beebright - stock.adobe.com

Diese EDR-Tools für Windows Server sollten Sie kennen

Windows Server verfügt über native Sicherheits-Features zum Schutz der Domäne. Einige Endpoint Detection and Response-Tools von Drittanbietern sind jedoch die Investition wert.

EDR Tools für Endpoint Detection and Response (EDR, Endpunkterkennung und Reaktion) sind eine gute Ergänzung zu traditionellen Antivirenprodukten und nutzen Automatisierung und maschinelles Lernen zum Bekämpfen neuer Bedrohungen.

Unternehmen, die auf Windows Server angewiesen sind, sollten Schutz in mehreren Schichten anlegen, um zu verhindern, dass bösartige Akteure kritische Workloads übernehmen. Zusätzlich zu den Malware-Schutzmaßnahmen verfügen viele EDR Tools über weitere Funktionen, wie zum Beispiel Datenanalyse, um verdächtiges Verhalten zu erkennen. Manche Angebote gehen noch einen Schritt weiter und ermöglichen das Automatisieren von Reaktionen auf auffällige Aktivitäten.

EDR und Windows Server 2022

EDR Tools verbessern die Sicherheit erheblich, echte EDR-Funktionen fehlen jedoch im Betriebssystem Windows Server 2022.

Das soll nicht heißen, dass es Windows Server an EDR-ähnlichen Funktionen mangelt. So verfügen beispielsweise fast alle EDR-Angebote über Funktionen zum Verhindern von Malware und Angriffen. Windows Server 2022 umfasst Viren- und Bedrohungsschutz mit Microsoft Defender Antivirus, früher bekannt als Windows Defender. Diese nativen Anti-Malware-Funktionen sind mit denen von Windows 10 und Windows 11 vergleichbar.

Abbildung 1: Windows Server 2022 enthält eine integrierte Funktion zum Schutz vor Viren und Bedrohungen.
Abbildung 1: Windows Server 2022 enthält eine integrierte Funktion zum Schutz vor Viren und Bedrohungen.

Zusätzlich zum grundlegenden Malware-Schutz bietet Windows Server 2022 Firmware-Schutz auf Servern mit gesichertem Kern. Die meisten Antivirenprodukte lassen die Firmware eines Servers bei der Suche nach Manipulation aus; Microsoft bietet Administratoren somit mit dieser nativen Funktion eine weitere Sicherheitsebene.

Darüber hinaus unterstützt Windows Server 2022 einen virtualisierungsbasierten Schutz der Code-Integrität, der unautorisierte Änderungen am Control Flow Guard verhindert. Dadurch werden Systeme vor Schwachstellen im Speicher geschützt, während die Funktion Credential Guard ebenfalls abgeschirmt wird.

Die meisten EDR-Produkte enthalten eine Endpunkt-Firewall. Windows Server 2022 enthält die Windows Defender Firewall, die der grundlegenden Firewall der Desktop-Versionen von Windows entspricht.

Die EDR-Funktionen von Windows Server sind sehr begrenzt. Deshalb ist es sinnvoll, in ein separates Produkt zu investieren, das die nativen Sicherheitsfunktionen von Windows Server 2022 ergänzt.

Microsoft Defender für Endpunkte

Während die nativen Anti-Malware-Funktionen von Windows Server begrenzt sind, bietet Microsoft mit Microsoft Defender for Endpoint einen umfangreicheren Funktionssatz.

Es gibt zwei Versionen von Microsoft Defender for Endpoint. Microsoft Defender für Endpoint P1 ist im Paket mit Microsoft 365 E3-Abonnements erhältlich. Es enthält Microsofts Anti-Malware-Software der nächsten Generation, eine Endpunkt-Firewall, kategoriebasierte Webfilter und gerätebasierte Richtlinien für den bedingten Zugriff. Microsoft Defender für Endpoint P1 bietet darüber hinaus weitere Funktionen wie kontrollierten Ordnerzugriff, Gerätekontrolle (zum Beispiel Schutz von USB-Geräten), Regeln zum Reduzieren der Angriffsfläche und Anwendungskontrolle.

