|
Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Доступ - Аудит чтения\записи файлов в общем доступе |
|
|
Доступ - Аудит чтения\записи файлов в общем доступе
|
Ветеран Сообщения: 2798 |
Профиль | Отправить PM | Цитировать
Имеется пк на вин7, на нем расшаренная папка-файлопомойка (~300 гиг), с ней работают около 40 юзеров, юзеры со своей стороны имеют на рабочем столе ярлычок "сетевая папка" со ссылкой на \\server\shared внутри.
Скрытый текст
Да, я в курсе что не серверные ОСи имеют ограничение одновременных подключений, тем не менее текущего конфига хватает, расширения не придвидется, денег на лицензию серверной оси пока нет, да и вообще - вопрос не в этом.
Недавно этот пк как-то заразился вирусом, хотя он даже к монитору не подключен, кроме меня и еще одного человека никто не знает (вроде как) как достучаться до этого пк (всё делается через рдп). Сам по себе вирус вроде как безобидный, из тех которые создают ехе-шники внутри папок с такой же иконкой как папка и одноименным названием. В общем не проблема, вылечил. Но в связи с этим появился ряд вопросов: 1. Как, гипотетически, этот вирус вообще мог там оказаться? Для его инициализации, грубо говоря, кто-то же должен запустить вредоносный ехе-шник именно на самом сервере, разве нет? 2. Что сделать чтобы в будущем такого не случалось? У меня на работе стоит NAS-сервер, там есть права доступа, есть служба антивируса, все достаточно просто. Но тут понадобилось именно "решение на коленке" на пользовательской оси. Что знал - поставил (обновления самой ОС, антивирус поставил\настроил\обновил, брендмауер включил). Может что-нибудь еще надо? 3. И, самое главное, как найти виновного? Он же как минимум тоже заражен. Сам по себе аудит настроен http://i.imgur.com/fDDPEEH.png только проблема в том что журнал безопасности забивается за пару часов (135000 событий за 25 минут =\), а дальше более старые события затираются. Конечно в теории можно было бы просто увеличить размер журнала, но он будет открываться пол года и найти что-то в этой помойке - будет занятие на часов 10 и из разряда "нажал кнопку - жди час". В общем... что-нибудь более удобное есть? По сути для этой задачи нужны только события вида "%время% | %айпи% прочитал\удалил\создал %путь\файл%". |
|
Отправлено: 16:46, 26-02-2016 |
Ветеран Сообщения: 1240
|
Профиль | Отправить PM | Цитировать Цитата Charg:
Цитата Charg:
Цитата Charg:
PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию |
|||
Последний раз редактировалось Dzirt2005, 26-02-2016 в 17:27. Отправлено: 17:20, 26-02-2016 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 27449
|
Профиль | Отправить PM | Цитировать Цитата Charg:
Пользователи у Вас пользователи или администраторы? |
|
Отправлено: 17:29, 26-02-2016 | #3 |
Ветеран Сообщения: 2798
|
Профиль | Отправить PM | Цитировать Цитата Dzirt2005:
Цитата Dzirt2005:
Цитата Dzirt2005:
Цитата Iska:
А завести свой отдельный сервак не дает упрямое руководство, любые аргументы разбиваются о железное "я начальник, и я так хочу". Так что приходится ковыряться и расставлять костыли, вместо того чтобы организовать нормальную инфраструктуру =( |
||||
Последний раз редактировалось Charg, 26-02-2016 в 18:09. Отправлено: 17:50, 26-02-2016 | #4 |
Ветеран Сообщения: 2798
|
Профиль | Отправить PM | Цитировать Цитата Dzirt2005:
А вообще, событие 4663 кроме прочего мусора содержит SubjectLogonId 0x#######, может как-нибудь по нему можно определить кто это подключается? Имя пользователя мне ни о чем не скажет, нужен айпи или имя компьютера. И еще было бы неплохо как-то отличать добавление нового файла в папку от модификации уже существующего. |
||
Последний раз редактировалось Charg, 02-03-2016 в 14:17. Отправлено: 12:41, 02-03-2016 | #5 |
Ветеран Сообщения: 2798
|
Профиль | Отправить PM | Цитировать Неужели нет никаких вариантов отслеживать создание файлов? В журнале событий этого просто нет.
|
Отправлено: 12:01, 03-03-2016 | #6 |
Ветеран Сообщения: 920
|
Профиль | Отправить PM | Цитировать Цитата Charg:
|
|
Отправлено: 13:01, 03-03-2016 | #7 |
Ветеран Сообщения: 2798
|
Профиль | Отправить PM | Цитировать Цитата Quaker_75:
Конечно не исключаю что я что-то пропустил. Что делал: запустил на самом сервере, затем со своего компа создал в расзаренной папке файлик 123.ехе, затем создал фильтр path\excludes 123.exe\exclude (т.е. показывать только то, что в пути содержит искомый свежесозданный файлик). Затем отобразил все колонки с данными и вручную искал где-нибудь упоминание своего айпи либо имени пк - пусто. p.s. подумал что изначально я создавал текстовый файл а потом давал ему имя 123.ехе, может это делится на разные операции - в итоге всё повторил создавая звук "Звук Wav.wav", не меняя расширение\название - результат тот же - т.е. никакого результата. |
|
Последний раз редактировалось Charg, 03-03-2016 в 14:23. Отправлено: 14:04, 03-03-2016 | #8 |
Ветеран Сообщения: 920
|
Профиль | Отправить PM | Цитировать Цитата Charg:
Посмотрите тут - https://habrahabr.ru/post/150149/... В общем думаю, нароете что нибудь полезного себе |
|
Отправлено: 14:34, 03-03-2016 | #9 |
Ветеран Сообщения: 2798
|
Профиль | Отправить PM | Цитировать Цитата Quaker_75:
Всё что НЕ содержит 123.ехе - исключить. Ну вот для наглядности повторил - создал Точечный рисунок.bmp со своего пк, затем на сервере в аналогичный фильтр. Скрытый текст
Результат - только то что в пути содержит этот файл. Статью на забре гуглом находил, но она ничем не поможет. По всё той же причине - событие создания файла в логе не отображается. Совсем. Вот захожу я на сервер по рдп, смотрю в журнал событий. Допустим там 1000 событий. С клиентского пк пуск - выполнить - \\server\папка - создаю в ней файл, не меняя расширение\название - в логе как было 1000 событий так и есть (конечно я обновляю его по F5 после создания файла). Файл текстовый, открываю, пишу допустим 123, сохраняю - отображается событие "создание\дозапись файла". Итого операции я совершил как минимум две (создание, потом дозапись), а в логе событие всего одно - то которое дозапись. |
|
Последний раз редактировалось Charg, 03-03-2016 в 15:02. Отправлено: 14:50, 03-03-2016 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
2008 R2 - Папка Users в общем доступе на терминальном сервере. | StasStryukov | Windows Server 2008/2008 R2 | 1 | 24-02-2015 09:44 | |
Службы - Скрытые папки в общем доступе? | igggor | Microsoft Windows 8 и 8.1 | 5 | 22-07-2014 21:09 | |
Настройка WiFi в общем доступе | PERMYAK | Хочу все знать | 4 | 20-08-2013 13:29 | |
[решено] Ограничить размер папки в общем доступе. | Sharik987 | Microsoft Windows NT/2000/2003 | 0 | 28-05-2012 12:48 | |
Запрет записи файлов, на общем ресурсе | rivera | Microsoft Windows NT/2000/2003 | 2 | 16-10-2007 15:00 |
|