System komplett wiederherstellen
Hallo zusammen,
ich kämpfe seit März mit den Folgen des Eingriffs auf meinen Exchange 2013. Den Exchange habe ich mit der alten Veeam-Sicherung wiederhergestellt, nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen, weiss aber nicht so recht, wo ich anfangen soll und die richtige Reihenfolge. Es handelt sich um eine Domäne mit zwei DC als WinServer 2019, einen Terminalserver ebenfalls Server 2019, einen Exchange 2013 auf Win2008r2 in der DMZ und mehreren peripheren Clients mit Win10. Alle Server als VM auf einem ESXi 6.7. Es existieren Veeam-Sicherungen von den beiden DC's, dem TS und dem Exchange. Ob diese alle noch sauber sind weiss ich jedoch nicht. Dabei möchte ich nicht riskieren, die Seuche in das neue System nach diesem Aufwand wieder reinzuschleppen. Die Clients sind dabei das kleinste Problem, da sie fast ausschließlich zwecks RDP-Verbindungen zum TS minimal konfiguriert sind und leicht wiederhergestellt werden können. Wie sollte man praktisch vorgehen? Ich habe mir folgende Schritte vorgestellt:
1. Alles bis auf die DC's herunterfahren, einen frischen DC aufsetzen, die FSMO-Rollen darauf übertragen, die ersten zwei DC's dann aus der Domäne nehmen und dann den 2. DC neu installieren und einbinden. Die IP's der Beiden auf die ursprüngliche Werte ändern.
2. Den Exchange neu installieren und die Postfächer wiederherstellen
3. Mit dem TS kann es problematisch werden, da keine ältere Sicherung (vor 03/21) mehr existiert und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g läuft. Das wird ein größerer Aufwand werden.
4. Als Letztes die Clients neu und einbinden.
Ist der Plan OK? Worauf sollte ich achten? Geht das Ganze mit weniger Aufwand?
Danke
ich kämpfe seit März mit den Folgen des Eingriffs auf meinen Exchange 2013. Den Exchange habe ich mit der alten Veeam-Sicherung wiederhergestellt, nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen, weiss aber nicht so recht, wo ich anfangen soll und die richtige Reihenfolge. Es handelt sich um eine Domäne mit zwei DC als WinServer 2019, einen Terminalserver ebenfalls Server 2019, einen Exchange 2013 auf Win2008r2 in der DMZ und mehreren peripheren Clients mit Win10. Alle Server als VM auf einem ESXi 6.7. Es existieren Veeam-Sicherungen von den beiden DC's, dem TS und dem Exchange. Ob diese alle noch sauber sind weiss ich jedoch nicht. Dabei möchte ich nicht riskieren, die Seuche in das neue System nach diesem Aufwand wieder reinzuschleppen. Die Clients sind dabei das kleinste Problem, da sie fast ausschließlich zwecks RDP-Verbindungen zum TS minimal konfiguriert sind und leicht wiederhergestellt werden können. Wie sollte man praktisch vorgehen? Ich habe mir folgende Schritte vorgestellt:
1. Alles bis auf die DC's herunterfahren, einen frischen DC aufsetzen, die FSMO-Rollen darauf übertragen, die ersten zwei DC's dann aus der Domäne nehmen und dann den 2. DC neu installieren und einbinden. Die IP's der Beiden auf die ursprüngliche Werte ändern.
2. Den Exchange neu installieren und die Postfächer wiederherstellen
3. Mit dem TS kann es problematisch werden, da keine ältere Sicherung (vor 03/21) mehr existiert und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g läuft. Das wird ein größerer Aufwand werden.
4. Als Letztes die Clients neu und einbinden.
Ist der Plan OK? Worauf sollte ich achten? Geht das Ganze mit weniger Aufwand?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1070986112
Url: https://administrator.de/contentid/1070986112
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
52 Kommentare
Neuester Kommentar
Moin,
Ähm, ganz falsches vorgehen.
Alles abschalten, Doku aus dem Schrank holen und ALLES neu aufsetzten.
In einer separaten abgeschotteten Umgebung kann man noch die Nutzdaten aus den Backup puhlen und via Turnschuh einspielen.
