Вопросы Теги

Windows Server 2003 по сравнению с 2008 и ADAM по сравнению с AD LDS

Извините, я понятия не имею, каково это, однако, у Вас есть более важные проблемы прямо сейчас.

Сколько машин делает это? Вы разъединили их всех от сети? (и в противном случае почему нет?)

Можно ли найти доказательство каких-либо учетных записей домена поставленным под угрозу (учетные записи особенно администратора домена)

Я могу понять Вас, не желая создать Ваши рабочие столы снова, но если Вы не делаете, Вы не можете быть уверены, что уберете машины.

Первые шаги:

  • Удостоверьтесь, что сложные пароли включены на Вашем домене
  • установите политику блокировки - это вызовет Вас проблемы, если у Вас все еще будут машины сканирования, но это лучше, чем больше поставленных под угрозу учетных записей
  • Изолируйте известное устройство с неисправностями, оно пытается говорить с внешним миром? Необходимо заблокировать это через сеть в шлюзе
  • Попытайтесь изолировать все известные устройства с неисправностями.
  • Монитор для большего количества машин сканирования.
  • Вынудите всех своих пользователей изменить свой пароль, проверить все Ваши сервисные учетные записи.
  • Отключите любые учетные записи, больше не используемые.
  • Проверьте свои составы группы на серверах и DCS (Администраторы домена, Администраторы, и т.д.)

Затем необходимо выполнить некоторую судебную экспертизу на известных устройствах с неисправностями, чтобы попытаться проследить то, что произошло. После того как Вы знаете это, Вы получаете лучшую возможность знания, каков объем этого нападения. Используйте корневой набор revealer, возможно, даже отобразите жесткий диск перед уничтожением любого доказательства. Живые CD Linux с поддержкой NTFS могут быть очень полезными здесь, поскольку они должны позволить Вам находить то, что мог скрывать корневой набор.

Вещи рассмотреть:

  • У Вас есть типичный локальный администратор (слабым) паролем на всех рабочих станциях?
  • У Ваших пользователей есть права администратора?
  • Все администраторы домена используют отдельные счета на операции DA? Рассмотрите ограничения установки на эти учетные записи (например, рабочие станции, можно войти в систему).
  • Вы не даете информации о своей сети. У Вас есть какие-либо публично подвергнутые сервисы?

Править: Попытка дать больше информации является трудной, поскольку она действительно зависит от того, что Вы находите, но находиться в аналогичной ситуации несколько лет назад, действительно необходимо не доверить всему, особенно машины и учетные записи, которые Вы знаете для взлома.

0
задан 21 June 2011 в 22:06
1 ответ

См. http://msdn.microsoft.com/en-us/library/bb897400.aspx для деталей улучшений.

1
ответ дан 4 December 2019 в 22:17

Теги

Похожие вопросы