locked
contas de usuário sumiram RRS feed

  • Pergunta

  • Tenho um DC com windows 2003 que detém todas as fsmos e um dc adicional com windows 2008.

    Da noite para o dia as contas de usuário que começam com a letra A sumiram.

    alguém já teve esse problema?

    Obs. eu sei que se eu fizer um restore voltará ao normal, o que eu quero saber é por que isso aconteceu?

    não achei nda no Event Viewr.

    terça-feira, 21 de dezembro de 2010 17:48

Respostas

  • Então Marcelo, é aparentemente um ato de sabotagem, más brincando com você(nesta vez), somente deletou os usuários cujo nome começa com a letra A. Tá na hora de voce fazer tomar umas medidas bruscas na segurança da sua rede. Conversa com o gerente de TI e discute as medidas aplique o mais rápido possível antes que as bases de dados somem.

    Editar--Primeira coisa: mude a sua senha de user que é membro de domain admins, e outras senhas fortes que você tem

    Marcelo, estuda bem a sua rede e pesquise pontos de entrada; acesso físico à sua rede, monte câmeras de segurança no CPD, verifique os servidores de TS, VPN,IIS ou Apache.

    filtra os logs do firewall dáquela noite ou dia. Voce tem uma obra de Hardening para fazer.

     

    um abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    • Marcado como Resposta Marcelo Cabra terça-feira, 28 de dezembro de 2010 12:48
    segunda-feira, 27 de dezembro de 2010 03:34

Todas as Respostas

  • Cara verifique a parte do event viewer system.

    As contas não somem do nada, alguém deletou.

    Nesse item do event viewer, vai ser possível verificar se apagado os eventos ou não.


    Fernando P. S. Almeida MCP - Microsoft Certified Professional MSN: fernando_almeida85@hotmail.com
    terça-feira, 21 de dezembro de 2010 17:54
  • Marcelo Cabral,

    Conforme explicou existe apenas um DC, correto.  Caso exista mais de um DC será necessário realizar os procedimentos que o amigo Fernando P. apresentou em todos os DC.

    Conforme já citado as contas de usuários não somem sozinho, então verifique no Event View os logs de segurança do seu DC do Dominio, e procurar pelos eventos de gerenciamentos de contas de usuários ( Audit Account Management )


    William
    terça-feira, 21 de dezembro de 2010 19:20
  • Más se a auditória não estava habilitada antes que o problema acontecer, o event viewer não irá mostrar NADA. Faça uma restauração e habilite a auditoria. O outro administrador de domínio fez isso(um deles :) ), então é bom verificar quem tem acesso forte e revisar essa necessidade.

     

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    quarta-feira, 22 de dezembro de 2010 14:21
  • Não tem outro administrador.

    To achando que nao tem nada a ver com auditoria. O que acha Nassim, tem idéia de outra coisa que possa ter acontecido?

    quarta-feira, 22 de dezembro de 2010 15:33
  • Marcelo, como que voce está criando, gerenciando, e alterando as contas de usuários. Voce está usando alguma ferramenta de terceiro, Microsoft, ou um script.

    Tem uma outra pessoa membro dos grupos domain ou enterprise admins.

    Tem algum software que interage com Active Directory (que tambem precisaria permissão de gravar ou modificar ou até controle total).

     

    Eu tiraria tudo mundo do grupo domain admin e enterprise admins (exceto você) antes desse programa ou pessoa excluisse TODAS as contas de domínio.

     

    obs. eu duvido que um vírus "common" fez isso. Pode ser um "vírus" customizado para te dar problemas.

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    quarta-feira, 22 de dezembro de 2010 17:13
  • Não cara, pior que somente eu sou domain admin, não tem nenhuma aplicação de terceiro. Eu tenho o Kaspersky aqui ele não encontrou nada.

    Realmente não sei o que aconteceu, há esqueci de mencionar que os logs também sumiram.

    quinta-feira, 23 de dezembro de 2010 12:21
  • Então amigão, alguem realmente apagou e ainda limpou os logs.

     

    Eu já usei essa ferramenta para recuperar objetos apagados:

    http://technet.microsoft.com/en-us/sysinternals/bb963906

     

    Funcionou belezinha...

     

    Abraços,

     

    quinta-feira, 23 de dezembro de 2010 19:10
  • Então Marcelo, é aparentemente um ato de sabotagem, más brincando com você(nesta vez), somente deletou os usuários cujo nome começa com a letra A. Tá na hora de voce fazer tomar umas medidas bruscas na segurança da sua rede. Conversa com o gerente de TI e discute as medidas aplique o mais rápido possível antes que as bases de dados somem.

    Editar--Primeira coisa: mude a sua senha de user que é membro de domain admins, e outras senhas fortes que você tem

    Marcelo, estuda bem a sua rede e pesquise pontos de entrada; acesso físico à sua rede, monte câmeras de segurança no CPD, verifique os servidores de TS, VPN,IIS ou Apache.

    filtra os logs do firewall dáquela noite ou dia. Voce tem uma obra de Hardening para fazer.

     

    um abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    • Marcado como Resposta Marcelo Cabra terça-feira, 28 de dezembro de 2010 12:48
    segunda-feira, 27 de dezembro de 2010 03:34