Gruß
C.C.
Ähm, ganz falsches vorgehen.
Alles abschalten, Doku aus dem Schrank holen und ALLES neu aufsetzten.
In einer separaten abgeschotteten Umgebung kann man noch die Nutzdaten aus den Backup puhlen und via Turnschuh einspielen.
Gruß
C.C.
Zitat von @148656:
Moin,
Ähm, ganz falsches vorgehen.
Alles abschalten, Doku aus dem Schrank holen und ALLES neu aufsetzten.
In einer separaten abgeschotteten Umgebung kann man noch die Nutzdaten aus den Backup puhlen und via Turnschuh einspielen.
Gruß
C.C.
Moin,
Ähm, ganz falsches vorgehen.
Alles abschalten, Doku aus dem Schrank holen und ALLES neu aufsetzten.
In einer separaten abgeschotteten Umgebung kann man noch die Nutzdaten aus den Backup puhlen und via Turnschuh einspielen.
Gruß
C.C.
Hi, sehe ich genau so.
Nur vermisse ich den "Fileserver usw. " in der Auflistung der Server. Evtl sollte man bei der Gelegenheit das ganze Konzept mal überdenken.
PS. Exchange 2013 ( hoffentlich SP 1) auf Win2008r2 ( EOL, oder hast du dafür ESU?) in der DMZ, da hat die DMZ wohl nicht ganz gehalten....
Zitat von @dbox3:
Hallo zusammen,
ich kämpfe seit März mit den Folgen des Eingriffs auf meinen Exchange 2013. Den Exchange habe ich mit der alten Veeam-Sicherung wiederhergestellt, nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen, weiss aber nicht so recht, wo ich anfangen soll und die richtige Reihenfolge. Es handelt sich um eine Domäne mit zwei DC als WinServer 2019, einen Terminalserver ebenfalls Server 2019, einen Exchange 2013 auf Win2008r2 in der DMZ und mehreren peripheren Clients mit Win10. Alle Server als VM auf einem ESXi 6.7. Es existieren Veeam-Sicherungen von den beiden DC's, dem TS und dem Exchange. Ob diese alle noch sauber sind weiss ich jedoch nicht. Dabei möchte ich nicht riskieren, die Seuche in das neue System nach diesem Aufwand wieder reinzuschleppen. Die Clients sind dabei das kleinste Problem, da sie fast ausschließlich zwecks RDP-Verbindungen zum TS minimal konfiguriert sind und leicht wiederhergestellt werden können. Wie sollte man praktisch vorgehen? Ich habe mir folgende Schritte vorgestellt:
1. Alles bis auf die DC's herunterfahren, einen frischen DC aufsetzen, die FSMO-Rollen darauf übertragen, die ersten zwei DC's dann aus der Domäne nehmen und dann den 2. DC neu installieren und einbinden. Die IP's der Beiden auf die ursprüngliche Werte ändern.
da wäre die frage zu klären, wenn alle DC´s runtergefahren sind, von wo sollen die FMSO Rollen übertragen werden?!?!?!Hallo zusammen,
ich kämpfe seit März mit den Folgen des Eingriffs auf meinen Exchange 2013. Den Exchange habe ich mit der alten Veeam-Sicherung wiederhergestellt, nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen, weiss aber nicht so recht, wo ich anfangen soll und die richtige Reihenfolge. Es handelt sich um eine Domäne mit zwei DC als WinServer 2019, einen Terminalserver ebenfalls Server 2019, einen Exchange 2013 auf Win2008r2 in der DMZ und mehreren peripheren Clients mit Win10. Alle Server als VM auf einem ESXi 6.7. Es existieren Veeam-Sicherungen von den beiden DC's, dem TS und dem Exchange. Ob diese alle noch sauber sind weiss ich jedoch nicht. Dabei möchte ich nicht riskieren, die Seuche in das neue System nach diesem Aufwand wieder reinzuschleppen. Die Clients sind dabei das kleinste Problem, da sie fast ausschließlich zwecks RDP-Verbindungen zum TS minimal konfiguriert sind und leicht wiederhergestellt werden können. Wie sollte man praktisch vorgehen? Ich habe mir folgende Schritte vorgestellt:
1. Alles bis auf die DC's herunterfahren, einen frischen DC aufsetzen, die FSMO-Rollen darauf übertragen, die ersten zwei DC's dann aus der Domäne nehmen und dann den 2. DC neu installieren und einbinden. Die IP's der Beiden auf die ursprüngliche Werte ändern.
merkste selber... ist doof
also... neue VM, und Active Directory installieren, und deine FSMO Rollen sind da wo sie sein sollen!
