Во-во, ничего хорошего и мне в голову не пришло... Есть ещё три варианта...12.04.03 05:51 Число просмотров: 1126 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 12.04.03 06:12 Количество правок: 2
Первый вариант — драйвер-фильтр файловой системы это очень круто и достаточно трудно ;-(
Если только народ на форуме не решал подобную проблему... Может немного кода подскажут ;-)
Второй вариант как полумера — FindFirstChangeNotification(), FindNextChangeNotification() с параметром FILE_NOTIFY_CHANGE_LAST_WRITE. Позволит установить тот факть, что что-то писалось на флоппи...
И ещё вариант — ReadDirectoryChangesW(), там тоже можно делать FILE_NOTIFY_CHANGE_LAST_WRITE, позволит установитькудаписали.
Можно ли осуществить аудит доступпа к флоппи дисководу на компе?
Надо знать кто когда что куда писал на и с дискет. Куда пишется лог не суть главное чтобы писался.
Операционки - win2000 Pro & Advanced server
Аудит флоппи16.04.03 06:34 Автор: theo Статус: Незарегистрированный пользователь
передо мной щас такая же проблема стоит... задача вроде не такая уж и экзотическая а программ нихрена нет нужных... filemon сразу отпадает с кучей лишней инфы... неплохо было бы сделать еще и нотификатор кторый будет в реал тайме показывать кто щас куда и что копирует...
> передо мной щас такая же проблема стоит... задача вроде не > такая уж и экзотическая а программ нихрена нет нужных... > filemon сразу отпадает с кучей лишней инфы... с какой кучой лишней инфы???
Аудит флоппи13.04.03 12:09 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> Можно ли осуществить аудит доступпа к флоппи дисководу на > компе? > Надо знать кто когда что куда писал на и с дискет. Куда > пишется лог не суть главное чтобы писался. > > Операционки - win2000 Pro & Advanced server
>> Можно ли осуществить аудит доступпа к флоппи дисководу
>> на компе?
>> Надо знать кто когда что куда писал на и с дискет. Куда
>> пишется лог не суть главное чтобы писался.
>> Операционки - win2000 Pro & Advanced server
> Пропатченный filemon?
Что такое пропатченный Filemon?
Я нашел в инете только простой. Только там нельзя просто так сделать аудит флопа, т.к. если дискеты при загрузке программы нет, то он выкидывает сообщение об ошибке.
Плюс желательно, чтобы это все было в скрытом режиме..
Аудит флоппи21.04.03 23:03 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> >> Можно ли осуществить аудит доступпа к флоппи > дисководу > >> на компе? > >> Надо знать кто когда что куда писал на и с дискет. > Куда > >> пишется лог не суть главное чтобы писался. > >> Операционки - win2000 Pro & Advanced server > > Пропатченный filemon? > > Что такое пропатченный Filemon? > Я нашел в инете только простой. Только там нельзя просто > так сделать аудит флопа, т.к. если дискеты при загрузке > программы нет, то он выкидывает сообщение об ошибке. > Плюс желательно, чтобы это все было в скрытом режиме.. Версия 5.01 замечательно работает...
Над скрытым режимом надо подумать...
да уж, задачка...12.04.03 01:06 Автор: babay <Andrey Babkin> Статус: Elderman
> Можно ли осуществить аудит доступпа к флоппи дисководу на > компе? > Надо знать кто когда что куда писал на и с дискет. Куда > пишется лог не суть главное чтобы писался. > > Операционки - win2000 Pro & Advanced server
Сразу оговорюсь : сам не делал, тут только предположения со ссылкой на M$, спросил у коллег но штатного средства никто из них не знает.
Так что, софт наверно прийдется писать самому..., хотя может в инете есть что подобное, но я не встречал.
Кусок из ссылки:
How to Enable Volume-Level Security
Access control and auditing are enabled by placing access control lists (ACLs) on the volume. The discretionary ACL (DACL) provides access control information, while the system ACL (SACL) provides auditing. To apply ACLs to a volume, create a security descriptor with the desired ACLs, and then use SetFileSecurity() to apply it. SetFileSecurity() can be used on both physical and logical volumes and in addition to files and directories, as follows:
Logical volumes must be specified as a string in the form \\.\x:, where x is the actual drive letter of the volume.
С этим проблем возникнуть не должно, но вилы вот в чем:
Although access control protects a logical volume and all of its contents, auditing only records accesses to the volume itself. Accesses to files and directories within the volume are not recorded. This is analogous to the way NTFS audits directories; only access to the directory itself is audited. Thus, opening a logical volume by specifying \\.\X: as a file name to CreateFile(), causes an entry to be placed in the security event log while opening a file on the same volume does not.
если тебе это хоть как-то поможет без инфы о самих файлах :-(, то дальше всё равно прийдется через WMI собирать эти события и передавать на контроллер, или собирать логи чем нибудь типа CyberSafe Log Analyst.
Во-во, ничего хорошего и мне в голову не пришло... Есть ещё три варианта...12.04.03 05:51 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 12.04.03 06:12 Количество правок: 2
Первый вариант — драйвер-фильтр файловой системы это очень круто и достаточно трудно ;-(
Если только народ на форуме не решал подобную проблему... Может немного кода подскажут ;-)
Второй вариант как полумера — FindFirstChangeNotification(), FindNextChangeNotification() с параметром FILE_NOTIFY_CHANGE_LAST_WRITE. Позволит установить тот факть, что что-то писалось на флоппи...
И ещё вариант — ReadDirectoryChangesW(), там тоже можно делать FILE_NOTIFY_CHANGE_LAST_WRITE, позволит установитькудаписали.
Не народ, а чем filemon не подходит он сможет записать все обращения к А, все файлы прочитаные, скопированые, созданные, и даже кем это делалось15.04.03 04:58 Автор: Korsh <Мельников Михаил> Статус: Elderman Отредактировано 15.04.03 05:00 Количество правок: 1
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