Microsoft Defender für Endpoint P2 ist im Paket mit Microsoft 365 E5-Abonnements erhältlich. Es enthält alle Funktionen von Microsoft Defender für Endpoint P1, gemeinsam mit zusätzlichen Funktionen wie Endpunkterkennung und -Reaktion sowie automatisches Untersuchen und Beheben. Microsoft Defender für Endpoint P2 bietet außerdem Bedrohungsanalysen und eine Sandbox-Umgebung für tiefgehende Analysen. Microsoft Defender für Endpoint P2 kommt schon eher an ein richtiges EDR Tool heran als sein P1-Pendant.

Microsoft bietet eine kostenlose Testversion von Defender for Endpoint an.

VMware Carbon Black EDR

Carbon Black EDR gehörte früher zu Bit9 und wurde dann von VMware eingekauft. Es bietet einen vielseitigen Ansatz für den Endpunktschutz.

Wie bei anderen EDR Tools ist der Schutz vor Malware eine der Kernkompetenzen von Carbon Black. Statt sich ausschließlich auf die signaturbasierte Erkennung zu verlassen, sucht Carbon Black nach Angriffsmustern. So ist das Werkzeug in der Lage, sowohl herkömmliche als auch dateilose Malware zu finden. Carbon Black konzentriert sich nicht ausschließlich auf Malware, sondern bietet Administratoren die Möglichkeit, Endgeräte in Echtzeit zu überprüfen und festgestellte Sicherheitsmängel zu beheben.

VMware bietet Unternehmen, die Carbon Black ausprobieren möchten, ein kostenloses Praxislabor.

Falcon von CrowdStrike

Die Falcon-Plattform von CrowdStrike befasst sich mit einer Vielzahl von Bedrohungen in der Cloud und in der gesamten Infrastruktur. Die EDR-Funktionen sind nur ein kleiner Teil der größeren Falcon-Plattform und sind in Falcon Endpoint Protection Enterprise integriert

Falcon Endpoint Protection Enterprise fungiert als Ersatz für herkömmliche Antivirenprogramme, deckt jedoch alle Arten von Angriffen auf, nicht nur solche, die mit einer Malware-Infektion verbunden sind. Falcon Endpoint Protection Enterprise nutzt auf maschinellem Lernen basierende Bedrohungsanalysen, um Gefahren in Echtzeit zu erkennen. Falcon Endpoint Protection Enterprise blockiert Angriffe und kann Änderungen an der Registry und an Dateien, die von der Malware hinterlassen wurden, rückgängig machen.

Die Preise von Falcon Insight (EDR enthalten) starten bei 59,99 Dollar pro Endgerät pro Jahr. Für mehr Details müssen Interessenten einen Kostenvoranschlag beantragen.

CrowdStrike bietet eine kostenlose Testversion seiner Falcon-Plattform an.

Singularity-Plattform von SentinelOne

Singularity for Endpoint von SentinelOne fungiert als umfassende Sicherheitsplattform für Unternehmen. Das Hauptargument für Singularity ist, dass es autonom funktioniert und Angriffe schneller erkennt und abwehrt als ein Mensch es könnte.

Wie andere EDR Tools von Drittanbietern nutzt die Endpoint Protection Platform maschinelles Lernen für das Erkennen von Angriffen, statt sich auf eine Signaturdatenbank zu verlassen. Wenn das Werkzeug eine Bedrohung findet, setzt die Software die einzelnen Schritte des Angriffs zu einer Storyline zusammen und rekonstruiert den gesamten Angriff von Anfang bis Ende. Darüber hinaus lassen sich die von einem Angriff betroffenen Endpunkte mit einem einzigen Klick bereinigen.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit