Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Чт Май 12 2005 00:50 Заголовок сообщения: Помогите настроить аудит в Win2000 Pro |
|
|
Взываю прежде в сего к профессиональным сисадминам.
Как настроить аудит доступа к моим шаровым папкам в локальной сети ?
Гость включен.
Все настройки стандартные(т.е. ничего не настраивалось и не менялось нигде).
Пробовал такое:
1. Локальная политика безопасности - локальные политики - политика аудита
Здесь включаю аудит(успех,отказ) на доступ к обьектам.
2. Моя папка - свойства - безопасность - дополнительно - аудит - добавить
Здесь так и хочется раскрыть вкладку "Искать в" и назначить аудит
для некоторых компьютеров в сети. Но этого почему-то зделать нельзя.
Включаю аудит для "всех".
После этого в логе "безопасность" появляються события указывающие на открытие моих
расшаренных папок в сети. Указываються даже имена файлов и действия с ними. Все вобщем
как надо. Но есть одно но. Имя "гость" юзера который шарился у меня мало о чем говорит.
И тут сразу приходит на ум та самая вкладка "искать в".Как же грамотно настроить аудит ?
Перерыл пол НЕТа но не нашео ничего...Или может вообще нельзя сделать так чтобы имя компа
отображалось в логе ? Самостоятельные поиски ни к чему не привели...доигрался был до
того что сам себе случайно запретил вход в систему в групповых политиках.Смешно.Досадно.
Стоит система Windows 2000 Professional SP4.Локалка где-то на 25-30 машин, без доменов
вроде... |
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Чт Май 12 2005 12:34 Заголовок сообщения: |
|
|
Попробуй отключить Гостя и посмотри чё напишет. _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Чт Май 12 2005 14:00 Заголовок сообщения: |
|
|
Пробовал. У меня есть второй комп дома в этой же сети. Пробовал с него зайти на расшаренный ресурс. Пишет что нет доступа... |
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Чт Май 12 2005 14:00 Заголовок сообщения: |
|
|
А пользователя ты для себя на том компе завел? _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Чт Май 12 2005 14:05 Заголовок сообщения: |
|
|
Да, а как же ? Всегда логинюсь администратором. Оба компа в одной и той же рабочей группе. |
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Чт Май 12 2005 14:36 Заголовок сообщения: |
|
|
Аннет, администратором не всегда можно залогинится на машину, на которой уже выполнен вход администратора. Вобщем это мелочи. Создай обычного юзера и разреши ему шарить по тому компу. Потом посмотри чего в логах. _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Чт Май 12 2005 16:22 Заголовок сообщения: |
|
|
Кажется мы слегка отклонились от темы.
Проблема не в доступе к шаровым ресурсам. Проблема в ОПРЕДЕЛЕНИИ того кто там был по имени машины в системном логе.
После установки Windows предлагается два варианта входа в систему:
1. С одним и тем же именем всегда с правами администратора(у меня)
2. Создать отдельную учетную запись для себя а админом логиниться
по мере необходимости.
Но все это не относиться к тому что я прошу. Еще раз повторюсь проблема не в доступе, а в том КАК ЗАСЕЧЬ ТОГО КТО ТАМ БЫЛ И ЗАПИСАТЬ ЭТО В ЛОГ. |
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Пт Май 13 2005 20:15 Заголовок сообщения: |
|
|
Ну блин, я и говорю, отключи Гостя, заведи для каждого из подключаюшихся своего пользователя и смотри кто логинится. Всё!
В чем проблема-то я не пойму? _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Сб Май 14 2005 12:42 Заголовок сообщения: |
|
|
adminis писал(а): |
Гость включен.
|
Цитата: | КАК ЗАСЕЧЬ ТОГО КТО ТАМ БЫЛ И ЗАПИСАТЬ ЭТО В ЛОГ. |
Или одно или другое. Об этом отвечающие в топике и говорят. Запросы на авторизацию, вызывающие записи аудита в security логе, происходят от имени пользователя, а не компьютера. Если удаленные пользователи авторизуются как локальный гость для доступа к шарам (по дефолту в XP), ничего кроме гостя ты в логах не получишь.
Хотя, не помню точно все поля в аудит логе, но разве там не записывается IP или имя машины, с которой пришел запрос? |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Вс Май 15 2005 14:08 Заголовок сообщения: |
|
|
Нет, к сожалению не отображается.
