Имеется пк на вин7, на нем расшаренная папка-файлопомойка (~300 гиг), с ней работают около 40 юзеров, юзеры со своей стороны имеют на рабочем столе ярлычок "сетевая папка" со ссылкой на \\server\shared внутри.
Да, я в курсе что не серверные ОСи имеют ограничение одновременных подключений, тем не менее текущего конфига хватает, расширения не придвидется, денег на лицензию серверной оси пока нет, да и вообще - вопрос не в этом.
Недавно этот пк как-то заразился вирусом, хотя он даже к монитору не подключен, кроме меня и еще одного человека никто не знает (вроде как) как достучаться до этого пк (всё делается через рдп).
Сам по себе вирус вроде как безобидный, из тех которые создают ехе-шники внутри папок с такой же иконкой как папка и одноименным названием. В общем не проблема, вылечил.

Но в связи с этим появился ряд вопросов:
1. Как, гипотетически, этот вирус вообще мог там оказаться? Для его инициализации, грубо говоря, кто-то же должен запустить вредоносный ехе-шник именно на самом сервере, разве нет?

2. Что сделать чтобы в будущем такого не случалось? У меня на работе стоит NAS-сервер, там есть права доступа, есть служба антивируса, все достаточно просто. Но тут понадобилось именно "решение на коленке" на пользовательской оси. Что знал - поставил (обновления самой ОС, антивирус поставил\настроил\обновил, брендмауер включил). Может что-нибудь еще надо?

3. И, самое главное, как найти виновного? Он же как минимум тоже заражен. Сам по себе аудит настроен http://i.imgur.com/fDDPEEH.png только проблема в том что журнал безопасности забивается за пару часов (135000 событий за 25 минут =\), а дальше более старые события затираются. Конечно в теории можно было бы просто увеличить размер журнала, но он будет открываться пол года и найти что-то в этой помойке - будет занятие на часов 10 и из разряда "нажал кнопку - жди час". В общем... что-нибудь более удобное есть? По сути для этой задачи нужны только события вида "%время% | %айпи% прочитал\удалил\создал %путь\файл%".

1. Как, гипотетически, этот вирус вообще мог там оказаться? Для его инициализации, грубо говоря, кто-то же должен запустить вредоносный ехе-шник именно на самом сервере, разве нет? »
То, что вирус работал на компьютере пользователя, а на сервер просто складывал готовые exe-шники вы даже гипотетически не допускаете?
2. Что сделать чтобы в будущем такого не случалось? »
Не подключать компьютер-сервер к сети.
только проблема в том что журнал безопасности забивается за пару часов (135000 событий за 25 минут »
А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно

PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию

Недавно этот пк как-то заразился вирусом »
Как определили это?

Пользователи у Вас пользователи или администраторы?

То, что вирус работал на компьютере пользователя, а на сервер просто складывал готовые exe-шники вы даже гипотетически не допускаете? »
Об этом, честно говоря, не подумал :)
Не подключать компьютер-сервер к сети. »
В чем смысл иметь файлопомойку, к которой никто не может подключиться? О.о
А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно »
Ок, спасибо, сейчас сделаю и посмотрю как это всё выглядит в итоге.
Пользователи у Вас пользователи или администраторы? »
Клиентские пк сами для себя кто как. Тут проблема осложняется тем что сервер 1 на 2 организации. На пк той организации, куда я могу добраться - только юзеры. У второй, к которой доступа у меня нет и не будет - без понятия, но наверняка локальные админки есть, а их местному "компьютерщику" на всё пофиг.
А завести свой отдельный сервак не дает упрямое руководство, любые аргументы разбиваются о железное "я начальник, и я так хочу". Так что приходится ковыряться и расставлять костыли, вместо того чтобы организовать нормальную инфраструктуру =(

А зачем вы собственно включили аудит вообще всего? Вам нужны только "Создание файлов/дозапись данных" все остальное вам вообще не нужно
PS: Да, для того чтобы аудит создания файлов работал нужно в локальной групповой политике включить "Аудит доступа к объектам", а потом просто просматривать журнал по коду события 4663 например. Можно прямо задачу в планировщике привязать к этому событию »
Fйпишника виновного они всё равно не содержат. Какие еще есть варианты, может какое-нибудь сторонее ПО?

А вообще, событие 4663 кроме прочего мусора содержит SubjectLogonId 0x#######, может как-нибудь по нему можно определить кто это подключается? Имя пользователя мне ни о чем не скажет, нужен айпи или имя компьютера.

И еще было бы неплохо как-то отличать добавление нового файла в папку от модификации уже существующего.

Неужели нет никаких вариантов отслеживать создание файлов? В журнале событий этого просто нет.

Неужели нет никаких вариантов отслеживать создание файлов » - Как вариант можно попробовать Process Monitor от Sysinternals, там можно настроить фильтр на конретно что Вам нужно...