2. Den Exchange neu installieren und die Postfächer wiederherstellen
3. Mit dem TS kann es problematisch werden, da keine ältere Sicherung (vor 03/21) mehr existiert und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g läuft. Das wird ein größerer Aufwand werden.
4. Als Letztes die Clients neu und einbinden.
Ist der Plan OK? Worauf sollte ich achten? Geht das Ganze mit weniger Aufwand?
Danke
Hallo
gerade das Active Directory ist ja das Problem. Die dort zugewiesenen Berechtigungen und Identitäten wurden ja komprimiert, sonst wäre der Angriff ja nicht erfolgreich gewesenen. Wenn Du das AD weiter nutzt, bleiben hohe Risiken.
Oder hattest Du vor, das AD mittels adsiedit manuell zu überprüfen? Hat das überhaupt schon jemals jemand gemacht? Wenn überhaupt, dann ein Forensiker mit viel Zeit.
Grüße
lcer
Zitat von @dbox3
ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.
ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.
gerade das Active Directory ist ja das Problem. Die dort zugewiesenen Berechtigungen und Identitäten wurden ja komprimiert, sonst wäre der Angriff ja nicht erfolgreich gewesenen. Wenn Du das AD weiter nutzt, bleiben hohe Risiken.
Oder hattest Du vor, das AD mittels adsiedit manuell zu überprüfen? Hat das überhaupt schon jemals jemand gemacht? Wenn überhaupt, dann ein Forensiker mit viel Zeit.
Grüße
lcer
Moin...
gerade das Active Directory ist ja das Problem. Die dort zugewiesenen Berechtigungen und Identitäten wurden ja komprimiert, sonst wäre der Angriff ja nicht erfolgreich gewesenen. Wenn Du das AD weiter nutzt, bleiben hohe Risiken.
nun ja... das wissen wir nicht genau!
wir wissen ja nicht mal was in seinem netzwerk wirklich los ist, deswegen dazu was zu sagen, ist sehr schwer!
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Oder hattest Du vor, das AD mittels adsiedit manuell zu überprüfen? Hat das überhaupt schon jemals jemand gemacht? Wenn überhaupt, dann ein Forensiker mit viel Zeit.
Grüße
lcer
Frank
Zitat von @lcer00:
Hallo
tja... die frage ist ja, von was wir reden... 10 User oder Hundert User...?Hallo
Zitat von @dbox3
ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.
ich würde aber die AD irgendwie retten wollen anstatt alles neu aufzusetzen einschl. Benutzer, DNS, Rechte etc.
gerade das Active Directory ist ja das Problem. Die dort zugewiesenen Berechtigungen und Identitäten wurden ja komprimiert, sonst wäre der Angriff ja nicht erfolgreich gewesenen. Wenn Du das AD weiter nutzt, bleiben hohe Risiken.
wir wissen ja nicht mal was in seinem netzwerk wirklich los ist, deswegen dazu was zu sagen, ist sehr schwer!
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Oder hattest Du vor, das AD mittels adsiedit manuell zu überprüfen? Hat das überhaupt schon jemals jemand gemacht? Wenn überhaupt, dann ein Forensiker mit viel Zeit.
Grüße
lcer
Frank
Moin...
von was reden wir eigentlich genau? was meldet Kaspersky, und wo?
welche Kaspersky Version genau?
was ist mit deinem Exchange, läuft der sauber?
