サーバーは大幅に変更されたようです。タスク マネージャー、サーバー バックアップ、コマンドライン パスワード変更などの多くのタスクを開始/実行/実行できません。
ユーザー名、フルネームが説明と一致しません。管理者が管理者ではない可能性があります。
アカウントを有効化/無効化できません。
サーバーはブルートフォース攻撃者として使用されています: DuBrute が実行されていました。
再起動を試みると、SAM 初期化エラーが発生し、BSOD が表示されました。古いコピーから SAM ファイルを回復できました。
今は多くのことができない。サーバーは1週間前にハッキングされたようだ - ファイル作成日によると -
次のようなレジストリ ファイルをいくつか見つけました。HKEY_LOCAL_MACHINE\SAM\SAM\Domains\組み込み
その混乱を解消できますか、それともバックアップから復元する必要がありますか?
答え1
すべてのシステム状態を含む完全な復元が可能な場合は、バックアップから復元するのがおそらく最善でしょう。実際には、完全に新しいシステムとして再構築し、必要なデータを復元する方がよいでしょう。同じことが再び発生したり、ネットワーク内の他のシステムで発生したりするのを防ぐには、システムがどのように侵害されたのかを突き止める必要があります。
答え2
バックアップから復元します。これがドメイン コントローラの場合は、他の DC をスキャンし、すべてのアカウントのパスワードを強制的に変更する必要があります。