如果我的远程办公室(及其自己的 AD 站点)中的 Windows 2008 或 2003 域控制器被盗,我应该对我的主网络或域(如果有的话)采取哪些措施来应对?
VPN 是根据网络的 IP 地址来控制的,因此他们无法通过任何方式远程访问主网络。我想,至少我希望每个人都更改密码,但还有什么办法呢?
答案1
微软提出了一些建议如果只读 DC 被盗该怎么办。不过,我认为他们做得还不够。我更倾向于上述方法这里。在我看来,最重要的是确保立即强制更改所有域帐户的密码;这将大大减少影响。
答案2
就像那个人说的,立即更改所有密码。还可以使用 NTDSUTIL 并强制从您的 AD 中删除它的所有痕迹。这听起来可能有点极端,但将相关站点更改为不同的 IP 子网可能也不是一个坏主意。
答案3
如果您使用的是相当标准的密码策略,那么您的用户每 30 天更改一次密码,所以这应该不是问题。
我会更改所有管理员密码,并且像您已经做的那样:确保 VPN 不会从恶意网站重新启动。
除此之外我认为没有什么可做的。