Frank
nur sind offensichtlich noch andere Rechner im System verseucht. Hinweise darauf habe ich zuletzt von der Telekom erhalten, was ich in einem meiner früheren Beiträge bereits geschildert habe. Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen. Ich würde daher das System komplett neu wiederherstellen..
von was reden wir eigentlich genau? was meldet Kaspersky, und wo?
welche Kaspersky Version genau?
was ist mit deinem Exchange, läuft der sauber?
und darauf ein Verwaltungssytem auf Basis von Oracle 11.2g
du meinst doch nicht etwa medistar?Frank
Zitat von @Vision2015:
...
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Gebe ich dir Recht, jedoch kann man bei den 7 alles nachvollziehen und klare Aussagen treffen. Was ich in diesem Fall jedoch bezweifle....
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Frank
Zitat von @148656:
das tue ich ja auch... von:Zitat von @Vision2015:
...
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Gebe ich dir Recht, jedoch kann man bei den 7 alles nachvollziehen und klare Aussagen treffen. Was ich in diesem Fall jedoch bezweifle....
klar, neumachen ist das sicherste, aber von 10 fällen, müssen 7 nicht neu installiert werden.
Im Moment läuft das ganze System gesichert durch Kaspersky einigermaßen stabil, nur hin und wieder meldet Kaspersky Funde an verschiedenen Stellen
wird keiner schlau...Frank
Frank
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Wer hätte das Mal gedacht 😉
Zitat von @Vision2015:
Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!
Frank
Zitat von @148656:
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!
Frank
Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.
Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
du bist wahnsinnig....
eine neue Medistar Server Installation ist kein problem und schnell erledigt. bist du Medistar Partner?
das System dürfte ohne Neuinstalation nicht mehr in betrieb gehen, das hätte schön längst erledigt werden müssen!
das wäre alles an einem WE Erledigt gewesen...
du machst einen großen Fehler... das ist schon grob fahrlässig! weiß dein Doc das?
sorry, da habe ich echt kein verständnis, die Praxis sollte den Betrieb einstellen, bis das geklärt ist- ihr kommt alle in Teufels küche....
ich schreibe dir das als Medistar Partner, und nicht um dich zu ärgern.....
Small Office Security von kaspersky ist nicht das was du nutzen solltest, die Select wäre angebracht!
Frank
eine neue Medistar Server Installation ist kein problem und schnell erledigt. bist du Medistar Partner?
das System dürfte ohne Neuinstalation nicht mehr in betrieb gehen, das hätte schön längst erledigt werden müssen!
das wäre alles an einem WE Erledigt gewesen...
du machst einen großen Fehler... das ist schon grob fahrlässig! weiß dein Doc das?
sorry, da habe ich echt kein verständnis, die Praxis sollte den Betrieb einstellen, bis das geklärt ist- ihr kommt alle in Teufels küche....
ich schreibe dir das als Medistar Partner, und nicht um dich zu ärgern.....
von was reden wir eigentlich genau? was meldet Kaspersky, und wo? welche Kaspersky Version genau? was ist mit deinem Exchange, läuft der sauber?
Ich habe die letzte Version von Small Office Security 21.2.16.590 Kaspersky meldete kürzlich gelöschte Dateien in den Freigaben wie z.B. md6.bin . Im Autostart fand sich run.bat. Diese beinhaltete einen powershell-Script zum herunterladen weiterer Dateien. Den Angriff im März habe ich durch veränderte DNS-Einträge (auf 8.8.8.8 und 9.9.9.9) bemerkt. Nach der Exch.-Wiederherstellung und Überprüfung mit EOMT keine Fehler mehr. Die Ausführung von PS-Scripten und powershell.exe habe ich vorsorglich gesperrt. Seitdem vorerst alles ruhig.Frank
Zitat von @148656:
Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.
Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!Zitat von @Vision2015:
Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!
Frank
Zitat von @148656:
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!
Frank
Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.
Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!
Frank
Zitat von @Vision2015:
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!
Frank
Zitat von @148656:
Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.
Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!Zitat von @Vision2015:
Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!
Frank
Zitat von @148656:
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Schöne das Wir da einer Meinung sind.
Wer hätte das Mal gedacht 😉
Gut... dann gibbet nur 2 optionen.
1. eine fachmännische expertise... mit Bewertung
2. alles Neumachen!
Frank
Eigentlich 3.
