Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Не народ, а чем filemon не подходит он сможет записать все обращения к А, все файлы прочитаные, скопированые, созданные, и даже кем это делалось 15.04.03 04:58 Число просмотров: 1241
Автор: Korsh <Мельников Михаил> Статус: Elderman
Отредактировано 15.04.03 05:00 Количество правок: 1
|
|
Единственное его надо скрыть
|
|
<sysadmin>
|
Аудит флоппи 11.04.03 10:57
Автор: Vah Статус: Незарегистрированный пользователь
|
Можно ли осуществить аудит доступпа к флоппи дисководу на компе?
Надо знать кто когда что куда писал на и с дискет. Куда пишется лог не суть главное чтобы писался.
Операционки - win2000 Pro & Advanced server
|
|
Аудит флоппи 16.04.03 06:34
Автор: theo Статус: Незарегистрированный пользователь
|
|
передо мной щас такая же проблема стоит... задача вроде не такая уж и экзотическая а программ нихрена нет нужных... filemon сразу отпадает с кучей лишней инфы... неплохо было бы сделать еще и нотификатор кторый будет в реал тайме показывать кто щас куда и что копирует...
|
| |
Аудит флоппи 16.04.03 08:36
Автор: Korsh <Мельников Михаил> Статус: Elderman
|
> передо мной щас такая же проблема стоит... задача вроде не
> такая уж и экзотическая а программ нихрена нет нужных...
> filemon сразу отпадает с кучей лишней инфы...
с какой кучой лишней инфы???
|
|
Аудит флоппи 13.04.03 12:09
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Можно ли осуществить аудит доступпа к флоппи дисководу на
> компе?
> Надо знать кто когда что куда писал на и с дискет. Куда
> пишется лог не суть главное чтобы писался.
>
> Операционки - win2000 Pro & Advanced server
Пропатченный filemon?
|
| |
Аудит флоппи 17.04.03 17:06
Автор: Vah Статус: Незарегистрированный пользователь
|
>> Можно ли осуществить аудит доступпа к флоппи дисководу
>> на компе?
>> Надо знать кто когда что куда писал на и с дискет. Куда
>> пишется лог не суть главное чтобы писался.
>> Операционки - win2000 Pro & Advanced server
> Пропатченный filemon?
Что такое пропатченный Filemon?
Я нашел в инете только простой. Только там нельзя просто так сделать аудит флопа, т.к. если дискеты при загрузке программы нет, то он выкидывает сообщение об ошибке.
Плюс желательно, чтобы это все было в скрытом режиме..
|
| | |
Аудит флоппи 21.04.03 23:03
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> > Пропатченный filemon?
>
> Что такое пропатченный Filemon?
Я имел в виду: берешь исходники filemon, исправляешь их для себя и вперед!
|
| | |
Аудит флоппи 18.04.03 01:31
Автор: Korsh <Мельников Михаил> Статус: Elderman
|
> >> Можно ли осуществить аудит доступпа к флоппи
> дисководу
> >> на компе?
> >> Надо знать кто когда что куда писал на и с дискет.
> Куда
> >> пишется лог не суть главное чтобы писался.
> >> Операционки - win2000 Pro & Advanced server
> > Пропатченный filemon?
>
> Что такое пропатченный Filemon?
> Я нашел в инете только простой. Только там нельзя просто
> так сделать аудит флопа, т.к. если дискеты при загрузке
> программы нет, то он выкидывает сообщение об ошибке.
> Плюс желательно, чтобы это все было в скрытом режиме..
Версия 5.01 замечательно работает...
Над скрытым режимом надо подумать...
|
|
да уж, задачка... 12.04.03 01:06
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Можно ли осуществить аудит доступпа к флоппи дисководу на
> компе?
> Надо знать кто когда что куда писал на и с дискет. Куда
> пишется лог не суть главное чтобы писался.
>
> Операционки - win2000 Pro & Advanced server
Сразу оговорюсь : сам не делал, тут только предположения со ссылкой на M$, спросил у коллег но штатного средства никто из них не знает.
Так что, софт наверно прийдется писать самому..., хотя может в инете есть что подобное, но я не встречал.
Кусок из ссылки:
How to Enable Volume-Level Security
Access control and auditing are enabled by placing access control lists (ACLs) on the volume. The discretionary ACL (DACL) provides access control information, while the system ACL (SACL) provides auditing. To apply ACLs to a volume, create a security descriptor with the desired ACLs, and then use SetFileSecurity() to apply it. SetFileSecurity() can be used on both physical and logical volumes and in addition to files and directories, as follows:
Logical volumes must be specified as a string in the form \\.\x:, where x is the actual drive letter of the volume.
С этим проблем возникнуть не должно, но вилы вот в чем:
Although access control protects a logical volume and all of its contents, auditing only records accesses to the volume itself. Accesses to files and directories within the volume are not recorded. This is analogous to the way NTFS audits directories; only access to the directory itself is audited. Thus, opening a logical volume by specifying \\.\X: as a file name to CreateFile(), causes an entry to be placed in the security event log while opening a file on the same volume does not.
если тебе это хоть как-то поможет без инфы о самих файлах :-(, то дальше всё равно прийдется через WMI собирать эти события и передавать на контроллер, или собирать логи чем нибудь типа CyberSafe Log Analyst.
Других мыслей пока нет.
INFO: Understanding Volume-Level Security on Windows 2000
|
| |
Во-во, ничего хорошего и мне в голову не пришло... Есть ещё три варианта... 12.04.03 05:51
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 12.04.03 06:12 Количество правок: 2
|
Первый вариант — драйвер-фильтр файловой системы это очень круто и достаточно трудно ;-(
Если только народ на форуме не решал подобную проблему... Может немного кода подскажут ;-)
Второй вариант как полумера — FindFirstChangeNotification(), FindNextChangeNotification() с параметром FILE_NOTIFY_CHANGE_LAST_WRITE. Позволит установить тот факть, что что-то писалось на флоппи...
И ещё вариант — ReadDirectoryChangesW(), там тоже можно делать FILE_NOTIFY_CHANGE_LAST_WRITE, позволит установитькудаписали.
|
| | |
Не народ, а чем filemon не подходит он сможет записать все обращения к А, все файлы прочитаные, скопированые, созданные, и даже кем это делалось 15.04.03 04:58
Автор: Korsh <Мельников Михаил> Статус: Elderman
Отредактировано 15.04.03 05:00 Количество правок: 1
|
|
Единственное его надо скрыть
|
|
|
подробно о проекте
Анализ криптографических сетевых...
