Войти

Показать полную графическую версию : Как отследить запуск скрипта с удаленного ПК


krotts
04-12-2020, 15:57
Проблема такого рода. Начали сервак переносить, смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны.
У юзеров на ПК, происходят запросы на ИП адрес сервера по 445 порту, от процесс ИД 4 - то есть system.
Есть подозрения, что где-то сидит скрипт PS и делает Invoke-Command {......} Основные политики ГПО просмотрели, в планеровщиках во всех очевидных местах тоже нет скрипта, на ПК юзеров тоже нет.
Не посоветуете как лучше всего отловить негодяя? Или от имени какого Юзера запускает или с какого ПК происходит запрос?

Серверов много, 2008, 2012, конкретно этот который хотим убрать под 2008

Ageron
04-12-2020, 16:23
смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны. »
к каким ресурсам лезут? посмотрите открытые файлы на сервере, что там показывает?

krotts
04-12-2020, 16:37
Они просто обращаются к расшаренной папке и пытаются скрипт там запустить. По-моему это не имеет ни какого значения

Ageron
04-12-2020, 23:28
обращаются к расшаренной папке и пытаются скрипт там запустить »
? скрипт
Или от имени какого Юзера запускает или с какого ПК происходит запрос? »
это все видно в мониторинге шары, открытые файлы

krotts
06-12-2020, 12:11
Он запускает от того юзера, что залогинен на ПК, на шару лезет залогиненный юзер. Авторизацию в скрипте можно прописать разную. Можно лезть от админа и запускать скрипт, а можно под правами юзера.

А вот сам скрипт с какого ПК или сервера, ломиться на все ПК. ПО этому отлавливать нужно на конкретном ПК юзера.

PS
тему просил уже 3 раза перевести в раздел вин 10, так как к серверу эта тема не имеет ни какого отношения. Шара могла быть на ПК или на НАСе, было бы ровно тоже самое. Да и скрипт может быть банально на каком-нибудь терминале...




© OSzone.net 2001-2012