原帖由 @landice 于 2022-8-24 19:52 发表
去年10月公司中过一次招,记得是lockbit2.0,发现的早污染范围不大,最后没有交赎金,这种勒索程序为了污染速度快,写入加密字节数有时候不多,比如我们当时公司的所有sql数据库文件最后几乎都恢复回来了(99%以上),金蝶公司的人就帮忙恢复了,因为sql数据库文件是连续记录文件,只污染文件头其实大部分数据都还在,很好恢复,其他文件就不行了,本地有一个德企也是中招了,要3000万,最后没给停工2个月人工恢复的数据。
黑客一般是通过域控系统攻击企业,微软这套域控系统20多年了方案陈旧有很多漏洞,黑客发现你用域控很容易就能获取域控管理员权限,然后整个网络下加域的机器就一览无遗了。
原帖由 @apple524 于 2022-8-25 09:56 发表
加强密码,经常打系统补丁,exchange密码错误锁定账号等基础安全措施
还要就是备份,有备份就不慌了。
杀毒软件没用,我们这里溯源后发现是域账号皮角了,提权,后台会关闭杀毒软件,然后全盘加密。
IT背锅
原帖由 beterhans 于 2022-8-25 01:59 发表
posted by wap, platform: iPhone
也就是说根本没有病毒?
使用系统本身的漏洞 和本事的加密功能
原帖由 @landice 于 2022-8-25 17:11 发表
传统域控下管理员的权限太大了,一旦被接管风险非常大,你要是一直保持维护在微软最新的域服务版本,有完善的IT管理机制也没事,但现在很多公司的所谓域控,弄个几年前的winserver2012或2016版本的机器就当域控服务器了,系统还不一定更新到最新,IT人员离职了没有完善的账号回收清理机制,一旦被暗网的黑客扫到那就是gg的命,现在国内这些有固定企业IP的一个公司,你让IT调取一下主路由的日志,可以看到每天被多少不明IP扫描或者尝试暴力皮角,很多都来自一些以前独联体涉及的区域。
其实不用域也可以管理的,一般的小企业,你买一个火绒杀毒之类的企业版服务,所有终端安装企业版火绒,IT管理员在内网服务端就可以自由查看每台机器的网络设置,安装的软件,网络行为这些都没问题,没特定需求没必要上域控。
原帖由 Crazylife 于 2022-8-25 17:22 发表
posted by wap, platform: Android
讲真,ad管不好,分散的机器就能管好了?
加域后至少能通过gpo把打补丁和装杀毒软件这两个安全关卡给强制了,顺便把一堆不安全的协议给禁了,那客户端安全性比起单机已经大大提 ...
原帖由 Dogfight 于 2022-8-25 19:44 发表
搜了下,应该是这个漏洞
https://www.bilibili.com/read/cv14416499/
本次披露的CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,对企业身份认证及相关数据资产造成了严重威胁。
...
欢迎光临 TGFC Lifestyle (http://tgfcer.com/) | Powered by Discuz! 6.0.0 |