[Iska]

Цитата rosalin:

Ребята , в домене необходимо контролировать активность программ , какая когда с каким ключом кем была запущена.... »

Глобальная цель какова?

Цитата rosalin:

помогите довести до ума »

Что там «доводить»?

[rosalin]

Ситуация.
Бухгалтер открыла письмо на почте "Исковое заявление". Во вложении был файл Исковое.doc.exe
Он создал в папке С:/tmp несколько файлов, один из которых с названием Rar.exe заархивировал все файлы в отдельные архивы с паролем, и в каждой папке оставил текстовый файл с требованием денег за разархивацию.

Глобальная задача регистрировать лог активность программ, под каждым логином свой,
тоесть какая, с каким ключам, когда. Для чего нужно - несколько раз предотвращал архивацию с паролем рабочих файлов .doc .xls и т.д.

этот скриптик помог бы еще больше.

в нем не понятно как назначить лог именно по именам пользователей домена , сейчас пишет все в статический путь c:\MyLog.txt

[Iska]

rosalin, я Вас понял. Но тут надо запрещать открытие вложений в виде исполняемых файлов, либо ещё жёстче — вводить Software Restriction Policies.

Цитата rosalin:

в нем не понятно как назначить лог именно по именам пользователей домена , сейчас пишет все в статический путь c:\MyLog.txt »

А Вам как бы хотелось?

[rosalin]

Ну не очень понял как скрипт работает , но в идеале если это получиться написать скрипт кинуть в logon и пусть при входе юзеров, для каждого пишет действия активности в свой файлик куда нибудь в папочку подальше, файлики разбить по дате создания

PS Привел один из примеров, почему не совсем подходит рекомендация, потому как был еще случай подбора пароля по rdp и потом пытались выполнять разные команды , но что то удалось что то нет

вообщем подобный лог будет не лишний для принятия контрмер

[Iska]

Лог Вам ничем тут не поможет. Меры должны быть превентивными. Какими — я изложил выше. Подбор паролей должен пресекаться на корню той же групповой политикой — в «Политика блокировки учётной записи». «Родная» административная учётная запись «Администратор/Administrator» должна быть переименована и/или отключена.

Цитата rosalin:

кинуть в logon и пусть при входе юзеров, для каждого пишет »

Не в Logon. В Startup. Иначе будете иметь столько же одинаковых логов, сколько будет зарегистрированных в данный момент на машине учётных записей.

Пробуйте:

читать дальше »

Код:

Option Explicit

Const ForAppending = 8
Const TristateTrue = -1
Const TemporaryFolder = 2


Dim strComputer

Dim objSWbemLocator
Dim objSWbemServicesEx
Dim objSWbemEventSource
Dim objSWbemObjectEx

Dim objFSO
Dim objTS

Dim strPath

Dim strDomain
Dim strUser


strComputer = "."

Set objSWbemLocator     = WScript.CreateObject("WbemScripting.SWbemLocator")
Set objSWbemServicesEx  = objSWbemLocator.ConnectServer(strComputer, "root\cimv2")
Set objSWbemEventSource = objSWbemServicesEx.ExecNotificationQuery( _
	"SELECT * FROM __InstanceCreationEvent WITHIN 1 " & _
	"WHERE TargetInstance ISA 'Win32_Process'")

Set objFSO              = WScript.CreateObject("Scripting.FileSystemObject")

strPath = objFSO.BuildPath(objFSO.GetSpecialFolder(TemporaryFolder), "Application activity.log")

Do
	Set objSWbemObjectEx = objSWbemEventSource.NextEvent()
	
	Set objTS = objFSO.OpenTextFile(strPath, ForAppending, True, TristateTrue)
	
	With objSWbemObjectEx.TargetInstance
		If .GetOwner(strUser, strDomain) <> 0 Then
			strDomain = "Unkhown"
			strUser   = "Unkhown"
		End If
		
		objTS.WriteLine _
			Now() & vbTab & _
			.Name & vbTab & _
			.ProcessID & vbTab & _
			.ParentProcessID & vbTab & _
			.ExecutablePath & vbTab & _
			.CommandLine & vbTab & _
			strDomain & "\" & strUser
	End With
	
	objTS.Close
	
	Set objTS = Nothing
Loop

Set objFSO             = Nothing
Set collSWbemObjectSet = Nothing
Set objSWbemServicesEx = Nothing
Set objSWbemLocator    = Nothing

WScript.Quit 0

[rosalin]

Cцeнapий:
Cтpoкa: 42
Cимвoл: 3
Oшибкa: He нaйдeн
Кoд: 80041002
Иcтoчник: SWbemObjectEx

[Iska]

Код не меняли?

Запуск так:

Цитата Iska:

В Startup. »

делали или как-то иначе?

[rosalin]

Код не менял вообще , запускал простым кликом, насчет переменных домен ни где прописывать не надо ?

[Iska]

Хмм… Если ничего не меняли в коде, то ошибка вот здесь:

Код:

		If .GetOwner(strUser, strDomain) <> 0 Then

Единственный вариант, который могу предположить — процесс завершается быстрее, нежели чем отведённый для опроса интервал — т.е., менее, чем за секунду.

Давайте попробуем так:

читать дальше »

Код:

Option Explicit

Const ForAppending = 8
Const TristateTrue = -1
Const TemporaryFolder = 2


Dim strComputer

Dim objSWbemLocator
Dim objSWbemServicesEx
Dim objSWbemEventSource
Dim objSWbemObjectEx

Dim objFSO
Dim objTS

Dim strPath

Dim strDomain
Dim strUser


strComputer = "."

Set objSWbemLocator     = WScript.CreateObject("WbemScripting.SWbemLocator")
Set objSWbemServicesEx  = objSWbemLocator.ConnectServer(strComputer, "root\cimv2")
Set objSWbemEventSource = objSWbemServicesEx.ExecNotificationQuery( _
	"SELECT * FROM __InstanceCreationEvent WITHIN 1 " & _
	"WHERE TargetInstance ISA 'Win32_Process'")

Set objFSO              = WScript.CreateObject("Scripting.FileSystemObject")

strPath = objFSO.BuildPath(objFSO.GetSpecialFolder(TemporaryFolder), "Application activity.log")

Do
	Set objSWbemObjectEx = objSWbemEventSource.NextEvent()
	
	Set objTS = objFSO.OpenTextFile(strPath, ForAppending, True, TristateTrue)
	
	With objSWbemObjectEx.TargetInstance
		On Error Resume Next
		If .GetOwner(strUser, strDomain) <> 0 Then
			If Err.Number <> 0 Then
				Err.Clear
				On Error Goto 0
				strDomain = "Unkhown"
				strUser   = "Unkhown"
			Else
				On Error Goto 0
			End If
		End If
		
		objTS.WriteLine _
			Now() & vbTab & _
			.Name & vbTab & _
			.ProcessID & vbTab & _
			.ParentProcessID & vbTab & _
			.ExecutablePath & vbTab & _
			.CommandLine & vbTab & _
			strDomain & "\" & strUser
	End With
	
	objTS.Close
	
	Set objTS = Nothing
Loop

Set objFSO             = Nothing
Set collSWbemObjectSet = Nothing
Set objSWbemServicesEx = Nothing
Set objSWbemLocator    = Nothing

WScript.Quit 0