информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Да, большое спасибо, я уже разобрался... 10.07.05 23:27  Число просмотров: 1840
Автор: Enshtein Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> На сколько я знаю - нет событий доступа к Shаre ресурсам,
> есть события доступа к объектам (папкам, файлам) Успешные(/
> неуспешные) чтение, создание, модификация, удаление...
> В журнале событий ты не можешь удалить какое-то одиночное
> событие, но ты можешь удалить весь журнал безопасности,
> если твои текущие учетные данные пользователя обладают
> правами админа на другом компе.
> просто вместо "." в первой строчке vbs скрипта поставь
> "Имя_Компа"
>
> strComputer = "."
> Set objWMIService = GetObject("winmgmts:" _
> & "{impersonationLevel=impersonate}!\\" & _
> strComputer & "\root\cimv2")
> Set colLogFiles = objWMIService.ExecQuery _
> ("Select * from Win32_NTEventLogFile where
> LogFileName='Security'")
> For Each objLogfile in colLogFiles
> objLogFile.ClearEventLog()
> Next
>
> Это подходит - если сеть имеет доменную архитектуру, если в
> сети нет домена, то подойдёт скрипт с другим методом
> передачи учётных данных
>
> wbemImpersonationLevelImpersonate = 3
> wbemAuthenticationLevelPktPrivacy = 6
> Set objLocator = CreateObject("WbemScripting.SWbemLocator")
> Set objService = objLocator.ConnectServer _
> ("192.168.23.1", "root\cimv2", "Administrator",
> "парольчик")
> objService.Security_.ImpersonationLevel =
> wbemImpersonationLevelImpersonate
> objservices.Security_.AuthenticationLevel =
> wbemAuthenticationLevelPktPrivacy
> Set colLogFiles = objService.ExecQuery _
> ("Select * from Win32_NTEventLogFile where
> LogFileName='Application'")
> For Each objLogfile in colLogFiles
> objLogFile.ClearEventLog()
> Next
>
> Возможно возникнут проблеммы если 2 компа не смогут
> установить между собой шифрованный канал
> (wbemAuthenticationLevelPktPrivacy = 6) , тогда просто
> поменяй 6 на 2
Да, большое спасибо, я уже разобрался. NT машина показывает только текущие подключения к Share-ресурсам, а никаких логов не ведет. Всем пока и ещё раз спасибо.
<beginners>
чистка логов доступа к Share-ресурсам под NT/2000/XP 10.07.05 00:05  
Автор: Enshtein Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Подскажите пожалуйста, как можно почистить лог подключений к Share-ресурсам удаленного компа. (не на моем компе, а на удаленном)
На сколько я знаю - нет событий доступа к Shаre ресурсам,... 10.07.05 14:12  
Автор: Woonder <Бученков Андрей> Статус: Member
Отредактировано 10.07.05 14:43  Количество правок: 2
<"чистая" ссылка>
На сколько я знаю - нет событий доступа к Shаre ресурсам, есть события доступа к объектам (папкам, файлам) Успешные(/ неуспешные) чтение, создание, модификация, удаление...
В журнале событий ты не можешь удалить какое-то одиночное событие, но ты можешь удалить весь журнал безопасности, если твои текущие учетные данные пользователя обладают правами админа на другом компе.
просто вместо "." в первой строчке vbs скрипта поставь "Имя_Компа"

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\cimv2")
Set colLogFiles = objWMIService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='Security'")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next

Это подходит - если сеть имеет доменную архитектуру, если в сети нет домена, то подойдёт скрипт с другим методом передачи учётных данных

wbemImpersonationLevelImpersonate = 3
wbemAuthenticationLevelPktPrivacy = 6
Set objLocator = CreateObject("WbemScripting.SWbemLocator")
Set objService = objLocator.ConnectServer _
("192.168.23.1", "root\cimv2", "Administrator", "парольчик")
objService.Security_.ImpersonationLevel = wbemImpersonationLevelImpersonate
objservices.Security_.AuthenticationLevel = wbemAuthenticationLevelPktPrivacy
Set colLogFiles = objService.ExecQuery _
("Select * from Win32_NTEventLogFile where LogFileName='Application'")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next

Возможно возникнут проблеммы если 2 компа не смогут установить между собой шифрованный канал (wbemAuthenticationLevelPktPrivacy = 6) , тогда просто поменяй 6 на 2
Да, большое спасибо, я уже разобрался... 10.07.05 23:27  
Автор: Enshtein Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> На сколько я знаю - нет событий доступа к Shаre ресурсам,
> есть события доступа к объектам (папкам, файлам) Успешные(/
> неуспешные) чтение, создание, модификация, удаление...
> В журнале событий ты не можешь удалить какое-то одиночное
> событие, но ты можешь удалить весь журнал безопасности,
> если твои текущие учетные данные пользователя обладают
> правами админа на другом компе.
> просто вместо "." в первой строчке vbs скрипта поставь
> "Имя_Компа"
>
> strComputer = "."
> Set objWMIService = GetObject("winmgmts:" _
> & "{impersonationLevel=impersonate}!\\" & _
> strComputer & "\root\cimv2")
> Set colLogFiles = objWMIService.ExecQuery _
> ("Select * from Win32_NTEventLogFile where
> LogFileName='Security'")
> For Each objLogfile in colLogFiles
> objLogFile.ClearEventLog()
> Next
>
> Это подходит - если сеть имеет доменную архитектуру, если в
> сети нет домена, то подойдёт скрипт с другим методом
> передачи учётных данных
>
> wbemImpersonationLevelImpersonate = 3
> wbemAuthenticationLevelPktPrivacy = 6
> Set objLocator = CreateObject("WbemScripting.SWbemLocator")
> Set objService = objLocator.ConnectServer _
> ("192.168.23.1", "root\cimv2", "Administrator",
> "парольчик")
> objService.Security_.ImpersonationLevel =
> wbemImpersonationLevelImpersonate
> objservices.Security_.AuthenticationLevel =
> wbemAuthenticationLevelPktPrivacy
> Set colLogFiles = objService.ExecQuery _
> ("Select * from Win32_NTEventLogFile where
> LogFileName='Application'")
> For Each objLogfile in colLogFiles
> objLogFile.ClearEventLog()
> Next
>
> Возможно возникнут проблеммы если 2 компа не смогут
> установить между собой шифрованный канал
> (wbemAuthenticationLevelPktPrivacy = 6) , тогда просто
> поменяй 6 на 2
Да, большое спасибо, я уже разобрался. NT машина показывает только текущие подключения к Share-ресурсам, а никаких логов не ведет. Всем пока и ещё раз спасибо.
Админ может выставить аудит доступа для папки/файла... И тогда будут вестись логи. Смотрятся они в Мой Компьютер->Управление->Просмотр событий->Безопасность. Устанвливаются в Свойства Папки->Безопасность->Дополнительно->Аудит. 11.07.05 06:49  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach