|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » ...и снова аудит. |
|
|
...и снова аудит.
|
|
Пользователь Сообщения: 95 |
Привет всем.
И снова тема об аудите. Перерыл очень много всяких форумов, но так ничего удобного и толкового не нашел. Допустим есть ситуация: Иванов, Петров и Сидоров должны по работе иметь доступ к папке \\server\share\project Есть подозрение, что кто-то из них сливает информацию на сторону. Как вычислить - КТО? (в частности отследить операцию копирования всей папки допустим) Ведь стандартный аудит отслеживает очень много событий, но не копирование. Да и очень много лишних записей как по мне он ведет: создал 1 файл в отслеживаемой папке - там у меня с десяток событий с одинаковым ID, да и запись не очень удобная для понимания: Object Open: Object Server: Security Object Type: File Object Name: D:\Audit\New Презентация Microsoft PowerPoint.ppt Handle ID: 5412 Operation ID: {0,7423490} Process ID: 4 Image File Name: Primary User Name: ZUBKOFF$ Primary Domain: TRITON Primary Logon ID: (0x0,0x3E7) Client User Name: zubkoff.s Client Domain: TRITON Client Logon ID: (0x0,0x2F43F) Accesses: READ_CONTROL SYNCHRONIZE ReadData (or ListDirectory) WriteData (or AddFile) AppendData (or AddSubdirectory or CreatePipeInstance) ReadEA WriteEA ReadAttributes WriteAttributes Privileges: - Restricted Sid Count: 0 Access Mask: 0x12019F А ведь нужно все-лишь Время-Файл-Путь-Операция: создание - ну или где-то так. Очень слабо вериться, что нет какого-то стороннего софта или оптимизированного от Майкрософта. |
|
|
Отправлено: 18:11, 10-11-2009 |
|
Старожил Сообщения: 254
|
Профиль | Отправить PM | Цитировать ScriptLogic File System Auditor.
|
|
------- Отправлено: 19:27, 10-11-2009 | #2 |
|
Пользователь Сообщения: 95
|
Профиль | Отправить PM | Цитировать Цитата MaleyDarc:
Все хорошо, но вот хоть убей не видит она копирования документов на сторонний носитель, или к себе на локальную машину. Т.е. если на файловом сервере есть файл \\server\share\1.jpg я его Открыл-Закрыл а потом скопировал на локальную машину в C:\1 то в обоих случаях ScriptLogic File System Auditor зафиксирует Read 1.jpg т.е. сложно будет доказать - просто человек просматривал этот документ, или он его в этот момент копировал себе на флеш допустим. |
|
|
Отправлено: 13:04, 12-11-2009 | #3 |
|
Дикий Сообщения: 543
|
Профиль | Отправить PM | Цитировать zubkoff.s,
Закройте флешки! Переведите всех на сервер терминалов! Используйте сторонние решения, пример DeviceLock. По аудиту я долгое время пытался настроить отслеживание подобных событий. К сожалению в решениях от МС нет подобного функционала. |
|
------- Отправлено: 12:08, 13-11-2009 | #4 |
|
Старожил Сообщения: 254
|
Профиль | Отправить PM | Цитировать События "Открытие" и "Копирование" для ОС Windows - синонимы.
Потому что происходит одна операция: чтение последовательности данных с диска. Для аудита работы пользователя на рабочей машине средство аудита должно работа на это же машине. |
|
|
------- Отправлено: 12:17, 13-11-2009 | #5 |
|
Дикий Сообщения: 543
|
Профиль | Отправить PM | Цитировать Цитата MaleyDarc:
|
|
|
------- Отправлено: 12:24, 13-11-2009 | #6 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Аудит в домене | clin | Microsoft Windows NT/2000/2003 | 1 | 16-07-2009 13:26 | |
| Аудит | clin | Microsoft Windows NT/2000/2003 | 3 | 19-06-2009 10:57 | |
| Аудит ! | Kobzar | Microsoft Windows NT/2000/2003 | 3 | 26-11-2008 12:50 | |
| Аудит событий | GreenIce | Microsoft Windows NT/2000/2003 | 0 | 14-05-2007 22:40 | |
| Снова и снова "обнаружено новое устройство" | Guest | Microsoft Windows 95/98/Me (архив) | 4 | 24-06-2003 13:58 | |
|
|
Время: 15:14. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