там можно настроить фильтр на конретно что Вам нужно... »
Совершенно не умею ним пользоваться, но поковырявшись минут 15 я пришел к тому же с чего и начинал - вижу имя пользователя, от которого создан файл, но мне это ни о чем не говорит. Нужно имя пк или айпи.
Конечно не исключаю что я что-то пропустил.

Что делал: запустил на самом сервере, затем со своего компа создал в расзаренной папке файлик 123.ехе, затем создал фильтр path\excludes 123.exe\exclude (т.е. показывать только то, что в пути содержит искомый свежесозданный файлик). Затем отобразил все колонки с данными и вручную искал где-нибудь упоминание своего айпи либо имени пк - пусто.
p.s. подумал что изначально я создавал текстовый файл а потом давал ему имя 123.ехе, может это делится на разные операции - в итоге всё повторил создавая звук "Звук Wav.wav", не меняя расширение\название - результат тот же - т.е. никакого результата.

path\excludes 123.exe\exclude » - Вообще-то вы его ИСКЛЮЧИЛИ, Вам нужно - include, т.е включить....
Посмотрите тут - https://habrahabr.ru/post/150149/... В общем думаю, нароете что нибудь полезного себе :)

- Вообще-то вы его ИСКЛЮЧИЛИ, Вам нужно - include, т.е включить.... »
Эмм, нет.
Всё что НЕ содержит 123.ехе - исключить.


Ну вот для наглядности повторил - создал Точечный рисунок.bmp со своего пк, затем на сервере в аналогичный фильтр.
http://i.imgur.com/ZMfHHUD.png
Результат - только то что в пути содержит этот файл.


Статью на забре гуглом находил, но она ничем не поможет. По всё той же причине - событие создания файла в логе не отображается. Совсем.

Вот захожу я на сервер по рдп, смотрю в журнал событий. Допустим там 1000 событий. С клиентского пк пуск - выполнить - \\server\папка - создаю в ней файл, не меняя расширение\название - в логе как было 1000 событий так и есть (конечно я обновляю его по F5 после создания файла). Файл текстовый, открываю, пишу допустим 123, сохраняю - отображается событие "создание\дозапись файла". Итого операции я совершил как минимум две (создание, потом дозапись), а в логе событие всего одно - то которое дозапись.

Нужно имя пк или айпи. »
Вы его там не увидите, потому что его создает процесс System и в этом нет совершенно ничего удивительного. Вы же не думали, что каждый процесс самостоятельно создает файлы? Нет, все процессы просят ОС (Систему) создать им файл и вернуть вызвавшему его дескриптор. Собственно вы можете получить только домен/имя учетной записи и название файла, больше ничего.

Желаемое вами можно было бы сделать, если бы встроенный в Windows сервер (имеется в виду служба "Сервер") вела бы логи сетевых операций с нужной вам информацией. Но такого нет. Вам нужен сетевой сниффер, который знает используемые в Windows протоколы сетевых коммуникаций, я лично о таком не слышал. Но это не значит, что его нет.

Path - сюда необходимо вписать путь к файлу, а не его название, т.е у вас неверно судя по скриншоту....
И,еще раз, exclude - это ИСКЛЮЧИТЬ, т.е в данном случае Вы исключаете этот файл из мониторинга

Path - сюда необходимо вписать путь к файлу, а не его название, т.е у вас неверно судя по скриншоту.... »
Path это строка, которая содержит в себе путь к файлу+название файла или только путь, в зависимости от операции (а операции, не содержащие в себе имя файла мне в любом случае не нужны). Contains это "содержит" а не "равняется", поэтому мне не обязательно писать полный путь до файла, главное написать часть.
И,еще раз, exclude - это ИСКЛЮЧИТЬ, т.е в данном случае Вы исключаете этот файл из мониторинга »
Я в курсе что такое exclude, но их там два. Двойное отрицание. Этим фильтром я ИСКЛЮЧАЮ всё то, в чем ИСКЛЮЧЕНО искомое название файла.

В любом случае выше Dzirt2005, объяснил что с помощью Process Monitor я всё равно никак не получу искомую (айпи либо имя пк) информацию.



Ещё есть какие-нибудь варианты?
Я вполне "за" настроить что-нибудь сейчас, чтобы впоследствии (завтра или через месяц) узнать кто из сети суёт мне в шару вирусню.
Может быть какой-нибудь фаервол или антивирус с каким-то плагином туда поставить?

Суть задачи в целом такова: некий скрипт\по, который выдаст информацию о том:

кто (айпи либо имя пк)
когда (время)
что (имя файла)

создает в расшаренной папке. Не модифицирует уже существующие файлы (например правит вордовские документы), а именно создаёт новые.

Задайте свой вопрос в разделе, посвященному автоматизиции и написанию скриптов. Возможно у тамошней публики уже есть готовое решение