Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Вт Дек 11 2007 08:31 Заголовок сообщения: Круиз-контроль )) |
|
|
Достопочтенные спецы. Сабж, но опять лыжи не едут )
Небольшая сеть. Одноранг. 192.168.1.*
На сервере крутится эска. Цитрикс. Трабла такая. Който злодей лазит по расшаренным ресурсам. На некоторых машинах шара "для всех" и только доки. Вот по ним он и ходит.
Сервер 2003 R2. На всех 50-ти win2000. Установить кейлогеры на весь парк возможности нет, да и повесится потом от такой инфы можно. Ибо он может ходить по шарам с периодичностью даже раз в месяц.
Есть какое нибудь решение, что-бы после выяснения того, что доку кто-то чужой открыл и изменил, это можно было увидеть например по IP? "Зашарить" ресурсы pls не предлагать )) _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Вт Дек 11 2007 13:17 Заголовок сообщения: |
|
|
Попробую немного прояснить.
4 офиса (ветка этой сети) работают круглосуточно. т.е. 4 оператора по 4 смены на каждой машине. Для каждой машины //operator* расшарена одна ОБЩАЯ папка на машине //ок. Там только доки. Доки необходимы для работы и отдела кадров и операторам.
Пример-оператор1 заходит в конце смены в папку, открывает доку и проставляет наряд по смене. Сохраняет файл и всё. Дока без свойств совместного доступа. Как можно узнать, если оператор2 зашел в не свой! наряд, и сделал изменения? Ибо в окончательной сводке файла, при открытии непосредственно на машине //ок, естественно только дата последнего изменения без всяческой дифференцировки. _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Дек 11 2007 17:27 Заголовок сообщения: |
|
|
Включить аудит файловых операций на нужный каталог.
После этого в журнале событий воспользоваться фильтром и поискать нужное. Думаю только так, без доп. примочек.
IP ты не увидишь там, т.к. SMB работает поверх любого сетевого протокола. А вот имя юзверя, комп и время - запросто.
P.S. Не забудь размер файла журнала по-более выставить! |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Ср Дек 12 2007 13:23 Заголовок сообщения: |
|
|
Ловушка установлена. Ждёмс...
3008 спс))) _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
|