Как же можно тем или иным путем это сделать ?
Ты вроде как разбираешься, я же не очень... |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Вс Май 15 2005 14:15 Заголовок сообщения: |
|
|
XperT писал(а): | заведи для каждого из подключаюшихся своего пользователя и смотри кто логинится. |
Все дело в том что заводить можно только локальных пользователей.
У меня возникала такая мысль. При создании нового пользователя нужно указать к какой группе он пренадлежит. А список групп берется только с моей машины (все тоже поле "Искать в" не раскрывается). Нельзя например включить в группу "гости" имя удаленного компа или юзера. Все это было неоднократно проверено. Естественно что с аудитом пользователей на моей машине не возникло бы никаких проблем. Но как засеч удаленного ?
Вот вопрос. |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Вс Май 15 2005 15:13 Заголовок сообщения: |
|
|
Господа, так как же все-таки можно решить проблему ?
Желательно средствами винды шоб в дебри не лезть...
P.S. А ведь проблема интересна и не только мне пригодиться ! |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Пн Май 16 2005 19:30 Заголовок сообщения: |
|
|
|
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Вт Май 17 2005 15:03 Заголовок сообщения: |
|
|
Ну вот как ты думаешь, ты можешь создать "удаленного пользователя" ? НЕТ, не можешь. Пользователи, когда логинятся на твою машину пишут логин и пароль , который прописан на твоей машине, а не на юзерской (никогда не задумывался?). Поэтому когда пользователь залогинится, то он будет "локальным", и в логах у тебя будет отображаться именно "локальный" пользователь. Что лень прописать пользователей у себя на компе и раздать логины пароли юзерам??? А когда ты гостя оставляешь, то нихрена в логах не увидишь, потому как системе похрену с какого ИП пришел этот гость, если он гость.
З.Ы. Незванный гость-что в горле кость. _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Вт Май 17 2005 22:31 Заголовок сообщения: |
|
|
XperT, ты, очевидно, совсем не понял о чем речь.
Вот как раз именно тебе и лень было дочитать мои сообщения форуме.
На компе работаю только я один и мне нет интереса заводить на нем локальных юзеров непонятно зачем(и раздавать пароли ! ). Мне нужно засечь удаленных юзеров из других компов и все это записать в лог.
P.S. Если хочешь помочь то предлагай конструктив а не критикуй людей возможно опытнее тебя
P.P.S. А я и некогда и не говорил что можно создать удаленного пользователя, я пробовал имена других машин включить в группу гости и увидел что этого сделать нельзя. |
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Ср Май 18 2005 12:23 Заголовок сообщения: |
|
|
Извини, если обидел ... Но. Я так понимаю, что ты хочешь, чтобы в логах аудита у тебя были имена машин(ИП), с которых к тебе заходили так? Я надеюсь ты понимаешь разницу м/у именем машины и именем пользователя. НУ так вот, аудит для пользователей, и там будут ИМЕНА пользователей, а не МАС/IP/NetBIOS или чего другое машин на которых они сидели. Поэтому, если ты хочешь пользовать этот чертов аудит, то тебе придется делать нафиг ненужных пользователей. Если ты хочешь видить ИП логинившихся и сопоставлять им имена машин, то это другая песня.
Может быть если ты объяснишь для какой сети ты это все морочишь, то я тебе предложу более коструктивное решение. _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Ср Май 18 2005 15:04 Заголовок сообщения: |
|
|
XperT писал(а): | Извини, если обидел |
Да ничего, просто я, как и любой другой человек, не люблю когда меня называют лентяем или упрекают за неосведомленность.
Все мы учимся !
XperT писал(а): | Я так понимаю, что ты хочешь, чтобы в логах аудита у тебя были имена машин(ИП), с которых к тебе заходили так? |
Да, можно имена машин.
XperT писал(а): | Я надеюсь ты понимаешь разницу м/у именем машины и именем пользователя. |
Конечно понимаю, машина идентифицируется по IP адресу а пользователей на ней может быть много.
XperT писал(а): | НУ так вот, аудит для пользователей, и там будут ИМЕНА пользователей, а не МАС/IP/NetBIOS или чего другое машин на которых они сидели. Поэтому, если ты хочешь пользовать этот чертов аудит, то тебе придется делать нафиг ненужных пользователей. |
Я включал аудит на доступ к обьектам в групповых политиках и также аудит для ВСЕХ на все виды доступа(успех,отказ). Но ничего кроме гостя в логе не получил. Я немного не понял каких ты пользователей предлагаешь делать ? Разьясни по подробней. В какие группы их включать и.т.д.
