der Registerkarte Ereignisprotokoll können wir es aktivieren, sodass jede Warnung in der Ereignisanzeige von Windows Server 2016 gespeichert wird .
Sobald wir diese Parameter definiert haben, drücken Sie OK . Wir können sehen, wie die TechnoWikis_Access- Vorlage erstellt wurde :
Um diese Richtlinie auf den gewünschten Ordner anzuwenden, klicken Sie mit der rechten Maustaste auf die Vorlage und wählen Sie die Option ” Dateifilter aus einer Vorlage erstellen “.
Wir sehen, dass sich folgendes öffnet:
Dort müssen wir den Ordner auswählen, um die Vorlage anzuwenden, und auf Erstellen klicken, und wir können sehen, dass unsere erstellte Vorlage korrekt erstellt wurde:
Jetzt kopieren wir eine von uns erstellte Datei mit dem Namen solvetic.txt in den Produktionsordner und sehen in der Windows Server-Ereignisanzeige, dass die entsprechende Warnung erstellt wurde.
Mit dieser Vorlage im passiven Typ sehen wir, dass die Warnung erstellt wird, aber die Möglichkeit zum Kopieren der Dateien in den ausgewählten Ordner aktiviert ist.
Wie wir sehen können, können wir Dateien kopieren und es gibt keine Einschränkungen, aber eine Warnmeldung wird in der Mail und in der Ereignisanzeige für unsere administrativen Aufgaben ausgegeben.
Mit diesem Dateifiltertool können wir feststellen, dass wir über genügend Möglichkeiten verfügen, das Kopieren von Dateien in den freigegebenen Ordnern innerhalb unserer Domäne mit Windows Server 2016 einzuschränken.
Denken Sie daran, dass es nicht gefährliche Dateien wie MP3 oder JPEG gibt, wenn Dateien vorhanden sind, die ein Risiko für die Sicherheit und Leistung der Infrastruktur darstellen, z. B. ausführbare Dateien (.bat .exe) oder Systemdateien. Lassen Sie uns dieses leistungsstarke Dienstprogramm voll ausnutzen und noch mehr sicherstellen, dass unsere Domäne uns keine Angst einjagt.