如果我在远程办公室(以及它自己的 AD 站点)中有一个 Windows 2008 或 2003 域控制器被盗,我应该对我的主网络或域(如果有的话)做些什么来响应?
VPN 与网络的 IP 地址无关,因此没有任何东西可以让他们远程访问主网络。我假设,至少,我希望每个人都更改他们的密码,但还有什么?
AskOverflow.Dev
如果我在远程办公室(以及它自己的 AD 站点)中有一个 Windows 2008 或 2003 域控制器被盗,我应该对我的主网络或域(如果有的话)做些什么来响应?
VPN 与网络的 IP 地址无关,因此没有任何东西可以让他们远程访问主网络。我假设,至少,我希望每个人都更改他们的密码,但还有什么?
如果只读 DC 被盗, Microsoft 提供了一些建议。不过,我认为他们走得还不够远。我更倾向于这里描述的方法。恕我直言,最重要的是确保您立即强制更改所有域帐户的密码;这将大大有助于减少影响。
就像那个人说的,立即更改所有密码。也使用 NTDSUTIL 并从您的 AD 中强行删除它的所有痕迹。这听起来可能有点极端,但将相关站点更改为不同的 IP 子网也可能不是一个坏主意。
如果您使用的是非常标准的密码策略,那么您的用户每 30 天更改一次密码,所以这应该不是问题。
我会更改所有管理员密码,就像您已经拥有的那样:确保 VPN 不是从恶意站点重新启动的。
除此之外,我认为没有什么可做的。