Se ho un controller di dominio Windows 2008 o 2003 in un ufficio remoto (e il suo sito AD) che viene rubato, quali tipi di cose dovrei fare alla mia rete o dominio principale (se non altro) in risposta?
La VPN è esclusa dall'indirizzo IP della rete, quindi non c'è nulla che possa consentire loro di accedere in remoto alla rete primaria. Presumo, come minimo, vorrei che tutti cambiassero le loro password, ma cos'altro?
Risposte:
Microsoft ha alcuni consigli su cosa fare in caso di furto di un controller di dominio di sola lettura . Non penso che vadano abbastanza lontano, però. Mi appoggio maggiormente all'approccio descritto qui . La grande enchilada IMHO è assicurarsi di forzare immediatamente le modifiche della password per tutti gli account di dominio; ciò contribuirà notevolmente a ridurre l'impatto.
Come ha detto la persona, cambia immediatamente tutte le password. Usa anche NTDSUTIL e rimuovi forzatamente tutte le sue tracce dal tuo annuncio. Può sembrare un po 'estremo, ma cambiare il sito in questione in una sottorete IP diversa potrebbe non essere una cattiva idea.
Se stai usando una politica delle password piuttosto standard, i tuoi utenti cambiano le loro password ogni 30 giorni, quindi questo non dovrebbe essere un problema.
Modificherei tutte le password dell'amministratore, e come hai già fatto: assicurati che la VPN non venga riavviata da un sito non autorizzato.
A parte questo, non penso che ci sia molto da fare.