Как узнать, что у меня было вторжение в сеть и взлом системы?

0

У меня небольшой домашний бизнес, и внезапно моя машина не может войти в систему. У меня есть странное «Ошибка входа в систему».

Мне удалось войти с другим пользователем. Когда я вошел, на моем диске C: было удалено много файлов, а мой внешний HD был стерт. Может ли Windows сделать это самостоятельно? Кто-нибудь получил что-то подобное? У меня были проблемы с сотрудником, и мне интересно, мог ли он как-то получить и стереть данные.

windows networking Код-GIJoe
источник
Это кажется случайным или есть образец того, что ушло? Например, похоже, что файлы со всего диска были стерты, или, скорее, систематическое удаление, в результате которого последняя доступная папка была частично очищена? Вы рассматривали вирус? Проверяли ли вы обычную учетную запись пользователя, был ли изменен пароль или профиль просто испортился?
Synetech
Профиль кажется поврежденным, и у меня есть только «обычный пользователь». Я не хотел делать восстановление системы, так как я не хочу терять информацию, которая может указывать на взлом моей машины.
код-gijoe
Мне может понадобиться запустить инструмент для обнаружения открытых портов для бэкдоров, знаете ли вы?
код-gijoe
Вы сказали, что вы вошли в систему с другой учетной записью. То есть тот, с кем вы обычно входите в систему, поврежден? Как вы можете сказать? Неправильные ли обои? отличаются автозапуски? отличаются меню «Пуск» и т. д.? Какую версию Windows вы используете? Для XP я использую WWDC, чтобы проверить, защищена ли Windows или нет. Для Windows 7 обычные инструменты, такие как CurrPorts и TCPView, могут показывать вам открытые порты.
Synetech
Windows 7. C: на диске были какие-то папки, и их там больше нет. Это кажется странным, так как окна внезапно решили удалить некоторые папки, содержащие конфиденциальные данные.
код-gijoe

Ответы:

2

Абсолютно! Любой человек с достаточно высокими привилегиями учетной записи и доступом может нанести немало вреда. И они даже не должны быть там, чтобы сделать это. Так да. Похоже, ваш бывший недовольный сотрудник, возможно, сделал именно это - или вирус / червь сделал это. Маловероятно, что Windows что-то сделала, если какое-то оборудование не выходило из строя или не происходило какое-либо другое серьезное повреждение. В противном случае это не нормально.

Итак, что касается вашего бывшего сотрудника, если его учетная запись или любая другая учетная запись, которую он использовал, имели права изменять определенные файлы - которые могут включать в себя целые диски - тогда весьма вероятно, что у него мог быть полевой день. Если у него был доступ к вашей локальной сети, он мог бы сделать это и через соединение WiFi - возможно, со стоянки или где-то рядом. Но если ваша система подключена к Интернету, и даже если брандмауэры работают, он все равно мог бы сделать это практически из любой точки планеты Земля. Трудно сказать, так как я (мы) не знаем, как настроены ваши компьютеры.

Это также было бы хорошим примером того, почему вы должны менять пароли. Не только для отдельных учетных записей пользователей, но и для подключений WiFi и, возможно, даже некоторых зашифрованных файлов. Каждый раз, когда сотрудник покидает свою работу, это должна быть стандартная операционная процедура, либо до того, как он получит документы на прогулку, либо в течение нескольких минут после слов. По крайней мере, любые учетные записи пользователей, к которым у этого человека мог быть доступ, должны быть уменьшены до привилегий гостя, а затем, возможно, даже удалены.

Вы можете даже хотеть рассмотреть определенные пользовательские привилегии для любого другого также. Можно предоставить людям доступ к файлам в центральном месте, но не разрешать им изменять или удалять что-либо. Любой, имеющий такой доступ, должен был бы затем скопировать файлы на свой ПК или в свой каталог с повышенными привилегиями, чтобы иметь возможность изменять или удалять что-либо. С другой стороны, вы можете просто позволить кому-то иметь свою собственную папку в центральном местоположении, где вы - администратор - также сможете делать ночные резервные копии в другое место, к которому только у вас есть доступ (подсказка).

Опять же, как я уже сказал, это могло быть результатом вируса или червя - или даже уязвимостью безопасности из-за отсутствия обновлений. Очевидно, это было бы огромной причиной, чтобы оставаться в курсе этих раздражающих обновлений тоже. И не только обновления Microsoft - все обновления! На самом деле, сейчас есть некоторые довольно серьезные проблемы с продуктами Adobe Flash и Reader, поскольку даже Adobe сообщила о «дырах в безопасности» в обоих продуктах, «когда злонамеренному пользователю / процессам может быть разрешен доступ к системе», если продукт (ы) не обновляются. Oracles Java - это еще одна огромная вещь, которую стоит держать во главе, и по тем же причинам. На самом деле, если у вас установлена ​​какая-либо Java 6 или более ранние версии, Oracle настоятельно рекомендует вам удалить их и установить версию 7 - это НЕ автоматическое обновление, которое может произойти.

Так что не оставаться в курсе обновлений, скорее всего, виновник, если вы не сделали этого в последнее время. Я знаю, что это может быть огромным временем вампира и главной PITA для некоторых людей. Но если у вас есть локальная сеть и / или доступ к Интернету, то это в значительной степени необходимо для того, чтобы максимально обезопасить себя от подобных инцидентов (и других). Отказ от этого просто делает недовольным сотрудников (и других злоумышленников) намного проще, чем они могут вызвать хаос.

Я не знаю, поможет ли это, но, по крайней мере, у вас есть о чем подумать.

анонимное
источник