|
Как узнать кто создал архив? | ||
|---|---|---|---|
|
0
pro3ri
08.12.15
✎
08:41
|
Добрый день!
40 компов. Кто-то создал архив на сетевом диске и похоже сливает инфу. Как узнать кто создал архив? https://s.mail.ru/CesNGHozw4w2/img-2015-12-08-10-41-23.png |
||
|
1
Мэс33
08.12.15
✎
08:51
|
(0) Никак, если не используются аудит папок.
|
||
|
2
mehfk
08.12.15
✎
08:55
|
(0) Терморектальный криптоанализ.
|
||
|
3
VladZ
08.12.15
✎
08:59
|
(0) Кто владелец файла?
|
||
|
4
User_Agronom
08.12.15
✎
08:59
|
(1) Удобная, надёжная и созданная профессионалами Windows не умеет логировать подключенные сеансы?
Я бы заглянул вы содержимое, определил бы данные самого "молодого" файла, уменьшив круг подозреваемых. |
||
|
5
vde69
08.12.15
✎
09:00
|
черным по белому написано "владелец: Администраторы", вот с них и спрашивайте...
а если они дебилы и дают юзерам права админов - это их проблемы |
||
|
6
User_Agronom
08.12.15
✎
09:01
|
Да и дата создания есть. Значительная часть народа курит в это время или пьёт кофе в столовке.
|
||
|
7
vde69
08.12.15
✎
09:01
|
а вообще есть дата изменения - вот по ней нужно сеять логи винды
|
||
|
8
User_Agronom
08.12.15
✎
09:03
|
(7) Так есть лог кто подключался к расшаренной папке?
|
||
|
9
vde69
08.12.15
✎
09:04
|
(8) есть лог входа на сервер, по ним для начала надо выкинуть людей кто был расконектен в это время
|
||
|
10
User_Agronom
08.12.15
✎
09:06
|
(9) Это если удаленный рабочий стол открывать или даже при подключении к расшаренной папке?
Просто интересно, на будущее |
||
|
11
Мэс33
08.12.15
✎
09:07
|
(4) Допустим - логирует, где посмотреть прикажете?
(3) Можно посмотреть метаданные файлов. А уменьшение круга подозреваемых ничего не даст. |
||
|
12
vde69
08.12.15
✎
09:07
|
Выполнена попытка входа в систему с явным указанием учетных данных.
Субъект: ИД безопасности: ** Имя учетной записи: ** Домен учетной записи: ** Код входа: 0x42f42446 GUID входа: {00000000-0000-0000-0000-000000000000} |
||
|
13
vde69
08.12.15
✎
09:08
|
(10) для файловых шар - это первое обращение к ресурсу или подключение сетевого диска
для терминалов - вход |
||
|
14
User_Agronom
08.12.15
✎
09:10
|
(13) Спс. Буду знать.
|
||
|
15
Мэс33
08.12.15
✎
09:10
|
Если аудит подключений не включен - не будет ничего. (4)
По RDP отслеживается автоматом логирование, но тут речь идет о сетевой папке. |
||
|
16
Мэс33
08.12.15
✎
09:10
|
В групповой политике включаете аудит на
Computer Configuration > Windows Settings > Security Settings > Audit policy Включаете Параметр Audit object access () Success и Failure (или что вам больше подходит) Потом свойства нужной вам папки Вкладка Security > Advanced > Audit Добавить пользователя или группу для которой включить аудит И выбираете какой доступ будет подвержен аудиту. Просмотр аудита в журнале Security |
||
|
17
vde69
08.12.15
✎
09:11
|
а вообще - это повод перейти на 1с+SQL...
|
||
|
18
Масянька
08.12.15
✎
09:14
|
Вопрос: это умные звери или тупые админы? :)
|
||
|
19
User_Agronom
08.12.15
✎
09:14
|
(17) Настроил отбор в списке, вывод списка и файл xls уволок.
|
||
|
20
Мэс33
08.12.15
✎
09:15
|
(19) Взял смартфон и сфотал.
|
||
|
21
User_Agronom
08.12.15
✎
09:17
|
(20) Как вариант.
И, вообще, где написано, что ТС использует 1С? |
||
|
22
Мэс33
08.12.15
✎
09:21
|
(21)
Или по телефону продиктовал. Скриншот сделал. Да много ли способов унести данные. |
||
|
23
vde69
08.12.15
✎
09:24
|
(19)(20) у автора база в архиве - 10 гигов, это в любом случае повод перейти на сервер.
а теперь представьте сколько нужно фоткать что-бы заснять хотя-бы 20% такой базы? ну а про вывод - его можно и запретить всем кому не нужно печатать (например операторам) |
||
|
24
Мэс33
08.12.15
✎
09:25
|
(23) >>>а теперь представьте сколько нужно фоткать что-бы заснять хотя-бы 20% такой базы?
Снять на видео )). |
||
|
25
vde69
08.12.15
✎
09:30
|
(24) ну есть у тебя видио и чего ты с ним будешь делать? как построишь АБС анализ по контрагентам?
или ты по видео будешь все вбивать в чистую базу??? стоимость такого слива стремится к нулю. |
||
|
26
Мэс33
08.12.15
✎
09:32
|
(25) Шуткуем же.
Но каждый день фотать на телефон, распознать потом в ABBYY - не вопрос вообще. |
||
|
27
vde69
08.12.15
✎
09:37
|
(26) все равно стоимость такого слива будет превышать стоимость базы...
я всегда говорил, что вопросы защиты нужно начинать с 3х определений 1. объект защиты (например база) 2. периметр защиты (например сервер, или локалка) 3. стоимость объекта за пределами периметра (сколько злодеи готовы заплатить за перемещение объекта за периметр) как только защита обеспечивает финансовые затраты злоумышленника большие чем он готов заплатить, защита может считатся эффективной. |
||
|
28
Feunoir
08.12.15
✎
09:37
|
Владелец файла группа "Администраторы", значит тот, кто создал этот файл является администратором на компе. Если это ограниченный круг лиц, то провести беседу с каждым отдельно. Если все подряд являются администраторами, то тут ТСу ничто не поможет. Так как означает, что в организации даже минимальных настроек безопасности не сделано, что уж там говорить о каких-то логах и аудите.
|
||
|
29
pro3ri
08.12.15
✎
09:44
|
нашли. Пользователь один новопринятый решил дома посмотреть что-почем. У него админские права.
|
||
|
30
pro3ri
08.12.15
✎
09:44
|
просто на экран заглянули
|
||
|
31
ДенисЧ
08.12.15
✎
09:45
|
Хм... у новопринятого админские права...
Хочу работать в ваше организации ))) |
||
|
32
vde69
08.12.15
✎
09:51
|
(31) а представь если там еще и ЗП платят!!!
|
||
|
33
User_Agronom
08.12.15
✎
10:42
|
(23) Как определил, что там 1С база?
А может там .bak выгрузузка из SQL? По данным (0) ничего сказать нельзя! |
||
|
34
AleksandrM09
08.12.15
✎
11:14
|
(29) как выявили то виновника ?
|
||
|
35
pro3ri
08.12.15
✎
11:16
|
спалили с диском сидела качала на него
|
||
|
36
Jump
08.12.15
✎
11:18
|
(0)Во вкладке безопасность посмотри владельца.
|
||
|
37
bolobol
08.12.15
✎
11:20
|
Бардак в стране... Диски пользователи подключают, сидят не в местах отсидки...
|
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|