IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Операционные системы M$ (http://www.imho.ws/forumdisplay.php?f=2)
-   -   Аудит доступа к файлам: вопросы и ответы. (http://www.imho.ws/showthread.php?t=47655)

Zhiberya 04.01.2004 06:55

Аудит & мониторинг доступа к файлам: вопросы и ответы.
 
Есть подключение по локалке, требуется прога, которая может вести лог подключений к моему компу, кто и когда захадил на мой комп и что качал. Или подскажите, как можно это оргагизовать стандартными виндовскими(winXP) методами, если таковые есть.

Supervisor 04.01.2004 13:15

Нужно настроить аудит в ХР.

Для проведения аудита можно выбрать следующие категории событий.
Аудит событий входа в систему
Аудит управления учетными записями
Аудит доступа к службе каталогов
Аудит входа в систему
Аудит доступа к объектам
Аудит изменения политики
Аудит использования привилегий
Аудит отслеживания процессов
Аудит системных событий

Все это настроить не сложно, достаточно открыть в ХР хелп и произвести поиск по слову "аудит". Все достаточно ясно и понятно.

[smart] 04.01.2004 20:11

NetView умеет всё вышеперечисленое! Яндекс в руки и вперед!

sergch 05.10.2004 12:36

HELP! Как определить кто из пользователей домена стер файлы на сервере?
 
Hi, All
Кто-то из юзеров потер Wordовские файлы на серваке. Как их восстановить, я знаю. Но ОЧЕНЬ нужно сабж. :help:
Как это можно сделать средствами операционки (Win2K Server) или другого ПО? Жду предложений. Вопрос ОЧЕНЬ срочный. Если кто может, помогите, pls. :молись:

Borland 05.10.2004 12:49

Включи Аудит на доступ к файлам (работает только на NTFS). В eventlog'e будут записи о каждом чтении/изменении/удалении файла. С именем пользователя... ;)

sergch 05.10.2004 12:58

Ты имеешь ввиду "аудит доступа к объектам" в политике безопасности?

dr-evil 05.10.2004 13:34

да это именно он

Visionary 06.10.2004 02:14

Цитата:

Borland:
Включи Аудит на доступ к файлам
Это поможет в будущем. А сейчас определить кто виноват.. :idontnow: вроде никак.

sergch 06.10.2004 12:38

Пробовал настроить Аудит в безопасности на HTFS. Но какая-то лажа получается, вроде все настроил, а нигде информации не вижу. В каком журнале это должно быть?
А может всеже есть какой нибудь более удобный специальный софт, позволяющий, например, задавать маски файлов за которыми надо следить, имеет более гибкий и наглядный механизм настройки и отчетов?

_Mylo_ 07.10.2004 14:28

sergch
А аудит на самом объекте (объектах) включил? вкладка Безопасность - дополнительно.

sergch 07.10.2004 15:30

Сделал следующее, если что не так, поправте:
1.В локальных параметрах безопасности / Аудит доступа к объектам=успех,отказ
2. На обекте (расшареной папке): Свойства / Безопасность / Аудит / Дополнительно / Все / Удаление=успех,отказ. Наследование от родительского обекта - не отключал.

Результат - на ХР - работает, на W2K - работает, на W2K PDC - неработает. Вопрос - где настраивать аудит для расшареных на PDC ресурсах - в локальных параметрах безопасности, параметрах для контролера или для домена?

oldgoat 07.10.2004 15:38

Цитата:

sergch:
Кто-то из юзеров потер Wordовские файлы на серваке
На будущее очень рекомендую програмку "Executive Software Undelete Server", - сохраняет файлы, удаленные из расшаренных папок и, позволяет их восстанавливать, кстати, кто удалил тоже фиксирует.

sergch 07.10.2004 15:42

Логичный вопрос - где взять? Или хотябы - производитель и его www?

Billy 07.10.2004 15:50

sergch

Смотри сюда: http://www.imho.ws/showthread.php?t=42691

cow30rus 25.11.2004 17:42

Снимаем Логи с шаренной папки под 2к Сервером
 
Собственно ищиться способ как снять логи кто был на шаренной папки что делал , сколько . всё ....
Аудит не предлогать .
В наличии имеем 2к Сервер , работает как Файловый и ни чяго более

Borland 25.11.2004 20:45

Цитата:

cow30rus:
Собственно ищиться способ как снять логи кто был на шаренной папки что делал , сколько . всё ....
Аудит не предлогать .
"Ищу способ аудита. Аудит не предлагать." :biggrin:
Так не бывает...

