информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаПортрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft Authenticator прекращает... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
Аудит флоппи 13.04.03 12:09  Число просмотров: 1169
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> Можно ли осуществить аудит доступпа к флоппи дисководу на
> компе?
> Надо знать кто когда что куда писал на и с дискет. Куда
> пишется лог не суть главное чтобы писался.
>
> Операционки - win2000 Pro & Advanced server

Пропатченный filemon?
<sysadmin>
Аудит флоппи 11.04.03 10:57  
Автор: Vah Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Можно ли осуществить аудит доступпа к флоппи дисководу на компе?
Надо знать кто когда что куда писал на и с дискет. Куда пишется лог не суть главное чтобы писался.

Операционки - win2000 Pro & Advanced server
Аудит флоппи 16.04.03 06:34  
Автор: theo Статус: Незарегистрированный пользователь
<"чистая" ссылка>
передо мной щас такая же проблема стоит... задача вроде не такая уж и экзотическая а программ нихрена нет нужных... filemon сразу отпадает с кучей лишней инфы... неплохо было бы сделать еще и нотификатор кторый будет в реал тайме показывать кто щас куда и что копирует...
Аудит флоппи 16.04.03 08:36  
Автор: Korsh <Мельников Михаил> Статус: Elderman
<"чистая" ссылка>
> передо мной щас такая же проблема стоит... задача вроде не
> такая уж и экзотическая а программ нихрена нет нужных...
> filemon сразу отпадает с кучей лишней инфы...
с какой кучой лишней инфы???
Аудит флоппи 13.04.03 12:09  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> Можно ли осуществить аудит доступпа к флоппи дисководу на
> компе?
> Надо знать кто когда что куда писал на и с дискет. Куда
> пишется лог не суть главное чтобы писался.
>
> Операционки - win2000 Pro & Advanced server

Пропатченный filemon?
Аудит флоппи 17.04.03 17:06  
Автор: Vah Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>> Можно ли осуществить аудит доступпа к флоппи дисководу
>> на компе?
>> Надо знать кто когда что куда писал на и с дискет. Куда
>> пишется лог не суть главное чтобы писался.
>> Операционки - win2000 Pro & Advanced server
> Пропатченный filemon?

Что такое пропатченный Filemon?
Я нашел в инете только простой. Только там нельзя просто так сделать аудит флопа, т.к. если дискеты при загрузке программы нет, то он выкидывает сообщение об ошибке.
Плюс желательно, чтобы это все было в скрытом режиме..
Аудит флоппи 21.04.03 23:03  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>

> > Пропатченный filemon?
>
> Что такое пропатченный Filemon?

Я имел в виду: берешь исходники filemon, исправляешь их для себя и вперед!
Аудит флоппи 18.04.03 01:31  
Автор: Korsh <Мельников Михаил> Статус: Elderman
<"чистая" ссылка>
> >> Можно ли осуществить аудит доступпа к флоппи
> дисководу
> >> на компе?
> >> Надо знать кто когда что куда писал на и с дискет.
> Куда
> >> пишется лог не суть главное чтобы писался.
> >> Операционки - win2000 Pro & Advanced server
> > Пропатченный filemon?
>
> Что такое пропатченный Filemon?
> Я нашел в инете только простой. Только там нельзя просто
> так сделать аудит флопа, т.к. если дискеты при загрузке
> программы нет, то он выкидывает сообщение об ошибке.
> Плюс желательно, чтобы это все было в скрытом режиме..
Версия 5.01 замечательно работает...
Над скрытым режимом надо подумать...
да уж, задачка... 12.04.03 01:06  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> Можно ли осуществить аудит доступпа к флоппи дисководу на
> компе?
> Надо знать кто когда что куда писал на и с дискет. Куда
> пишется лог не суть главное чтобы писался.
>
> Операционки - win2000 Pro & Advanced server

Сразу оговорюсь : сам не делал, тут только предположения со ссылкой на M$, спросил у коллег но штатного средства никто из них не знает.
Так что, софт наверно прийдется писать самому..., хотя может в инете есть что подобное, но я не встречал.
Кусок из ссылки:
How to Enable Volume-Level Security
Access control and auditing are enabled by placing access control lists (ACLs) on the volume. The discretionary ACL (DACL) provides access control information, while the system ACL (SACL) provides auditing. To apply ACLs to a volume, create a security descriptor with the desired ACLs, and then use SetFileSecurity() to apply it. SetFileSecurity() can be used on both physical and logical volumes and in addition to files and directories, as follows:
Logical volumes must be specified as a string in the form \\.\x:, where x is the actual drive letter of the volume.

С этим проблем возникнуть не должно, но вилы вот в чем:
Although access control protects a logical volume and all of its contents, auditing only records accesses to the volume itself. Accesses to files and directories within the volume are not recorded. This is analogous to the way NTFS audits directories; only access to the directory itself is audited. Thus, opening a logical volume by specifying \\.\X: as a file name to CreateFile(), causes an entry to be placed in the security event log while opening a file on the same volume does not.

если тебе это хоть как-то поможет без инфы о самих файлах :-(, то дальше всё равно прийдется через WMI собирать эти события и передавать на контроллер, или собирать логи чем нибудь типа CyberSafe Log Analyst.

Других мыслей пока нет.

INFO: Understanding Volume-Level Security on Windows 2000
Во-во, ничего хорошего и мне в голову не пришло... Есть ещё три варианта... 12.04.03 05:51  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 12.04.03 06:12  Количество правок: 2
<"чистая" ссылка>
Первый вариант — драйвер-фильтр файловой системы это очень круто и достаточно трудно ;-(
Если только народ на форуме не решал подобную проблему... Может немного кода подскажут ;-)

Второй вариант как полумера — FindFirstChangeNotification(), FindNextChangeNotification() с параметром FILE_NOTIFY_CHANGE_LAST_WRITE. Позволит установить тот факть, что что-то писалось на флоппи...

И ещё вариант — ReadDirectoryChangesW(), там тоже можно делать FILE_NOTIFY_CHANGE_LAST_WRITE, позволит установитькудаписали.
Не народ, а чем filemon не подходит он сможет записать все обращения к А, все файлы прочитаные, скопированые, созданные, и даже кем это делалось 15.04.03 04:58  
Автор: Korsh <Мельников Михаил> Статус: Elderman
Отредактировано 15.04.03 05:00  Количество правок: 1
<"чистая" ссылка>
Единственное его надо скрыть
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach