[f12]

Предстоит переустановка на фирме серверной винды. Сейчас стоит WinServer 2003 на машине с ролями контроллера домена и терминального сервера.
Сегодня нас хакнули из-вне, завалив базы 1С. Базы восстановили. Теперь стоит вопрос о повышении безопастности. Думаем установить win Server 2012 на одной машине как контроллер домена, а на второй машине Win Server 2008R2 - как терминальный сервер. Будет ли корректно работать такая связка?

[nmf]

Да будет.

[XBrut]

как хакнули?

[f12]

XBrut @ Сегодня, 19:23 ,

Заархивировали папку с базами 1С и папку с бекапами, поставив архивы на пароль. Оригинальные папки удалили. За выдачу пароля требовали 19000 рублей по курсу в Биткоинах. Использовали уязвимость связанную с выполнением команды REG ADD
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

Пришлось платить. Правда знали, что может быть "кидок", но все же. После оплаты получили пароль, все восстановили

[XBrut]

а как же они смогли выполнить эту команду?

[f12]

XBrut @ Вчера, 21:47 ,

А фиг его знает. Очевидно сервак уже был заражен или одна из машин домена.

[Yspex]

f12 @ 11.06.16, 8:17 ,

Может не до конца была нормально настроена групповая политика на пользователей?

У нас по аналогии, сначала шлюз удаленных рабочих столов, после только сервер, на обоих контроллер домена и еще брендмауер с настройкой только по IP, за все существование нет ни одного взлома, все работает как самолет и часы. Будут вопросы обращайтесь, буду рад помочь.

[f12]

Yspex, Добрый день. Можна как-то с Вами связаться для консультации?