Der Experte könnte zu dem Ergebnis kommen, das Option 2 durchzuführen ist.
Es bleibt auf jeden Fall spannend 😉
@dbox3 steht ein Budget zur Verfügung?
Hier muss nicht nur Exchange "gerettet" werden.
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!
Frank
Keine Angst. Ich suche keine Kundschaft
Das der Drops schon gelutscht ist, vermute ich schon länger.
Zitat von @dbox3:
Da hast Du sicher recht. Momentan ist das komplette system isoliert und wartet nur darauf, neu installiert zu werden, was am nächsten WE auch der Fall sein wird. Deshalb auch der ganze Thread hier. Solange keine Verbindung nach Aussen vorhanden, ist das Risiko minimal. Ansonsten nehme ich mir die Vorschläge zu Herzen.
Danke.
das system hat also keine verbindung nach außen? die expertise kannst du dir schon hinter die binde stecken... wir reden von einer Praxis mit Medistar!
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!
ich will jetzt nicht von datenschutz rumjammern... aber der weitere betrieb ist nicht tragbar!
das muss neu, das muss geprüft werden!
Da hast Du sicher recht. Momentan ist das komplette system isoliert und wartet nur darauf, neu installiert zu werden, was am nächsten WE auch der Fall sein wird. Deshalb auch der ganze Thread hier. Solange keine Verbindung nach Aussen vorhanden, ist das Risiko minimal. Ansonsten nehme ich mir die Vorschläge zu Herzen.
Danke.
nun, du scheinst nur Igel Leistungen zu machen, den chipkarten werdet ihr nicht ein lesen können!
das zu isoliert!
Frank
Ähm, ich glaube du unterschätzt die prensliche Situation, in der Du und die Praxis steckt.
Zitat von @dbox3:
das system hat also keine verbindung nach außen? face-smile
nun, du scheinst nur Igel Leistungen zu machen, den chipkarten werdet ihr nicht ein lesen können!
das zu isoliert!
Man kann immer noch ohne VDSM arbeiten. Mittlerweile denke ich, das es auch besser so ist. Ich meine ohne die TI.nun, du scheinst nur Igel Leistungen zu machen, den chipkarten werdet ihr nicht ein lesen können!
das zu isoliert!
da sage ich jetzt mal nix zu....
du hast das system mitlerweile so über 3 Monate am Laufen, wir wissen beide, das kannst du nicht schönreden!
auch würde auch nicht mehr bis zum WE abwarten, sondern gleich morgen früh anfangen!
die Nacht kannst du für eine letzte Datensicherung nutzen.
wenn das mal rauskommt, hast du ein mächtiges Problem.
Frank
Zitat von @Vision2015:
Frank
Zitat von @148656:
Ähm, ich glaube du unterschätzt die prensliche Situation, in der Du und die Praxis steckt.
meine vermutung ist, er ist die Praxis....Ähm, ich glaube du unterschätzt die prensliche Situation, in der Du und die Praxis steckt.
Frank
Ahh, also ein PC-Doktor
C.C.
Moin Herr Doktor,
Welchen Berufstand meinen Sie genau?
Die Anzahl der Berufe, innerhalb der Informationstechnologie ist nicht gerade gering.
Ich habe vollstes Verständnis dafür, dass man sich in Anbetracht mancher "IT-Fachkräfte", lieber selbst um die vermeintlich leichten Tätigkeiten kümmert.
Aber kommen wir lieber zur erhofften fachlichen Meinung.
Die Rechtslage sieht vor, dass ein Vorfall innerhalb von 72h den zuständigen Behörden gemeldet wird. Da ihnen ihr Provider seit Ende März den Hinweis zukommen lässt, dass bei ihnen die Ka*ke am Dampfen ist, sollten sie umgehen 2 Aspirin schlucken und bei Fragen oder Risiken, die Datenschutzbehörde ihres Landes sowie ihren Anwalt konsultieren. Die DSGVO beschreibt in Art. 82 und 83 alle Nebenwirkungen.
