Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Как определить кто заливает в расшаренную папку файлы (http://forum.oszone.net/showthread.php?t=312677)

Charg 14-03-2016 11:38 2615825
Как определить кто заливает в расшаренную папку файлы
 
В продолжение этой темы http://forum.oszone.net/thread-312058.html

Суть вопроса - есть пк под управлением Windows 7. На этом пк расшарена папка, и она работает как файлопомойка для других юзеров.
Пользователи со своей стороны имеют на рабочем столе ярлычок который ссылается на \\имяпк\папка (возможно у некоторых подключено как сетевой диск).

Несколько недель назад в этой папке начали появляться exe-шники с названием папки и иконкой папки. Короче говоря, вирус. Но, сам пк не инфицирован (проверял авз и кьюритом).

Задача - определить имя пк либо айпи адрес пк, который эти файлы заливает в папку.

Как это сделать? Встроенный в виндовс аудит записи\чтения в данном случае не помог, потому что событие создание файла в папке не регистрируется, только его воспроизведение либо модификация. И плюс ко всему этому, даже если бы и регистрировал - в событиях всё равно нет информации о том кто инициализировал создание этого файла (имя пк или айпи) - а только учетная запись (а там включен гостевой доступ, потому что со стороны клиентов есть учетные записи с одинаковым именем но разными паролями).

Может есть какой-нибудь софт, который мне поможет, или я что-то упускаю?
Либо, если вопрос решается каким-нибудь другим способом - я весь внимание :)

cameron 14-03-2016 12:49 2615862
есть File System Auditor от ScriptLogic (нынче Dell), но она очень громоздкая и я не уверена про раб.группы.
возможно поможет ProcessMOnitor с фильтром только на активность по нужной шаре?

WindowsNT 14-03-2016 17:30 2615940
Индивидуальные учётные записи нужны в том числе для аудита.
Гостевой доступ = отсутствие безопасности.

dislike 14-03-2016 17:49 2615948
Цитата:
Цитата Charg
Либо, если вопрос решается каким-нибудь другим способом - я весь внимание »
Не знай насколько это правильно/изящно, но... Я б сделал так:
На вашем ЦентральномПК создал отдельные УЗ для каждого ПК (пользователя) в сети.
На ПК в сети подключаете папку как сетевой диск - указываете её адрес в сети, выбираете пункт "подключить с использованием других учетных данных", указать логин/пароль соответствующей УЗ, созданной на вашем ПК в виде ЦентральныйПК\ЛогинНужногоПользователя, ставите галку "запомнить". Логины и пароли соответственно лучше не сообщать, чтоб юзеры не занимались самодеятельностью.

Дальше на ЦентральномПК заходите в свойства расшаренной папки, "безопасность", настраиваете разрешения для админа (себя) полный доступ, для группы "Все" - "только чтение" область применения "для этой папки, её подпапок и файлов". Это исключит появление мусора в папке. Внутри папки создаете подпапки с фамилиями нужных вам сотрудников, на каждую такую папку будут действовать разрешения родительской папки, заданные ранее, плюс задаете каждой из них "полный доступ" для УЗ того сотрудника, которому эта папка принадлежит, чтобы каждый мог полностью управлять только своей папкой и не мог ничего записывать/удалять в чужих папках. Так вы найдете источник проблемы, а может и оставите схему навсегда.

Reset5 14-03-2016 17:52 2615950
Свойства файла-безопасность-дополнительно-владелец-увидите имя пользователя.

Ну или включить на время аудит для данной папки.
https://support.microsoft.com/ru-ru/kb/310399

dislike 14-03-2016 18:39 2615966
Цитата:
Цитата Reset5
Свойства файла-безопасность-дополнительно-владелец-увидите имя пользователя. »
Думаю, как раз не увидит. При текущей схеме либо имя пользователя будет одинаковое у всех файлов (и скорее всего это будет Гость), либо будет неопознанная абракадабра вида S-1-5-21-739885483-787813350-3006741363-1002, потому что файл принадлежит УЗ удаленного компьютера, которой нет в локальной базе учетных записей на сервере. Потому и надо каждому пользователю заводить отдельную учетку локально.

