Maaf, saya tidak tahu apa ini, namun, Anda memiliki masalah yang lebih penting sekarang.
Berapa banyak mesin yang melakukan ini? Sudahkah Anda memutus semuanya dari jaringan? (dan jika tidak, mengapa tidak?)
Dapatkah Anda menemukan bukti dari setiap akun domain yang dikompromikan (terutama akun admin domain)
Saya bisa mengerti Anda tidak ingin membangun desktop lagi, tetapi kecuali Anda melakukannya, Anda tidak bisa memastikan Anda akan membersihkan mesin.
Langkah pertama:
- Pastikan kata sandi yang kompleks diaktifkan di domain Anda
- menetapkan kebijakan penguncian - ini akan menyebabkan masalah jika Anda masih memiliki mesin pemindaian tetapi ini lebih baik daripada lebih banyak akun yang dikompromikan
- Isolasi mesin yang dikenal buruk, apakah ia mencoba berbicara dengan dunia luar? Anda perlu memblokir ini di jaringan Anda di gateway Anda
- Mencoba untuk mengisolasi semua mesin buruk yang dikenal.
- Monitor untuk lebih banyak mesin pemindaian.
- Paksa semua pengguna Anda untuk mengubah kata sandi mereka, periksa semua akun layanan Anda.
- Nonaktifkan akun apa pun yang tidak lagi digunakan.
- Periksa keanggotaan grup Anda di server dan DC (Admin Domain, Administrator, dll)
Selanjutnya Anda perlu melakukan beberapa forensik pada mesin yang dikenal buruk untuk mencoba dan melacak apa yang telah terjadi. Setelah Anda mengetahui hal ini, Anda memiliki peluang lebih baik untuk mengetahui apa ruang lingkup serangan ini. Gunakan pengungkap root kit, bahkan mungkin gambar hard disk sebelum Anda menghancurkan bukti. Linux Live CD dengan dukungan NTFS bisa sangat berguna di sini, karena mereka akan memungkinkan Anda menemukan apa yang bisa disembunyikan oleh root kit.
Hal yang perlu dipertimbangkan:
- Apakah Anda memiliki kata sandi admin lokal (lemah) pada semua workstation?
- Apakah pengguna Anda memiliki hak admin?
- Apakah semua admin domain menggunakan akun terpisah untuk kegiatan DA? Pertimbangkan untuk menetapkan batasan pada akun ini (mis. Workstation yang dapat Anda masuki).
- Anda tidak memberikan info apa pun tentang jaringan Anda. Apakah Anda memiliki layanan terbuka untuk umum?
Sunting: Mencoba untuk memberikan lebih banyak info sulit, karena sangat tergantung pada apa yang Anda temukan, tetapi setelah berada dalam situasi yang sama beberapa tahun yang lalu, Anda benar-benar harus tidak mempercayai semuanya, terutama mesin dan akun yang Anda tahu akan dikompromikan.