Gruß
CaseClosed
Zitat von @dbox3:
Ist hier einer sauer, dass sein Berufstand nicht ausreichend respektiert wird? Ich bin es jedenfalls nicht, der die andere verhönt und schätze die fachliche Meinung sehr. Diese wollte ich hier finden, was auch teilweise geklappt hat. Dafür vielen Dank. Mehr wollte ich auch nicht.
Ist hier einer sauer, dass sein Berufstand nicht ausreichend respektiert wird? Ich bin es jedenfalls nicht, der die andere verhönt und schätze die fachliche Meinung sehr. Diese wollte ich hier finden, was auch teilweise geklappt hat. Dafür vielen Dank. Mehr wollte ich auch nicht.
Welchen Berufstand meinen Sie genau?
Die Anzahl der Berufe, innerhalb der Informationstechnologie ist nicht gerade gering.
Ich habe vollstes Verständnis dafür, dass man sich in Anbetracht mancher "IT-Fachkräfte", lieber selbst um die vermeintlich leichten Tätigkeiten kümmert.
Aber kommen wir lieber zur erhofften fachlichen Meinung.
Die Rechtslage sieht vor, dass ein Vorfall innerhalb von 72h den zuständigen Behörden gemeldet wird. Da ihnen ihr Provider seit Ende März den Hinweis zukommen lässt, dass bei ihnen die Ka*ke am Dampfen ist, sollten sie umgehen 2 Aspirin schlucken und bei Fragen oder Risiken, die Datenschutzbehörde ihres Landes sowie ihren Anwalt konsultieren. Die DSGVO beschreibt in Art. 82 und 83 alle Nebenwirkungen.
Gruß
CaseClosed
Allgemeiner Konsens: Mach alles neu, hatten wir ja schon.
Selbst bei 20 oder mehr Benutzer ist das kein riesen Aufwand, aber ein Wochenende ist etwas knapp. Ich würde sicherheitshalber eine Woche planen, sonst stehst du unter Zeitdruck und Zeitdruck verursacht Fehler. Glaub mir, das Letzte was du willst, ist einen Monat später feststellen, dass du einen Fehler gemacht hast und nochmal alles neu machen musst.
Nur Dateien z.B. aus Veeam zurücksichern ist nur ein Problem, wenn diese Dateien verseucht wären und angeklickt werden. Das sollte ggf. überprüft werden (Klassiker: Office-Dokumente mit Makros) und nur wirklich selbst gebasteltes genommen werden, ansonsten holst du dir den Müll wieder drauf.
Gaaanz grobe Checkliste:
- Alles vom Netz nehmen
- Fullbackup von allem, am besten auf ein externes Medium
- Export der Postfächer als .PST (damit hast du zumindest deine Mails noch)
- Domäne komplett neu, also 2x Domaincontroller usw.
- QNAP NAS komplett neu
- Exchange Neu + PSTs importieren
- Sondersoftware neu installieren (lassen)
- Dateien zurücksichern (und NUR Dateien. Fileservices die man als unverseucht betrachten kann, selbst erstelle PDFs oder Bilder z.B.)
Ich hoffe das hilft dir weiter.
Viel Erfolg!
Selbst bei 20 oder mehr Benutzer ist das kein riesen Aufwand, aber ein Wochenende ist etwas knapp. Ich würde sicherheitshalber eine Woche planen, sonst stehst du unter Zeitdruck und Zeitdruck verursacht Fehler. Glaub mir, das Letzte was du willst, ist einen Monat später feststellen, dass du einen Fehler gemacht hast und nochmal alles neu machen musst.
Nur Dateien z.B. aus Veeam zurücksichern ist nur ein Problem, wenn diese Dateien verseucht wären und angeklickt werden. Das sollte ggf. überprüft werden (Klassiker: Office-Dokumente mit Makros) und nur wirklich selbst gebasteltes genommen werden, ansonsten holst du dir den Müll wieder drauf.
Gaaanz grobe Checkliste:
- Alles vom Netz nehmen
- Fullbackup von allem, am besten auf ein externes Medium
- Export der Postfächer als .PST (damit hast du zumindest deine Mails noch)
- Domäne komplett neu, also 2x Domaincontroller usw.