XperT писал(а): | Если ты хочешь видить ИП логинившихся и сопоставлять им имена машин, то это другая песня. |
Если знаешь как так зделать, то подскажи. Может будет проще.
Мне нет значения что видеть IP,имя компа или имя пользователя, но имя "гость" меня не устраивает.
XperT писал(а): | Может быть если ты объяснишь для какой сети ты это все морочишь, то я тебе предложу более коструктивное решение. |
Я вобще-то обучаюсь администрированию Windows. Имея локальную сеть не хочу упустить возможность изучить все. Возможно моя работа будет связана именно с администрированием локальных сетей, пока не знаю... |
|
Вернуться к началу |
|
|
XperT
Зарегистрирован: 22.04.2005 Сообщения: 238 Откуда: Москва
|
Добавлено: Чт Май 19 2005 19:14 Заголовок сообщения: |
|
|
Цитата: | Я включал аудит на доступ к обьектам в групповых политиках и также аудит для ВСЕХ на все виды доступа(успех,отказ). Но ничего кроме гостя в логе не получил. Я немного не понял каких ты пользователей предлагаешь делать ? Разьясни по подробней. В какие группы их включать и.т.д. |
Я предлагаю тебе ДВА варианта:
1. Для всех компьютеров твоей сети завести на своем соответствующих пользователей, типа 192.168.1.2 там Иван Иваныч, делашь у себя в группе "Пользователи" учетную запись "Иван Иваныч" и т.д. Можешь повесить пароли для каждого, если хочешь, потом сообщаешь пользователям о том как теперь "заходить на сервер". Врубаешь аудит и видишь что к тебе логинился Иван Иваныч.
2. Если 1-ый вариант неосуществим, то поставь файрвол, он тебе в логах все скажет об IP логинившихся. Потом в сетевом окружении ч/з поиск находишь машину по IP и смотришь кто это.
Вот что пришло в голову. Думаю ещё можно порыться в сети и найти програмульку, которая выдавала бы тебе логинившихся с потрохами. Есть ли что-то подобное в Винде честно говоря - не знаю. _________________ Век живи, век учись, блин |
|
Вернуться к началу |
|
|
adminis
Зарегистрирован: 12.05.2005 Сообщения: 19
|
Добавлено: Пт Май 20 2005 19:19 Заголовок сообщения: |
|
|
XperT писал(а): | Для всех компьютеров твоей сети завести на своем соответствующих пользователей, типа 192.168.1.2 там Иван Иваныч, делашь у себя в группе "Пользователи" учетную запись "Иван Иваныч" и т.д. Можешь повесить пароли для каждого, если хочешь, потом сообщаешь пользователям о том как теперь "заходить на сервер". Врубаешь аудит и видишь что к тебе логинился Иван Иваныч. |
При создании новой учетной записи не важно в какой группе, нельзя сопоставить имени записи IP адрес. Есть такое поле "описание" но оно предназначено для ввода краткого коментария а не IP адреса...Всегда в логе гость что я уже в который раз тверджу.
XperT писал(а): | Если 1-ый вариант неосуществим, то поставь файрвол, он тебе в логах все скажет об IP логинившихся. Потом в сетевом окружении ч/з поиск находишь машину по IP и смотришь кто это. |
Файрвол стоит ото дня рождения...но реально понять кто логинился среди нескольких сот тонн записей нереально...к тому же эти записи не дают исчерпывающей инфы про доступ к обьектам. И в третьих трудно найти файрвол который бы не конфликтовал с антивирусом. (ну конечно KAV не висит в автозагрузке)
XperT писал(а): | Вот что пришло в голову. Думаю ещё можно порыться в сети и найти програмульку, которая выдавала бы тебе логинившихся с потрохами. Есть ли что-то подобное в Винде честно говоря - не знаю. |
Хотелось бы средствами винды решить проблему профессионально... но наверное придется прибегнуть к крайним мерам. Я ваще не gosu в этих вопросах но пока выхода не вижу...
P.S. Так что вопрос пока открыт господа
P.P.S. Может вломиться какой-то профессионал на форум и решит
проблему...буду надеятся |
|
Вернуться к началу |
|
|
|