controllo antimalware su tutti utenti connessi al server mediante terminal server

[evl]

Ciao a tutti,

in azienda abbiamo un server con windows servr 2008.

Mediante terminal server, ogni utente accede al proprio account sul server per utilizzare il gestionale e gestire la posta.
Ho il sospetto che uno degli utenti sia infettato da malware.
Se effettuo una scansione nel server con programmi come superantispyware, spybot etc. da account amministratore, controllo tutto il server o sarebbe meglio effettuare il controllo mediante ogni singolo account?

Grazie e spero di essere stato chiaro

[OoZic]

il tuo sospetto da dove nasce?

[evl]

il sospetto nasce dal fatto che arrivano nella casella email di un utente messaggi di mancato invio di email (che ovviamente non ha mai inviato) oltre a essere bombardato da spam (temo percio' sia uno zombie anche perchè google mi segnala traffico anomalo).
Purtroppo almeno questo utente tende a cliccare un po' ovunque... però volevo verificare che anche tutti gli altri utenti sul terminal server abbiano il sistema pulito.
Per questo chiedevo se la scansione e eventuali altre misure debbano essere adottate entrando in ogni singolo account o se una scansione da amministratore nel server possa essere sufficiente.
(ben sapendo che poi dovrei verificare anche fisicamente i pc su cui fanno girare il terminal server).

[OoZic]

Quote:

Originariamente inviato da evl

(ben sapendo che poi dovrei verificare anche fisicamente i pc su cui fanno girare il terminal server).

così a naso ti direi che il punto è proprio quello

[evl]

Ma la mia domanda è:
come puo' essere infettato il pc fisico e riuscire ad inviare mail tramite il terminal server e quindi tramite un altro pc?

Comunque, caso specifico a parte, la mia domanda era anche per il fututo, nel senso che ciclicamente faccio una serie di scansioni dal terminal con account amministratore, ma mi sono sempre chiesto se facendo cosi, esamino veramente tutto il server o se è necessario loggarmi con ogni singolo account.

[OoZic]

il server è connesso a internet perchè manda mail.
il server accetta connessioni da internet per mandare le mail o soltanto dalla lan?

mi spiego meglio: c'è un smtp che gli utenti usano per inviare mail accessibile da fuori l'ufficio (internet)?

nel primo caso se i pc sono infetti ci sarà qualcuno in possesso delle password e collegandosi manda mail.

dalle poche informazioni che dai posso solo fare qualche ipotesi purtroppo.

[evl]

Dal server inviamo le email mediante windows mail (ci appoggiamo a un server di posta esterno).
Le email quindi si possono inviare online mediante una pagina web che nulla ha a che fare con il nostro server e viene utilizzata solo per eventuali interventi da parte mia o di un collega.

L'ipotesi che abbiano rubato la password non è folle e infatti su alcuni account ho già cominciato a modificarla.
Direi però che la cosa sarebbe strana in quel account di posta perchè l'utente non la conosce (l'ho memorizzata io in windows mail) ed è piuttosto robusta.

Comunque oggi pomeriggio avrò libero accesso al pc per effettuare un po' di scansioni (e ovviamente provvederò a cambiare la password).
Chissà che possa risolvere.

[OoZic]

è una situazione parecchio contorta

[evl]

Dopo le prove di sabato il pc e il server sembrano puliti.
Nonostante ciò la faccenda email continua e quindi mi rivolgo alla sezione antivirus e sicurezza.

Per quanto riguarda questa discussione non ho ancora capito se agendo sull'utente amministratore, i programmi antispyware etc. agiscono in tutto il server e quindi includendo tutti gli utenti oppure se debba ripetere le operazioni loggandomi con le credenziali di ciascun utente.

Grazie