- QNAP NAS komplett neu
- Exchange Neu + PSTs importieren
- Sondersoftware neu installieren (lassen)
- Dateien zurücksichern (und NUR Dateien. Fileservices die man als unverseucht betrachten kann, selbst erstelle PDFs oder Bilder z.B.)
Ich hoffe das hilft dir weiter.
Viel Erfolg!
Zitat von @dbox3:
Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt":
ja, aber auch nur wenn die falsche version genommen wird, und nicht die richtigen ausnahmen erstellt werden!du hast die lösung bekommen, was brauchst du noch?
und noch einmal, dein Problem wäre an einem WE erledigt gewesen, und dein System wäre sauber gewesen!
über das Problem mit der Sicherheislücke brauchen wir nicht reden, das wirft dir keiner vor- das problem, das du mehr als 3 Monate wartest, bis du tätig wirst, ist deine schuld- und ja, da ist eine Belehrung in Sachen DSVGO angebracht! auch wenn du es nicht hören möchtest! Du haftest dafür, und kein anderer.... sorry, aber den Vorwurf musst du dir gefallen lassen!
Frank
Hallo,
Das kann ich gut nachvollziehen, ist bei uns oft ähnlich gewesen. Mann muss nur gut unterscheiden worum es geht. Rummurksen seitens der Praxissoftwarehersteller & deren Vertriebspartner erzeugt häufig Risiken in der IT oder schlechte Workflows. Hier aber ist das Kind schon in den Brunnen gefallen. Da ist halt ein Notfall-Stop angezeigt. Und wenn keine Expertise zum Säubern des Systems vorhanden ist, heißt das eben - Komplettes Neuaufsetzen. Diese Entscheidung muss der Praxisinhaber dann halt treffen (man sollte meinen, dass diese Art von schmerzhafter aber notwendiger Entscheidung einem Mediziner geläufig sein sollte.).
Thema DSGVO: Euch ist bewusst, dass im Falle eines (wahrscheinlichen) Datenabflusses jede betroffene Person informiert werden muss? Also ein Brief für jeden Patientendatensatz? Schon das wäre für mich ein Grund, eine Fachfirma zu beauftragen, den Vorfall zu analysieren. Vielleicht kann man ja eingrenzen, was passiert ist und ein Datenabfluss wird als Ergebnis der Analyse für unwahrscheinlich angesehen?
Grüße
lcer
Zitat von @dbox3:
Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
Wer sich seit über 15 Jahren mit Medistar herumschlagen musste wie ich, sammelt einige Erfahrungen mit der IT. Die letzte Problemlösung durch unseren Betreuer, die mir spontan auffällt, hat > 1 Jahr gedauert. Auch manche Lösungen, jetzt rückwirkend betrachtet, waren nicht von der feinsten Art: Firewall dauerhaft abschalten, Freigabe von Ordner und ganzer Laufwerke mit Vollzugriff für Jeden, Standardpasswörter für Oracle-Admin und Benutzer um nur einige davon zu nennen. "... ach Kaspersky macht bei Medistar häufig Probleme, dass ist bekannt": dauerhaft abgeschaltet, Hauptsache es funktioniert. In der DSVGO stehen sicher viele Dinge drin, die in der Praxis mit drastischen Konsequenzen geandet werden können, dass ist selbst mir bekannt. Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
Das kann ich gut nachvollziehen, ist bei uns oft ähnlich gewesen. Mann muss nur gut unterscheiden worum es geht. Rummurksen seitens der Praxissoftwarehersteller & deren Vertriebspartner erzeugt häufig Risiken in der IT oder schlechte Workflows. Hier aber ist das Kind schon in den Brunnen gefallen. Da ist halt ein Notfall-Stop angezeigt. Und wenn keine Expertise zum Säubern des Systems vorhanden ist, heißt das eben - Komplettes Neuaufsetzen. Diese Entscheidung muss der Praxisinhaber dann halt treffen (man sollte meinen, dass diese Art von schmerzhafter aber notwendiger Entscheidung einem Mediziner geläufig sein sollte.).
Ich suche hier jedoch nach Lösungen und nicht nach Belehrung in Sachen DSVGO (nichts für ungut).
