Si j'ai un contrôleur de domaine Windows 2008 ou 2003 dans un bureau distant (et son propre site AD) qui est volé, quels types de mesures devrais-je prendre sur mon réseau principal ou mon domaine (le cas échéant) en réponse ?
Le VPN est basé sur l'adresse IP du réseau, donc rien ne leur permettrait d'accéder à distance au réseau principal. Je suppose qu'au minimum, je voudrais que tout le monde change ses mots de passe, mais quoi d'autre ?
Microsoft a quelques recommandations concernant ce qu'il convient de faire si un DC en lecture seule est volé. Cependant, je ne pense pas qu'ils vont assez loin. Je penche davantage vers l'approche décrite ici. Selon moi, la mesure la plus importante est de s'assurer que vous forcez immédiatement des changements de mot de passe pour tous les comptes de domaine ; cela contribuera grandement à réduire l'impact.
Comme la personne l'a dit, changez immédiatement tous les mots de passe. Utilisez également NTDSUTIL et supprimez de force toutes les traces de celui-ci de votre AD. Cela peut sembler un peu extrême, mais changer le site en question pour un sous-réseau IP différent ne serait pas une mauvaise idée non plus.
Si vous utilisez une politique de mot de passe assez standard, vos utilisateurs changent leurs mots de passe tous les 30 jours, donc cela ne devrait pas poser de problème.
Je changerais tous les mots de passe Administrateur, et comme vous l'avez déjà fait : assurez-vous que le VPN ne soit pas réinitialisé à partir d'un site malveillant.
À part ça, je ne pense pas qu'il y ait beaucoup à faire.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
