Isolieren und Bereinigen infizierter Server

 

Letztes Änderungsdatum des Themas: 2005-04-29

Wenn interne Exchange-Server infiziert sind, können Sie folgende Maßnahmen ergreifen, um die Infektion zu beseitigen:

  1. Deaktivieren Sie den Benutzerzugriff auf Exchange.
  2. Bereinigen Sie die Messaginginfrastruktur.
    1. Fixieren Sie die Warteschlange, und heben Sie die Fixierung wieder auf.
    2. Suchen und entfernen Sie infizierte Nachrichten.

Deaktivieren des Benutzerzugriffs auf Exchange

In einigen Fällen kann es notwendig sein, die Benutzer an der Verwendung von Exchange zu hindern, während auf dem Server der Virus beseitigt wird. Wenn der Benutzerzugriff verhindert wird, trägt dies dazu bei, sicherzustellen, dass der Server virenfrei bleibt, während der Virus in Ihrer Organisation entfernt wird. Als Teil der Postfachbereinigung werden Sie wahrscheinlich ein Desinfizierungstool im Exchange-Speicher ausführen müssen. Daher muss die Bereitstellung des Speichers aufrechterhalten und dieser weiterhin ausgeführt werden. Die empfohlene Methode zum Deaktivieren des Benutzerzugriffs auf den Exchange-Computer besteht darin, die physische Verbindung zum Netzwerk durch Herausziehen des Ethernetkabels zu trennen.

Bereinigen der Messaginginfrastruktur

Nachdem Sie die Nachricht(en) mit Viren identifiziert haben, müssen Sie die Messaginginfrastruktur bereinigen oder desinfizieren. Zum Bereinigen der Messaginginfrastruktur gehört das Bereinigen der Warteschlangen, das Bereinigen der Postfächer und anschließend das Desinfizieren der Server.

Bereinigen der Warteschlangen

Der erste Schritt beim Bereinigen der Messaginginfrastruktur besteht im Bereinigen der Warteschlangen. Diese Aufgabe erfordert, dass auf jedem Server die Warteschlange fixiert wird und die infizierten Nachrichten lokalisiert und gelöscht werden. Ausführliche Informationen zur Vorgehensweise finden Sie in den folgenden Artikeln:

Bereinigen von Postfächern

Nach dem Löschen der virusinfizierten Nachrichten in den Warteschlangen müssen die Postfächer desinfiziert werden. Für diese Aufgabe verwenden Sie am besten eine Antivirussoftware von Drittanbietern. Informationen zu Antivirussoftware-Produkten, die für Exchange 2003 geeignet sind, finden Sie auf der Website „Exchange Server Partners: Antivirus“.

Wenn die von Ihnen verwendete Antivirussoftware keine Funktionen zum Löschen von Nachrichten im Exchange-Speicher enthält, müssen Sie die virusinfizierten Nachrichten mit dem Mailbox Merge Wizard (ExMerge.exe) löschen. Weitere Informationen zum Löschen virusinfizierter Nachrichten auf dem Exchange-Server mithilfe von ExMerge.exe finden Sie im Microsoft Knowledge Base-Artikel 328202, „HOW TO: Remove a Virus-Infected Message from Mailboxes by Using the ExMerge.exe Tool“.

Desinfizieren von Servern

Nachdem die virusinfizierten Nachrichten auf den Exchange-Servern gelöscht wurden, müssen zunächst die Server desinfiziert werden, bevor die Server wieder online geschaltet werden können. In diesem Zusammenhang muss zum Desinfizieren der Server ein Virenscanprogramm auf Dateiebene verwendet werden, um sicherzustellen, dass der Server selbst nicht mit dem Virus infiziert ist. Dies kann manuell erfolgen, indem Sie die Anweisungen befolgen, die Sie auf Webseiten zur Bekämpfung des betreffenden Virus finden, oder Sie führen auf Dateiebene die Antivirussoftware auf dem Exchange-Computer aus und aktualisieren deren Signaturdateien.