krotts
04-12-2020, 15:57
Проблема такого рода. Начали сервак переносить, смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны.
У юзеров на ПК, происходят запросы на ИП адрес сервера по 445 порту, от процесс ИД 4 - то есть system.
Есть подозрения, что где-то сидит скрипт PS и делает Invoke-Command {......} Основные политики ГПО просмотрели, в планеровщиках во всех очевидных местах тоже нет скрипта, на ПК юзеров тоже нет.
Не посоветуете как лучше всего отловить негодяя? Или от имени какого Юзера запускает или с какого ПК происходит запрос?
Серверов много, 2008, 2012, конкретно этот который хотим убрать под 2008
У юзеров на ПК, происходят запросы на ИП адрес сервера по 445 порту, от процесс ИД 4 - то есть system.
Есть подозрения, что где-то сидит скрипт PS и делает Invoke-Command {......} Основные политики ГПО просмотрели, в планеровщиках во всех очевидных местах тоже нет скрипта, на ПК юзеров тоже нет.
Не посоветуете как лучше всего отловить негодяя? Или от имени какого Юзера запускает или с какого ПК происходит запрос?
Серверов много, 2008, 2012, конкретно этот который хотим убрать под 2008