Und wir wollen hier helfen. Leider ist die Frage nicht immer identisch mit dem Problem.Thema DSGVO: Euch ist bewusst, dass im Falle eines (wahrscheinlichen) Datenabflusses jede betroffene Person informiert werden muss? Also ein Brief für jeden Patientendatensatz? Schon das wäre für mich ein Grund, eine Fachfirma zu beauftragen, den Vorfall zu analysieren. Vielleicht kann man ja eingrenzen, was passiert ist und ein Datenabfluss wird als Ergebnis der Analyse für unwahrscheinlich angesehen?
Grüße
lcer
und es sei noch auf folgenden Beitrag hier im Forum verwiesen ....
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSA
Grüße
lcer
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSA
Grüße
lcer
Darf man fragen, wie die aussehen wird?
wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc?
Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!
Frank
wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc?
Oh man wie peinlich 🤦♂️ danke.Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!
Und auch hier, danke ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!
Zitat von @Vision2015:
wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc?
Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!
Frank
wiso willst du wissen "wie du aussehen wird" ? suchst du nen reichen Doc?
Also für alle Neugierigen,
ich habe gestern mit dem TO Telefoniert, heute wird das Netzwerk auf links gezogen- und alles neu Installiert.
ein Dienstleister wird vor ort sein, alle Nutzdaten werden geprüft usw...
falls rückfragen sind, hat der TO meine Handy Nr, und ruft mich an...
auch hat er versprochen, beim nächstenmal sofort zu handeln, und nicht mehr solange zu warten!
Frank
Servus,
ich bin sehr neugierig was nach der Untersuchung rauskommt.
Wie wurden die Systeme befallen? Gab es Backdoors, Trojaner, Ransomware? Neue unbekannte AD Benutzer? AD Passwörter geklaut? Hat Antivierensoftware angeschlagen? Wurden Phishing Mails an alle Kunden von gehacktem Exchange verschickt?
Die Information hilft bestimmt auch anderen die Vielleicht mal in der ähnlichen Situation stecken.
MfG
Zitat von @heilgecht:
ich bin sehr neugierig was nach der Untersuchung rauskommt.
Wie wurden die Systeme befallen? Gab es Backdoors, Trojaner, Ransomware? Neue unbekannte AD Benutzer? AD Passwörter geklaut? Hat Antivierensoftware angeschlagen? Wurden Phishing Mails an alle Kunden von gehacktem Exchange verschickt?
Die Information hilft bestimmt auch anderen die Vielleicht mal in der ähnlichen Situation stecken.
nö. würde es nicht. Was böse Computerviren und Hacker so können ist bekannt und mittlerweile überall nachzulesen.ich bin sehr neugierig was nach der Untersuchung rauskommt.
Wie wurden die Systeme befallen? Gab es Backdoors, Trojaner, Ransomware? Neue unbekannte AD Benutzer? AD Passwörter geklaut? Hat Antivierensoftware angeschlagen? Wurden Phishing Mails an alle Kunden von gehacktem Exchange verschickt?
Die Information hilft bestimmt auch anderen die Vielleicht mal in der ähnlichen Situation stecken.
Interessant wären hier eher Infos, ob es spezifische Probleme bei der Wiederherstellung gab. Und wie lange das Neuaufsetzen bis zur Betriebsfähigkeit gedauert hat. Wenn jemand dieses Thread später nachliest, weil er sich in einer ähnlichen Situation befand, wäre das wohl eine hilfreich um das weitere Vorgehen zu planen.
Grüße
lcer
Zitat von @dbox3:
Moin, moin.
Direkt über SMTP.
Moin, moin.
wie hast du den vorher deine mails bekommen... smarthost? POPCON etc?
Direkt über SMTP.
im router das nötige portvorwarding auf die ip des exchange gestellt?
ok was genau prüfst du im router, hast du mit MXTollbox geprüft, und wie war genau die antwort?
Zitat von @dbox3:
Die MXTools lokal funktionieren nicht: mmc stürzt ab. Von extern ist der Server nicht erreichbar.
Die MXTools lokal funktionieren nicht: mmc stürzt ab. Von extern ist der Server nicht erreichbar.
was sagen den die logs dazu?