Jump to content

Kompromittiertes System: SBS 2003 - wie geht's weiter?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ein Kunde hat das Problem, dass sein SBS 2003 (Standard) mit einem Virus kompromittiert wurde. Der Virenscanner, der ursprünglich auf dem System installiert gewesen ist, wurde von einem Mitarbeiter (der für die IT zuständig war) deinstalliert. Prompt hat sich offenbar ein Virus / Trojaner eingenistet (Win32/Kryptik). Nach nun erfolgter Neuinstalltion eines Virenscanners und diverser Anti-Malware-Software auf dem System, wurde der Server von dem Ungeziefer auch befreit. Da ich trotz der Funde und auch der offensichtlichen Beseitigung skeptisch bin, würde ich empfehlen, dass das System neu installiert wird. Zur Begründung gegenüber dem Geschäftsführer, dass das System neu installiert werden muss, würde ich gern offizielle Dokumente (z.B. von Microsoft oder dem BSI oder?) anführen, die eine Neuinstallation unabdingbar machen. Ich gehe davon aus, dass ihr das auch so seht!?

 

Wie ist eure Meinung dazu? Habt ihr eine seriöse Quelle, die eine Neuinstallation des Servers ebenfalls empfiehlt, ggf. auch nicht empfiehlt?

 

Danke.

 

Gruß

Martin

bearbeitet von martins
Link zu diesem Kommentar
Zur Begründung gegenüber dem Geschäftsführer, dass das System neu installiert werden muss, würde ich gern offizielle Dokumente (z.B. von Microsoft oder dem BSI oder?) anführen, die eine Neuinstallation unabdingbar machen.

 

Wozu braucht man dafür "offizielle Dokumente"? Server neu installieren und Daten zurücksichern. Virenscanner installieren nicht vergessen. ;) Alles andere widerspricht dem gesunden Adminverstand.

Link zu diesem Kommentar

Hallo,

 

Der Geschäftsführer sollte sich generell über die IT-Prozesse im Haus Gedanken machen

 

- Ein Mitarbeiter entfernt mal so den Virenscanner (fehlendes Changemanagent, Dokumentation?)

- niemandem fällt der fehlende, nicht funktionierende Scanner auf (Monitoring?)

- Virenscanner sind wichtig, klar. Trotzdem ist zu klären, wie auf einen Server ein Virus gelangen kann. Da hätten vorher weitere Schutzmechanismen greifen müssen)

 

Der Geschäftsführer muss sich entscheiden, ob er seine IT einigermassen professionell betreibt, oder auf eine Bastellösung baut.

Wenn jemand totz aller Warnungen unbedingt mit dem Kopf voran gegen eine Betonmauer rennen will, dann soll er halt. Manchmal führt erst eine blutige Nase zum notwendigen Erkenntnisgewinn.

 

blub

Link zu diesem Kommentar
  • 2 Wochen später...

Die Firma hatte geplant, dass der Server Ende des Jahres ersetzt werden soll. Der Tausch wird nun vorgezogen und in der nächsten oder übernächsten Woche soll ein neues System mit Windows SBS 2008 integriert werden. Nun möchte ich nicht die Standard-Migration durchführen, da ich nicht ausschließen kann, dass das Alt-System noch kompromittiert ist. Ich ziehe es vor, die Domäne komplett neu aufzubauen. Das ist eigentlich nicht DAS Problem, da es sich nur um 8 Clients handelt und eine sehr übersichtliche AD- und Berechtigungsstruktur existiert.

 

Aber: Wie stelle ich es am geschicktesten an, dass ich die Clients (Windows XP und Windows 7) möglichst wenig anfassen muss? Die Domäne würde ich identisch benennen (Firma.local). Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge? Ich nehme an, dass die individuellen Benutzereinstellungen verloren gehen.

 

Wie würdet ihr die Exchange-Daten migrieren? PST-Dateien lokal auf den Clients erstellen und dann die Inhalte in die neuen, leeren Postfächer kopieren?

 

Gruß und Danke

Martin

Link zu diesem Kommentar

Hallo.

 

Die Domäne würde ich identisch benennen (Firma.local).

 

Dann muss sowieso der alte Server vom Netz genommen werden

 

Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge

 

Nein.

 

Wie würdet ihr die Exchange-Daten migrieren?

 

Wenn die Postfächer < 2 GB sind, dann mit Exmerge, ansonsten in Outlook exportieren und dann auf dem neuen Exchange importieren.

 

LG Günther

Link zu diesem Kommentar
Lässt es sich umgehen, dass ich die Clients aus der alten Domäne entferne und in die Neue hinzufüge? Ich nehme an, dass die individuellen Benutzereinstellungen verloren gehen.

 

Wenn ich mich recht erinnere, ist der Grund des Servertausches ein entferntes Virus, von dem man nicht weiss, ob es nicht doch Spuren hinterlassen hat. Wenn das Misstrauen diesen Schricht rechtfertigt und begründet, müssten konsequenterweise auch die Clients vollständig frisch aufgesetzt werden, ohne zuvor Berührung mit dem neuen SBS zu haben. :shock:

 

Wenn Du die Clients einfach aus der alten Domäne nimmst und dann der neuen hinzufügst, ohne sie neu zu installieren, könntest Du Dir gleich den Servertausch sparen. Oder einen anderen Grund dafür finden. Oder ist sich der Geschäftsführer absolut sicher, dass sich das Virus nicht auf den einen oder anderen Client verbreitet und dort eingenistet hat? :rolleyes:

Link zu diesem Kommentar

Die Clients die befallen waren (5), werden ebenfalls ersetzt. Die verbleibenden Systeme (die wohl nicht kompromittiert gewesen sein sollen) können nicht so "en passant" ersetzt, bzw. neu installiert werden, da diese Eigentum der jeweiligen Mitarbeiter sind. Diese sind nur sehr sehr selten im Büro und das müsste mit denen im Voraus abgesprochen / organisiert werden. Aber dein Einwand ist gerechtfertigt. Danke für den Hinweis.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...