Windows 2008 R2 系统被人入侵,删除了组策略,求系统日志ID

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows 2008 R2 系统被人入侵,删除了组策略,求系统日志ID相关的知识,希望对你有一定的参考价值。

近日,我公司Windows 2008 R2 域控系统被控制,并且删除了组策略,造成大面积电脑不受域策略控制。求解,根据系统日志如何查到是谁删除的?还有能否查出来有谁添加过新策略???

求大神 解答!

参考技术A

    域服务器断网,但不重启电脑(用procexp)

    查看是否有木马或者攻击进程,获取蛛丝马迹

    查看系统日志(不过如果你没有设定好日志策略,估计也没有了),如果黑客没清空日志,你应该可以从事件查看器中看到记录

    检查你的域服务器是否有后门用户

    检查域服务器安全漏洞,找出被黑的入口,修复系统,更新安全补丁

    全盘扫描系统文件及其签名,看是否有篡改,并杀毒

    检查系统自启动程序(使用autoruns),文件关联

    域服务器这么重要的节点,你们安全性做的不够,IT部门面壁去

以上是关于Windows 2008 R2 系统被人入侵,删除了组策略,求系统日志ID的主要内容,如果未能解决你的问题,请参考以下文章

windows 2008 r2怎么彻底删除iis和配置文件

Win Server 2008 R2 怎么删除过期的备份

配置Windows 2008 R2 防火墙允许远程访问SQL Server 2008 R2

Windows Server 2008 R2回收站(命令)

windows 2008 r2,打开C盘的文件,提示拒绝访问。

windows server2012 r2能安装sqlserver2008 R2吗