[amel27]

Цитата хadorkin:

антивирусник успевает удалять »

антивирусник на сервере?.. а разве он не ведет логи?... мы по ним и вычисляем

[хadorkin]

Так он же показывает где удалил, тоесть в этой папке, а не откуда он взялся. Да, стоит NOD 2.7, третий не могу, так как конфликты с керио идут. (

[Grub]

хadorkin, как настраивали аудит? Если вы изначально не настраивали аудит на папке, то в евентах Вы ничего не увидите. Нужно на папке ПКМ\Безопасность\Дополнительно\Аудит добавить группу(думаю, аутентифицированных пользователй хватит) и выбрать Создание файлов и создание Папок. Также можно на удаление поставить(но думаю, в Вашем случае это не надо иначе действия антивируса будут фиксироваться).

[хadorkin]

Спсибо за ответ. Да, не до конца настраивал аудит, не настраивал на папке. (если можно, параллельный вопрос - при открытии аудита на доступ к обьектам, постоянно появляються записи системных файлов - их действия. Как их скрыть? ) ПопробЫвал, но, к сожалению, не помогло. Видно, когда и какой юзер лазил, но открыт гостевой доступ, и все залазят по гостем. Тут нужен IP адрес. Вопрос остаёться открытым.

[Grub]

Цитата хadorkin:

Как их скрыть? »

попробовать настроить фильтр так, чтобы он не показывал Вам события с этим кодом.

Цитата хadorkin:

Видно, когда и какой юзер лазил, но открыт гостевой доступ, и все залазят по гостем. Тут нужен IP адрес. Вопрос остаёться открытым. »

Закрыть гостя. Гостя вообще надо было сразу закрыть. Хождение под своими учетками правильнее. Так легче вести аудит и разграничивать права. Что опять же поможет все сделать правильно и организовано.

[хadorkin]

1.Я понимаю, что настроить нада. так где? ))
2. Сеть из порядка 100 или более (кто знает) компов. На каждого создать учетку? Тем более что все привыкли лазить на открыому без паролей.. Вроде бы не слишком сложный вопрос - IP адрес пользователя, наследившего немного после себя.. а ту вот как оказываеться сложно.. ((

[Grub]

Цитата хadorkin:

1.Я понимаю, что настроить нада. так где? )) »

в фильтре в Event Viewer'e. Смотрите какой код имеет нужный вам эвент и делаете просмотр по нему. Остальное(не нужное) отсеиваете.

Цитата хadorkin:

2. Сеть из порядка 100 или более (кто знает) компов. На каждого создать учетку? Тем более что все привыкли лазить на открыому без паролей.. »

И Вы все еще в рабочей группе??? Ппц... Ну если нет планов по переводу в домен, то я решения, увы, пока не знаю... Подождем что посоветуют другие..

[ZORBI]

Цитата хadorkin:

Да, стоит NOD 2.7, третий не могу, так как конфликты с керио идут. ( »

В 3 версии в Настройках есть Защита доступа в Интернет - Веб-браузеры. В списке на Керио ставишь крестик и нод не будет блокировать Интернет. Если хочешь чтобы трафик проверялся, ствишь плагин на Керио.
У меня на работе третий NOD с керио дружат :-)

[хadorkin]

Ну вот хоть не на этот. так на другой вопрос нашел ответ. Спасибо ZORBI, заработало как нада. )) А вирусы ж все равно лезут (