# File Server Resource Manager (FSRM): Governance & Ransomware-Schutz

TL;DR / Management Summary Der File Server Resource Manager (FSRM) ist eine Suite von Werkzeugen zur Verwaltung von Daten auf Windows-Fileservern. Er bietet drei Kernfunktionen: Quotas (Limitierung des Speicherplatzes pro Ordner), File Screening (Blockieren unerwünschter Dateitypen wie .mp3 oder .exe) und Storage Reports. Für Senior Admins ist FSRM heute zudem eine wichtige “Last Line of Defense” gegen Ransomware, indem es bei Erkennung bekannter Krypto-Dateiendungen sofort den Zugriff sperrt.

# 1. Einführung & Architektur

Mehr als nur NTFS-Berechtigungen.

Während NTFS den Zugriff regelt (Wer darf was?), regelt FSRM die Ressourcen-Nutzung (Wie viel? Was für Dateien?).

# Die Komponenten

1. Quota Management: Setzt Limits auf Verzeichnis-Ebene (nicht nur User-basiert wie in Artikel 514).
2. File Screening: Filtert Dateien basierend auf Mustern oder Endungen.
3. File Classification: Markiert Dateien automatisch nach Inhalt (z.B. “Enthält DSGVO-Daten”).
4. Storage Reports: Analysiert Dateiduplikate oder ungenutzte Daten.

# 2. Quota Management in der Praxis

Platzmangel verhindern.

Im Gegensatz zu “Disk Quotas” (Volume-Ebene) sind FSRM Quotas ordnerbasiert.

# Hard vs. Soft Quota

• Hard Quota: Verhindert das Schreiben, wenn das Limit erreicht ist.
• Soft Quota: Loggt nur und benachrichtigt den Admin (ideal für Kapazitätsplanung).

# Einrichtung via PowerShell

# Rolle installieren
Install-WindowsFeature -Name FS-Resource-Manager -IncludeManagementTools

# Neues 10 GB Hard Quota auf einen User-Ordner setzen
New-FsrmQuota -Path "D:\Shares\User01" -Size 10GB -Description "Limit für Home-LW"

# 3. Deep Dive: Ransomware-Schutz mit File Screening

Den Krypto-Trojaner stoppen.

File Screening kann genutzt werden, um Dateierweiterungen zu blockieren, die typisch für Ransomware sind (z.B. .crypt, .locky, .wanacry).

# Der ‘Kill-Switch’ Workflow

1. Dateigruppe erstellen: Liste von 500+ bekannten Ransomware-Endungen pflegen.
2. Screening-Regel: Wenn eine solche Datei geschrieben wird -> Active Screening.
3. Aktion:
   • Benachrichtigung an den Admin.
   • Befehl ausführen: Ein PowerShell-Script triggern, das den SMB-Dienst stoppt oder die Netzwerkkarte deaktiviert, um weiteren Schaden zu verhindern.

# Beispiel: Blockieren von Audio/Video Files
New-FsrmFileScreen -Path "D:\Shares\Common" -IncludeGroup "Audio and Video Files" -Active

# 4. Day-2 Operations: Storage Reporting

Wo ist der Platz hin?

FSRM kann wöchentlich Berichte generieren:

• Large Files: Wer speichert 50 GB ISOs auf dem Fileserver?
• Least Recently Accessed: Welche Daten wurden seit 2 Jahren nicht mehr angefasst? (Kandidaten für Archivierung/Löschung).
• Duplicate Files: Identifiziert identische Dateien über verschiedene User-Ordner hinweg (spart Platz via Deduplizierung, Artikel 486).

# 5. Troubleshooting & “War Stories”

Wenn der Filter klemmt.

# Top 3 Fehlerbilder

1. Symptom: User kann Datei nicht speichern, obwohl Quota noch frei ist.

   • Ursache: Ein File Screen blockiert die Dateiendung (z.B. .tmp Dateien von CAD-Software).
   • Lösung: CAD-Temp-Endungen in die Whitelist aufnehmen.

2. Symptom: FSRM-Konsole lädt extrem langsam.

   • Ursache: Zu viele aktive Quotas auf tief verschachtelten Ebenen.
   • Lösung: Quotas auf höherer Ebene aggregieren.

3. Symptom: Email-Benachrichtigungen kommen nicht an.

   • Lösung: SMTP-Relay in den FSRM-Optionen prüfen (erfordert oft anonymen Zugriff vom Server-IP).

# “War Story”: Der “Hidden” Filmabend

Ein Admin wunderte sich, warum sein Backup-Fenster plötzlich 4 Stunden länger dauerte. Die Entdeckung: Ein User hatte einen Ordner C:\Windows\Fonts\Backup erstellt (wo er Schreibrechte hatte) und dort 400 GB 4K-Filme gelagert. Der Standard-Explorer-Quota-Check sah dies nicht. Lösung: Wir aktivierten FSRM File Screening auf dem gesamten System-Volume und blockierten .mkv und .mp4. FSRM fand die Dateien sofort und blockierte den weiteren Upload. Lehre: User sind kreativ. FSRM ist der einzige Weg, das Dateisystem proaktiv sauber zu halten.

# 6. Monitoring & Alerting

Events in Echtzeit.

Überwachen Sie das Application Log auf Quelle SRMSVC.

• Event ID 8197: Quota-Limit fast erreicht (Warnung).
• Event ID 8215: File Screen Treffer (Blockierung).

# 7. Fazit & Empfehlung

FSRM ist ein Pflicht-Tool für jeden Fileserver.

• Empfehlung: Nutzen Sie Quota-Templates, um die Verwaltung zu vereinfachen. Eine Änderung am Template aktualisiert alle verknüpften Ordner.
• Sicherheit: Implementieren Sie die Ransomware-Dateilisten (z.B. von GitHub Projekten wie fsrm-anti-ransomware).

# Anhang: Cheatsheet

# Referenzen

• Microsoft Learn: File Server Resource Manager Overview
• Anti-Ransomware File List (Community Project)
• PowerShell FSRM Module Reference