Доступ - Аудит чтения\записи файлов в общем доступе

Dzirt2005 · Отправлено: **17:20, 26-02-2016** | #2

Цитата Charg:

1. Как, гипотетически, этот вирус вообще мог там оказаться? Для его инициализации, грубо говоря, кто-то же должен запустить вредоносный ехе-шник именно на самом сервере, разве нет? »

То, что вирус работал на компьютере пользователя, а на сервер просто складывал готовые exe-шники вы даже гипотетически не допускаете?

Цитата Charg:

2. Что сделать чтобы в будущем такого не случалось? »

Не подключать компьютер-сервер к сети.

Цитата Charg:

только проблема в том что журнал безопасности забивается за пару часов (135000 событий за 25 минут »

А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно

PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию

Iska · Отправлено: **17:29, 26-02-2016** | #3

Цитата Charg:

Недавно этот пк как-то заразился вирусом »

Как определили это?

Пользователи у Вас пользователи или администраторы?

Charg · Конфигурация компьютера

Цитата Dzirt2005:

То, что вирус работал на компьютере пользователя, а на сервер просто складывал готовые exe-шники вы даже гипотетически не допускаете? »

Об этом, честно говоря, не подумал

Цитата Dzirt2005:

Не подключать компьютер-сервер к сети. »

В чем смысл иметь файлопомойку, к которой никто не может подключиться? О.о

Цитата Dzirt2005:

А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно »

Ок, спасибо, сейчас сделаю и посмотрю как это всё выглядит в итоге.

Цитата Iska:

Пользователи у Вас пользователи или администраторы? »

Клиентские пк сами для себя кто как. Тут проблема осложняется тем что сервер 1 на 2 организации. На пк той организации, куда я могу добраться - только юзеры. У второй, к которой доступа у меня нет и не будет - без понятия, но наверняка локальные админки есть, а их местному "компьютерщику" на всё пофиг.
А завести свой отдельный сервак не дает упрямое руководство, любые аргументы разбиваются о железное "я начальник, и я так хочу". Так что приходится ковыряться и расставлять костыли, вместо того чтобы организовать нормальную инфраструктуру =(

Charg · Конфигурация компьютера

Цитата Dzirt2005:

А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно
PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию »

Fйпишника виновного они всё равно не содержат. Какие еще есть варианты, может какое-нибудь сторонее ПО?

А вообще, событие 4663 кроме прочего мусора содержит SubjectLogonId 0x#######, может как-нибудь по нему можно определить кто это подключается? Имя пользователя мне ни о чем не скажет, нужен айпи или имя компьютера.

И еще было бы неплохо как-то отличать добавление нового файла в папку от модификации уже существующего.

Charg · Конфигурация компьютера

Неужели нет никаких вариантов отслеживать создание файлов? В журнале событий этого просто нет.

Quaker_75 · Отправлено: **13:01, 03-03-2016** | #7

Цитата Charg:

Неужели нет никаких вариантов отслеживать создание файлов »

- Как вариант можно попробовать Process Monitor от Sysinternals, там можно настроить фильтр на конретно что Вам нужно...

Charg · Конфигурация компьютера

Цитата Quaker_75:

там можно настроить фильтр на конретно что Вам нужно... »

Совершенно не умею ним пользоваться, но поковырявшись минут 15 я пришел к тому же с чего и начинал - вижу имя пользователя, от которого создан файл, но мне это ни о чем не говорит. Нужно имя пк или айпи.
Конечно не исключаю что я что-то пропустил.

Что делал: запустил на самом сервере, затем со своего компа создал в расзаренной папке файлик 123.ехе, затем создал фильтр path\excludes 123.exe\exclude (т.е. показывать только то, что в пути содержит искомый свежесозданный файлик). Затем отобразил все колонки с данными и вручную искал где-нибудь упоминание своего айпи либо имени пк - пусто.
p.s. подумал что изначально я создавал текстовый файл а потом давал ему имя 123.ехе, может это делится на разные операции - в итоге всё повторил создавая звук "Звук Wav.wav", не меняя расширение\название - результат тот же - т.е. никакого результата.

Quaker_75 · Отправлено: **14:34, 03-03-2016** | #9

Цитата Charg:

path\excludes 123.exe\exclude »

- Вообще-то вы его ИСКЛЮЧИЛИ, Вам нужно - include, т.е включить....
Посмотрите тут - https://habrahabr.ru/post/150149/... В общем думаю, нароете что нибудь полезного себе

Charg · Конфигурация компьютера

Цитата Quaker_75:

- Вообще-то вы его ИСКЛЮЧИЛИ, Вам нужно - include, т.е включить.... »

Эмм, нет.
Всё что НЕ содержит 123.ехе - исключить.

Ну вот для наглядности повторил - создал Точечный рисунок.bmp со своего пк, затем на сервере в аналогичный фильтр.

Скрытый текст

Результат - только то что в пути содержит этот файл.

Статью на забре гуглом находил, но она ничем не поможет. По всё той же причине - событие создания файла в логе не отображается. Совсем.

Вот захожу я на сервер по рдп, смотрю в журнал событий. Допустим там 1000 событий. С клиентского пк пуск - выполнить - \\server\папка - создаю в ней файл, не меняя расширение\название - в логе как было 1000 событий так и есть (конечно я обновляю его по F5 после создания файла). Файл текстовый, открываю, пишу допустим 123, сохраняю - отображается событие "создание\дозапись файла". Итого операции я совершил как минимум две (создание, потом дозапись), а в логе событие всего одно - то которое дозапись.