Jump to content
Sign in to follow this  
martins

Kompromittiertes System: SBS 2003 - wie geht's weiter?

Recommended Posts

Hallo,

 

ein Kunde hat das Problem, dass sein SBS 2003 (Standard) mit einem Virus kompromittiert wurde. Der Virenscanner, der ursprünglich auf dem System installiert gewesen ist, wurde von einem Mitarbeiter (der für die IT zuständig war) deinstalliert. Prompt hat sich offenbar ein Virus / Trojaner eingenistet (Win32/Kryptik). Nach nun erfolgter Neuinstalltion eines Virenscanners und diverser Anti-Malware-Software auf dem System, wurde der Server von dem Ungeziefer auch befreit. Da ich trotz der Funde und auch der offensichtlichen Beseitigung skeptisch bin, würde ich empfehlen, dass das System neu installiert wird. Zur Begründung gegenüber dem Geschäftsführer, dass das System neu installiert werden muss, würde ich gern offizielle Dokumente (z.B. von Microsoft oder dem BSI oder?) anführen, die eine Neuinstallation unabdingbar machen. Ich gehe davon aus, dass ihr das auch so seht!?

 

Wie ist eure Meinung dazu? Habt ihr eine seriöse Quelle, die eine Neuinstallation des Servers ebenfalls empfiehlt, ggf. auch nicht empfiehlt?

 

Danke.

 

Gruß

Martin

Edited by martins

Share this post


Link to post
Zur Begründung gegenüber dem Geschäftsführer, dass das System neu installiert werden muss, würde ich gern offizielle Dokumente (z.B. von Microsoft oder dem BSI oder?) anführen, die eine Neuinstallation unabdingbar machen.

 

Wozu braucht man dafür "offizielle Dokumente"? Server neu installieren und Daten zurücksichern. Virenscanner installieren nicht vergessen. ;) Alles andere widerspricht dem gesunden Adminverstand.

Share this post


Link to post

Hallo,

 

Der Geschäftsführer sollte sich generell über die IT-Prozesse im Haus Gedanken machen

 

- Ein Mitarbeiter entfernt mal so den Virenscanner (fehlendes Changemanagent, Dokumentation?)

- niemandem fällt der fehlende, nicht funktionierende Scanner auf (Monitoring?)

- Virenscanner sind wichtig, klar. Trotzdem ist zu klären, wie auf einen Server ein Virus gelangen kann. Da hätten vorher weitere Schutzmechanismen greifen müssen)

 

Der Geschäftsführer muss sich entscheiden, ob er seine IT einigermassen professionell betreibt, oder auf eine Bastellösung baut.

Wenn jemand totz aller Warnungen unbedingt mit dem Kopf voran gegen eine Betonmauer rennen will, dann soll er halt. Manchmal führt erst eine blutige Nase zum notwendigen Erkenntnisgewinn.

 

blub

Share this post


Link to post

Die Firma hatte geplant, dass der Server Ende des Jahres ersetzt werden soll. Der Tausch wird nun vorgezogen und in der nächsten oder übernächsten Woche soll ein neues System mit Windows SBS 2008 integriert werden. Nun möchte ich nicht die Standard-Migration durchführen, da ich nicht ausschließen kann, dass das Alt-System noch kompromittiert ist. Ich ziehe es vor, die Domäne komplett neu aufzubauen. Das ist eigentlich nicht DAS Problem, da es sich nur um 8 Clients handelt und eine sehr übersichtliche AD- und Berechtigungsstruktur existiert.

 

Aber: Wie stelle ich es am geschicktesten an, dass ich die Clients (Windows XP und Windows 7) möglichst wenig anfassen muss? Die Domäne würde ich identisch benennen (Firma.local). Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge? Ich nehme an, dass die individuellen Benutzereinstellungen verloren gehen.

 

Wie würdet ihr die Exchange-Daten migrieren? PST-Dateien lokal auf den Clients erstellen und dann die Inhalte in die neuen, leeren Postfächer kopieren?

 

Gruß und Danke

Martin

Share this post


Link to post

Hallo.

 

Die Domäne würde ich identisch benennen (Firma.local).

 

Dann muss sowieso der alte Server vom Netz genommen werden

 

Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge

 

Nein.

 

Wie würdet ihr die Exchange-Daten migrieren?

 

Wenn die Postfächer < 2 GB sind, dann mit Exmerge, ansonsten in Outlook exportieren und dann auf dem neuen Exchange importieren.

 

LG Günther

Share this post


Link to post
Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge? Ich nehme an, dass die individuellen Benutzereinstellungen verloren gehen.

 

Wenn ich mich recht erinnere, ist der Grund des Servertausches ein entferntes Virus, von dem man nicht weiss, ob es nicht doch Spuren hinterlassen hat. Wenn das Misstrauen diesen Schricht rechtfertigt und begründet, müssten konsequenterweise auch die Clients vollständig frisch aufgesetzt werden, ohne zuvor Berührung mit dem neuen SBS zu haben. :shock:

 

Wenn Du die Clients einfach aus der alten Domäne nimmst und dann der neuen hinzufügst, ohne sie neu zu installieren, könntest Du Dir gleich den Servertausch sparen. Oder einen anderen Grund dafür finden. Oder ist sich der Geschäftsführer absolut sicher, dass sich das Virus nicht auf den einen oder anderen Client verbreitet und dort eingenistet hat? :rolleyes:

Share this post


Link to post

Die Clients die befallen waren (5), werden ebenfalls ersetzt. Die verbleibenden Systeme (die wohl nicht kompromittiert gewesen sein sollen) können nicht so "en passant" ersetzt, bzw. neu installiert werden, da diese Eigentum der jeweiligen Mitarbeiter sind. Diese sind nur sehr sehr selten im Büro und das müsste mit denen im Voraus abgesprochen / organisiert werden. Aber dein Einwand ist gerechtfertigt. Danke für den Hinweis.

Share this post


Link to post
Wenn die Postfächer < 2 GB sind, dann mit Exmerge, ansonsten in Outlook exportieren und dann auf dem neuen Exchange importieren.

 

Per Powershell "import-mailbox"?

 

 

Gruß

Martin

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...