Charg 14-03-2016 19:27 2615985
Цитата:
Цитата cameron
есть File System Auditor от ScriptLogic (нынче Dell), но она очень громоздкая и я не уверена про раб.группы. »
Попробую покопаться, спасибо.

Цитата:
Цитата cameron
возможно поможет ProcessMOnitor с фильтром только на активность по нужной шаре? »
Пробовал в той теме, не вариант. Имя пользователя там вытащить можно, но оно мне ни о чем не говорит. Информации об айпи или имени компьютера нет.

Цитата:
Цитата dislike
Не знай насколько это правильно/изящно, но... Я б сделал так:
На вашем ЦентральномПК создал отдельные УЗ для каждого ПК (пользователя) в сети.
На ПК в сети подключаете папку как сетевой диск - указываете её адрес в сети, выбираете пункт "подключить с использованием других учетных данных", указать логин/пароль соответствующей УЗ, созданной на вашем ПК в виде ЦентральныйПК\ЛогинНужногоПользователя, ставите галку "запомнить". Логины и пароли соответственно лучше не сообщать, чтоб юзеры не занимались самодеятельностью.
Дальше на ЦентральномПК заходите в свойства расшаренной папки, "безопасность", настраиваете разрешения для админа (себя) полный доступ, для группы "Все" - "только чтение" область применения "для этой папки, её подпапок и файлов". Это исключит появление мусора в папке. Внутри папки создаете подпапки с фамилиями нужных вам сотрудников, на каждую такую папку будут действовать разрешения родительской папки, заданные ранее, плюс задаете каждой из них "полный доступ" для УЗ того сотрудника, которому эта папка принадлежит, чтобы каждый мог полностью управлять только своей папкой и не мог ничего записывать/удалять в чужих папках. Так вы найдете источник проблемы, а может и оставите схему навсегда. »
Я бы тоже скорее всего сделал так, если бы задача была в том чтобы сделать всё с 0. Но приходится поддерживать то что уже есть.

Цитата:
Цитата Reset5
Свойства файла-безопасность-дополнительно-владелец-увидите имя пользователя.
Ну или включить на время аудит для данной папки. »
Не вариант, потому что как я уже упоминал, создание файла в событиях не регистрируется.

dislike 14-03-2016 19:34 2615987
Цитата:
Цитата Charg
Но приходится поддерживать то что уже есть. »
Не вижу оснований для этого. Переделка не такая уж долгая/сложная и весьма мало меняет функциональность общей папки для пользователей. Привыкнут быстро. Для руководства обоснование ваших действий: предотвращение вирусной эпидемии в сети, потому что рано или поздно кто-то запустит этот вирусный экзешник и как назло антивирус окажется выключен в этот момент.

Если компьютеров немного, пройдитесь пешочком и проверьте каждый на инфекцию.

Charg 14-03-2016 19:38 2615990
Цитата:
Цитата dislike
Не вижу оснований для этого. Переделка не такая уж долгая/сложная и весьма мало меняет функциональность общей папки для пользователей. Привыкнут быстро. Для руководство обоснование ваших действий: предотвращение вирусной эпидемии в сети. »
Я тоже не вижу оснований.
Но... знаком ли ты с принципом "я начальник - ты дурак"?

dislike 14-03-2016 20:43 2616019
Нет. У меня начальники нормальные и понимают, что будет полная... беда, если с компьютерами сотрудников начнутся ненужные приключения (особенно с компьютерами бухгалтерии, где лежат бухгалтерские базы и архивы документов, и с сервером, где лежат бекапы бухгалтерских архивов). Так что стараются прислушиваться.

Charg 15-03-2016 11:35 2616157
Вот пример события доступа к файлу.
Скрытый текст


Могу ли я как-то определить кто входил под учеткой гостя по SubjectLogonId?
Гугл по любым запросам настойчиво предлагает гайды с сотен сайтов о том как включить аудит (а он у меня и так очевидно включен), но не хочет объяснять что это за параметры и как их использовать =\


Время: 22:07.

Время: 22:07.
© OSzone.net 2001-