Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
2 Zadnica 31.08.01 12:00 Число просмотров: 855
Автор: Noisome Статус: Незарегистрированный пользователь
|
> вообще сначала пробуют решить проблему сами....а ты сначала
> спрашиваешь
Это не так, я вчера весь день эту проблему решал и так и не решил :-((
А под вечер уже руки опустились и я сюда полез спрашивать!
Ситуация следующая ,есть папка на серваке, нужно логгировать все что только можно ,кто и когда в нее лазил, кто пытался залезть ,для этого я включаю аудит на эту паку (ставлю ВСЕ галки на ВСЕХ полях) ,делаю доступ на папку только на одного человека,запускаю на всякий случай на серваке filemon и лезу с рядомстоящей машины через сетку в эту шару ,что я вижу : НИЧЕГО filemon не видит операций над фалами в Event Vewer'е тоже нифига (во вкладке security ПУСТО ) посему я пологаю что что-то я сделал не так :)
|
|
<software>
|
Win2k логи 30.08.01 14:22
Автор: Noisome Статус: Незарегистрированный пользователь
|
|
Народ ,подскажите пожалуйста логгируются ли в Win2k обращения к папкам или нет и если нет ,то каким образом можно включить (интересно когда на серваке один засранец залезает в папку юзера под его логином и паролем)
|
|
Запросто 30.08.01 14:55
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
в свойтсвах папки есть безопасность, там аудит.. выбираешь либо всех либо отдельного пользователся (действия которых хочешь мониторить).. лучще всех.. затем ставишь птицы напротив событий - чтение, запись, успехи или отказы.. чтоб узнать кто ходит - ставь успех на чтение, чтоб узнать кто ломает шары - ставь отказ
|
| |
Запросто 30.08.01 14:57
Автор: Noisome Статус: Незарегистрированный пользователь
|
> в свойтсвах папки есть безопасность, там аудит.. выбираешь
> либо всех либо отдельного пользователся (действия которых
> хочешь мониторить).. лучще всех.. затем ставишь птицы
> напротив событий - чтение, запись, успехи или отказы.. чтоб
> узнать кто ходит - ставь успех на чтение, чтоб узнать кто
> ломает шары - ставь отказ
гм а где потом искать логи в Envent Viewer'е ? Security ?
|
| | |
Да, а что самому попробовать влом ? 30.08.01 19:27
Автор: babay <Andrey Babkin> Статус: Elderman
|
> гм а где потом искать логи в Envent Viewer'е ? Security ?
Создай левый эккоунт, и с чужой тачки полазай на ту папку где сам себе запрет поставил....
Это будет типа test на правильность сделанного ;-)))
|
| | | |
2 Noisome 30.08.01 19:45
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
вообще сначала пробуют решить проблему сами....а ты сначала спрашиваешь
|
| | | | |
2 Zadnica 31.08.01 12:00
Автор: Noisome Статус: Незарегистрированный пользователь
|
> вообще сначала пробуют решить проблему сами....а ты сначала
> спрашиваешь
Это не так, я вчера весь день эту проблему решал и так и не решил :-((
А под вечер уже руки опустились и я сюда полез спрашивать!
Ситуация следующая ,есть папка на серваке, нужно логгировать все что только можно ,кто и когда в нее лазил, кто пытался залезть ,для этого я включаю аудит на эту паку (ставлю ВСЕ галки на ВСЕХ полях) ,делаю доступ на папку только на одного человека,запускаю на всякий случай на серваке filemon и лезу с рядомстоящей машины через сетку в эту шару ,что я вижу : НИЧЕГО filemon не видит операций над фалами в Event Vewer'е тоже нифига (во вкладке security ПУСТО ) посему я пологаю что что-то я сделал не так :)
|
| | | | | |
Аудит включен? 31.08.01 12:29
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
К примеру в НТ 4 мало поставить аудит для указанных пользователей и тип события (в свойствах папки), надо еще включить сам аудит. Это делается в диспетчере пользователей->политики->аудит (включить аудит)
|
| | | | | | |
Аудит включен? 31.08.01 13:23
Автор: Noisome Статус: Незарегистрированный пользователь
|
> К примеру в НТ 4 мало поставить аудит для указанных
> пользователей и тип события (в свойствах папки), надо еще
> включить сам аудит. Это делается в диспетчере
> пользователей->политики->аудит (включить аудит)
В Win2k я сделал этот так : mmc ->добавил Local Computer Policy-> и включил там в Computer Configuration->Windows Settings-> Local Policy->Audit Policy
все виды аудита которые были ,тем неменее ничего :-(((((
|
| | | | | | | |
Может дело в этом ? (внутри) 01.09.01 00:42
Автор: babay <Andrey Babkin> Статус: Elderman
|
> > К примеру в НТ 4 мало поставить аудит для указанных
> > пользователей и тип события (в свойствах папки), надо
> еще
> > включить сам аудит. Это делается в диспетчере
> > пользователей->политики->аудит (включить аудит)
> В Win2k я сделал этот так : mmc ->добавил Local Computer
> Policy-> и включил там в Computer
> Configuration->Windows Settings-> Local
> Policy->Audit Policy
> все виды аудита которые были ,тем неменее ничего :-(((((
если ты сделал все правильно, то на консоли будет написано след:
Console1-[Console Root\ Local Computer Policy\ Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Audit Policy ]
тогда неясно что с аудитом :-((
Но может быть и так :
Комп в домене ?
Мне кажется, что это так, а посему доменные настройки при входе в домен преобладают над локальными, так что аудит надо включить на уровне домена, иначе не выйдет.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
