Перейти к содержанию

Контроль доступа к файлам


Рекомендуемые сообщения

Доброго времени суток!)

Форумчане, нужна ваша квалифицированная помощь, сам никак не могу справиться.

Ситуация такая: Простая сеть(не доменная) на несколько машин. В качестве сервера машинка на XP с расшаренной папкой, которая подключена к рабочим компьютерам как сетевой диск.

В папочке лежит база данных которую пользователи благополучно пополняют через самописную прогу (аля 1С), но к моему несчастью завелся злоумышленник (или вредный скриптик), который иногда залезает в базу и стирает оттуда данные. Он залезает точно не через программулину, а сам открывает диск и трет.

Вопрос: Как вычислить этого гада? Ставить аудит - не вариант, сеть не доменная и он мне покажет только кто и когда обращался к этому файлу, а сотрудники к нему на дню по 100 раз обращаются.

Была мысль поставить на все машины process monitor, но вроде бы в фоновом режиме запускается только 1 раз и размер логов меня пугает...

Как мне быть?

Ссылка на сообщение
Поделиться на другие сайты

Вот так вот ррраз и навскидку вспомнилось: http://www.killprog.com/kwatchr.html

 

Сам юзал в далеком 2005м году и честно говоря не знаю как оно теперь работает. Попробуйте.

 

Вроде бы нужный функционал присутствует...

Изменено пользователем SLASH_id
Ссылка на сообщение
Поделиться на другие сайты

Какая база? SQL, DB2, текстовая информация в виде массива? Трет только её? накидайте в эту сетевую папку файлов, если и их удалит, то какая-то зараза сидит. А дальше как выявить паразита и комп с которого запускается не придумал.

Ссылка на сообщение
Поделиться на другие сайты

Да что тут думать, прога выше залогает кто куда и чего читал/писал. Дальше кто последний тот и попался. Это если искать паразита.

А если нет - прогу в авторан, всем кому надо allow на шару -остальным deny.

Ссылка на сообщение
Поделиться на другие сайты

Что-то я не въехал что эта прога делает)

Поставил, зашел на компьютер на котором она стоит. Что есть подключение - показывает, а про изменение и редактирование файлов ни слова...

Ссылка на сообщение
Поделиться на другие сайты

@4543, Смотри вкладку История, кажется и она еще отдельно логи в файл пишет. Зап давностью лет не помню где конкретно, но помню что отслеживала. Да и в списке функций присутствует такой функционал.

Ссылка на сообщение
Поделиться на другие сайты

Ладно, попробуйте еще это: http://www.kilievich.com/rus/fwatcher/

Оно по правому клику по пк который подключен позволяет сформировать отчет. (Проверить не на чем, в сети сейчас один.)


Кстати, пораскинув мозгами, не вижу повода не юзать аудит..
Даже если много коннектов в день.

Проявите принцип разумной достаточности, не включайте аудит "всех и вся".

Включение аудита "Успех" для событий "Удаление подпапок и файлов" будет достаточно, для логирования того, что пользователь ВасяПупки удалил файл *блабла*.db

Ссылка на сообщение
Поделиться на другие сайты

Вася Пупкин удаляет не саму базу, а трет из нее пару важных строчек. Аудит мне покажет 1000 изменений этого файла в день. В идеале хотелось бы софтину, которая устанавливается на каждый комп и пишет историю какие проги лазили по адресу "C:\Users\IloveMac\Desktop\". Тот у кого в логах окажется что-то кроме (Аля 1С) и получит по шее.

 

Bezimyanni_7579878_12817019.jpg

Если кто подскажет как обучить писать не всю инфу, а только по фильтрам и запускать в фоновом режиме несколько раз буду очень признателен!

Изменено пользователем 4543
Ссылка на сообщение
Поделиться на другие сайты

Стоп. То есть нечто делает именно некорректные изменения в файле? 
Пожалуй я в тупике.  :(

Может более опытные коллеги подскажут.

Ссылка на сообщение
Поделиться на другие сайты

завелся злоумышленник (или вредный скриптик), который иногда залезает в базу и стирает оттуда данные. Он залезает точно не через программулину, а сам открывает диск и трет

похоже на задачу следователя, найти убийцу среди N подозреваемых.

а как удалось выяснить, что не через программулину?

как велико количество пользователей? может попробовать методом исключения из подозреваемых?

Ссылка на сообщение
Поделиться на другие сайты

А может дело не в зловреде, а в некорректности софта, который работает с этой базой? Некая 'криво' написанная функция этого софта затирает пару важных строчек...

Ссылка на сообщение
Поделиться на другие сайты

Хорошо.

Как можно отследить Дату изменения/программу с помощью которой было произведено изменение и по возможности само изменение?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...