OneHero 25.11.2004 23:07

Я думаю что твой вопрос будет иметь больше смысла - а значит и помочь тебе смогут - если ты объяснишь причины почему стандартный аудит тебе не подходит

bartolbi 26.04.2005 18:14

Всем привет. Пожалуйста посоветуйте.

Нужна программа, которая ведет лог доступа к общим ресурсам (просмотр, открытие, удаление ...).

Можно конечно воспользоваться NTFS аудитом, но очень уж не удобно
потом разбираться в журнале. Читал правда где-то про Log Parser,
но найти не удалось.

В поисковиках ничего толкового найти не удалось.

Заранее всем СПАСИБО!

Plague 26.04.2005 18:20

Попробуйте NetView http://www.killprog.com/
с включеной функцией NetWatcher

bartolbi 28.04.2005 15:31

Цитата:

Plague:
Попробуйте NetView http://www.killprog.com/
с включеной функцией NetWatcher
NetView штука очень хорошая, но немного не то.

Было бы здорово например как в Undelete Server.
Чтобы в столбцах: какой файл или папку, кто, когда, открыл, удалил ...

teddy_val 29.04.2005 23:54

Может подойдет:
KillWatcher от KillSoft
простовата, но пока ищешь свой идеал подойдет

pazdak 30.08.2005 11:37

Подскажите софт позволяющий вести аудит доступа к сет.файлам
 
Есть корпоративная сеть из 300 машин и 5 файловых серверов (4 Windows 2003 + 1 Novell Netware 6)
На машине подключены сетевые диски (net use) с разных серверов (Windows) и Netware (map, т.е. установлен Netware клиент).
Рабочие станции: W2000 и WinXP

Необходимо предоставлять еженедельный отчет по 5 пользователям из 300, какие сетевые файлы они открывали на чтение (пока интересует только открытие файлов, т.к. большинство ресурсов только на чтение).

Настраивать родной аудит Windows на всех серверах, не вижу смысла.
Короче попытка воспользоваться стандартными средствами аудита Windows не увенчалась успехом, невозможно произвести нормальный анализ лога.
Стандартными средствами при том количестве событий, которые он генерит НЕРЕАЛЬНО, вообще что либо понять.

Попытка воспользоваться GFI LANguard Security Event Log Monitor (S.E.L.M.) 5 тоже не увенчалась успехом, во-первых русские имена папок/файлов через одну корректно выводит.
Во-вторых, хочет просто получить, что
ПетровАА открывал файл: "Документы\Работа.xls" такого-то числа
и все, минимум информации, максимум полезности.

Программка EIQ SyslogAnalyzer тоже не понравилась.
Такое впечатление, что на основе встроенного аудита Windows трудно получить элементарное?

Может есть какие-нибудь программки, которые просто следят за обращениями к файлам из определенной папки и пишут это в лог. И ВСЕ???

Хотел еще пойти от рабочей станции, т.е. повесить какой-нибудь шпион, который будет следить за открытием сетевых файлов.
Испробовал: StatWin7, SpyAgent, iOpus Starr PC
Ниодна из них не умеет следить за открытием сетевых файлов. Т.е. когда пользователь открывает сетевой файл. Почему не следить за всеми открытыми файлами?

Если у кого есть идеи, как произвести вроде бы элементарный аудит с получением отчета, прошу высказать свое мнение, может на какую-нибудь мысль натолкнете!!!

P.S. Про Novell я пока молчу, т.к. там тоже дела не лучше, но первоочередная задача для Windows, но если у кого по Netware есть предложения с учетом изложенного выше, буду рад послушать.

Borland 30.08.2005 17:12

Склеиваю все темы по аудиту доступа к файлам.
http://www.imho.ws/showthread.php?t=47655

SwiMMeR 16.09.2005 09:12

Возможно это не совсем аудит ...

Вопрос: Чем можно ограничить запись файлов по маске?

Ситуация: Есть файл сервер. На нем шара. В шаре файлы (формы), которые открывает каждый на своем компе.

Проблема: Программа скидывает в шару(!) дампы в случае, если форма застрелилась. В дампах есть конфидециальная информация. Нужно запретить запись дампов в шару. Имя файла дампа соответствует определенной маске

ЗЫ: я так понял, что стандартными средствами винды это сделать нельзя. Возможно есть какой-то софт.

oia 16.09.2005 12:49

SwiMMeR
а что если на клиенских машина установить галочку на этой папке автономная папка и все файлы будут на рабочих компах а на сервере подом будет происходить синхронизация

SwiMMeR 16.09.2005 13:00

oia
Если я правильно понял, то после синхронизации файлы все равно попадут на сервер. Их там быть не должно.

oia 16.09.2005 13:14

SwiMMeR ну так можно батник создать и повесить nncron на сервак что будет проверять через н времени и убивать веременное файло

SwiMMeR 16.09.2005 13:30

oia
Пока это рассматривается как запасной вариант. Если не сможем ограничить запись этих фалов, то будем удалять через Н секунд.
Но мне кажется должна быть возможность ограничивать запись таких файлов.

oia 16.09.2005 19:00

SwiMMeR
хотя можно ограничить через квоту например файло весит 1.5 мб тля юзверя установить квоту 2 мб

someone312002 16.09.2005 20:29

...простите за транслит..
а программулина типа actualspy не может в етом быть полезна ? линка на homepage

SwiMMeR 19.09.2005 10:27

oia
так нельзя, потому что юзер формирует в эту папку большой темповый файл при печати больших документов на принтер

someone312002
Цитата:

а программулина типа actualspy не может в етом быть полезна ?
мне не может. Сюдя по описанию, этот софт только мониторит и никаких ограничений не реализовывает.

anatolik1 18.10.2005 09:52

Посоветуйте программу для простмотра подключений к компу в сети
 
Нужна программа для отслеживания подключений к компу в сети
т.е. с какого IP чего делали (удаляли, копировали) и велась база по подключениям

Ascetic 18.10.2005 10:00

Не совсем понятно за чем тебе надо следить, так что держи список, а не конкретную прогу:

Active Ports мониторинг открытых портов
FileMon мониторинг обращения к файлам
KillWatcher монитор активных сетевых соединений. Позволяет видеть кто и что у Вас качает на данный момент и в прошлом. Можно прервать любую сессию. Ведет лог соединений.

anatolik1 18.10.2005 10:17

на компе есть общая папка

мне надо следить кто чего делал в этой папке и действия эти фиксировались.

Ascetic 18.10.2005 11:20

Тогда KillWatcher тебе подойдет. Еще советую глянуть сюда:
_http://mycomputer.ua/text/3633;jsessionid=26B77D53366765DB2CF36A4BE2F23970

Здесь описываются различные программы для защиты и мониторинга информации.

Cartman 18.10.2005 15:04

Объеденяю с "Аудит доступа к файлам".

anatolik1, будь внимательнее.

Don King 01.06.2006 16:56

Цитата:

SwiMMeR:
Вопрос: Чем можно ограничить запись файлов по маске?

Ситуация: Есть файл сервер. На нем шара. В шаре файлы (формы), которые открывает каждый на своем компе.

Проблема: Программа скидывает в шару(!) дампы в случае, если форма застрелилась. В дампах есть конфидециальная информация. Нужно запретить запись дампов в шару. Имя файла дампа соответствует определенной маске
Подвожу итог:
Делаешь папку автономной.
Свою прогу запускаешь через батник.
В котором первым действием будет запустить прогу.
А вторым удалить (или перенести в нужное место) временные файлы по маске.
Тогда при синхронизации они не попадут на сервак.

Drol 12.09.2006 14:57

Цитата:

Zhiberya:
Есть подключение по локалке, требуется прога, которая может вести лог подключений к моему компу, кто и когда захадил на мой комп и что качал. Или подскажите, как можно это оргагизовать стандартными виндовскими(winXP) методами, если таковые есть.
Наверное более лучше тебе поможет вот эта программа
Actual Spy
http://www.imho.ws/showthread.php?t=98113&highlight=Actual+Spy

Rayzak 28.11.2007 10:35

Пардон если поздно, но на серваке без базара нужно держать shadow copy, тогда проблемм с востановлением не будет. А аудиты к доступу файлов - это что же за логи будут? -:че:-

Borland 28.11.2007 17:46

Цитата:

Сообщение от Rayzak (Сообщение 1489360)
к доступу файлов - это что же за логи будут

Не такие уж и страшные. И никто ведь не запрещает сливать эти логи хоть раз в полчаса в текстовый (как вариант - Excel) файл на предмет дальнейшего хранения и анализа с применением средств автоматизации (тот же Excel)...
Места такие логи всяко меньше потребуют, нежели ShadowCopy...
А к восстановлению удалённого данная тема не относится, здесь поднимается один из "вечных" вопросов КТО ВИНОВАТ.


Часовой пояс GMT +4, время: 17:21.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.