Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   ...и снова аудит. (http://forum.oszone.net/showthread.php?t=156580)

zubkoff.s 10-11-2009 18:11 1266795
...и снова аудит.
 
Привет всем.
И снова тема об аудите.
Перерыл очень много всяких форумов, но так ничего удобного и толкового не нашел.
Допустим есть ситуация: Иванов, Петров и Сидоров должны по работе иметь доступ к папке \\server\share\project
Есть подозрение, что кто-то из них сливает информацию на сторону. Как вычислить - КТО? (в частности отследить операцию копирования всей папки допустим)
Ведь стандартный аудит отслеживает очень много событий, но не копирование. Да и очень много лишних записей как по мне он ведет: создал 1 файл в отслеживаемой папке - там у меня с десяток событий с одинаковым ID, да и запись не очень удобная для понимания:
Object Open:
Object Server: Security
Object Type: File
Object Name: D:\Audit\New Презентация Microsoft PowerPoint.ppt
Handle ID: 5412
Operation ID: {0,7423490}
Process ID: 4
Image File Name:
Primary User Name: ZUBKOFF$
Primary Domain: TRITON
Primary Logon ID: (0x0,0x3E7)
Client User Name: zubkoff.s
Client Domain: TRITON
Client Logon ID: (0x0,0x2F43F)
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Privileges: -
Restricted Sid Count: 0
Access Mask: 0x12019F

А ведь нужно все-лишь Время-Файл-Путь-Операция: создание - ну или где-то так.

Очень слабо вериться, что нет какого-то стороннего софта или оптимизированного от Майкрософта.

MaleyDarc 10-11-2009 19:27 1266885
ScriptLogic File System Auditor.

zubkoff.s 12-11-2009 13:04 1268338
Цитата:
Цитата MaleyDarc
ScriptLogic File System Auditor »
Спасибо. Вчера весь день ставил, тестировал.
Все хорошо, но вот хоть убей не видит она копирования документов на сторонний носитель, или к себе на локальную машину.

Т.е. если на файловом сервере есть файл
\\server\share\1.jpg

я его Открыл-Закрыл
а потом скопировал на локальную машину в C:\1

то в обоих случаях ScriptLogic File System Auditor зафиксирует Read 1.jpg
т.е. сложно будет доказать - просто человек просматривал этот документ, или он его в этот момент копировал себе на флеш допустим.

Bugs 13-11-2009 12:08 1269171
zubkoff.s,
Закройте флешки!
Переведите всех на сервер терминалов!
Используйте сторонние решения, пример DeviceLock.

По аудиту я долгое время пытался настроить отслеживание подобных событий. К сожалению в решениях от МС нет подобного функционала.

MaleyDarc 13-11-2009 12:17 1269178
События "Открытие" и "Копирование" для ОС Windows - синонимы.
Потому что происходит одна операция: чтение последовательности данных с диска.
Для аудита работы пользователя на рабочей машине средство аудита должно работа на это же машине.

Bugs 13-11-2009 12:24 1269186
Цитата:
Цитата MaleyDarc
Для аудита работы пользователя на рабочей машине средство аудита должно работа на это же машине. »
... но даже в этом случае Вы не увидите того что хотите!


Время: 16:01.

Время: 16:01.
© OSzone.net 2001-