Сервер, похоже, сильно изменился. Я не могу запустить/запустить/выполнить многие задачи, такие как диспетчер задач, резервное копирование сервера, изменение пароля командной строки и т. д.
Имена пользователей, полные имена не соответствуют их описаниям. Теперь Администратор может не быть администратором.
Я не могу включать/отключать учетные записи.
Сервер используется для атаки методом подбора паролей: DuBrute был запущен.
Я попробовал перезагрузить, произошла ошибка инициализации SAM и появился BSOD. Я смог восстановить файл SAM из старой копии.
Теперь я не могу делать много вещей. Похоже, сервер был взломан неделю назад - даты создания файлов говорят-
Я нашел несколько файлов реестра, подобных этому:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin
Могу ли я исправить этот беспорядок или мне придется восстанавливать данные из резервной копии?
решение1
Вероятно, лучше всего будет восстановиться из резервной копии, если вы можете сделать полное восстановление, включая все состояние системы. На самом деле лучше будет полностью перестроить ее как новую систему и восстановить необходимые данные. Вам действительно нужно будет выяснить, как ваша система была скомпрометирована, чтобы предотвратить повторение этого или для других систем в вашей сети.
решение2
Восстановить из резервной копии. Если это контроллер домена, вам нужно просканировать другие контроллеры домена и, возможно, захотеть принудительно сменить пароль для всех учетных записей.