|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Как узнать, с какого IP адреса подключались к серверу? |
|
|
Как узнать, с какого IP адреса подключались к серверу?
|
Пользователь Сообщения: 136 |
Профиль | Отправить PM | Цитировать У меня проблема. Дело в том, что есть подозрение, что кто-то знает пароль админа контроллера домена. Его замена не поможет, так как некоторым людям я все-равно должен буду сказать, а они могут либо сообщить налево, либо сами чудес натворить. Мне необходимо именно средство аудита, показывающее, с какого адреса заходил злоумышленник, чтобы провести потом с ним разъяснительную беседу. так работать больше не возможно. Каждый день что-то отваливается, и выглядит это со стороны так, как будто дело в моих кривых руках, что наводит некоторых на мысль, о неадекватности сис админа. Знаю, что некоторым это выгодно- поставить на мое место своего человека, и продолжать беспредел, который был до моего прихода в эту компанию........
Подскажите что-нибудь для решения этой проблемы.... |
|
Отправлено: 11:41, 23-03-2007 |
Ветеран Сообщения: 1664
|
Профиль | Отправить PM | Цитировать sfap
Если я не ошибаюсь, можно разрешить вход администраторам только с фиксированных (определенных) адресов... Это, кажется, делается через политики. А если нужен просто аудит, просто включи его, ну и настрой под конкретную задачу. |
------- Отправлено: 12:21, 23-03-2007 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 4904
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
|
|
------- Отправлено: 13:25, 23-03-2007 | #3 |
Пользователь Сообщения: 136
|
Профиль | Отправить PM | Цитировать С других адресов мне и самому иногда заходить нужно, хотя, обычно только на разшаренные ресурсы. Мне нужно, чтобы именно по RDP никто не мог подключиться к удаленному рабочему столу, или, чтобы могли, но, если IP адрес подключаемого не входит в список разрешенных, то в логах писалось, что был был подключен пользователь с таким- то адресом. А я уж сам разберусь- был ли это я, или кто-то другой... Так же неплохо было бы контролировать не только удаленному рабочему столу, но и все дыры: telnet, например.
|
Последний раз редактировалось sfap, 23-03-2007 в 14:39. Отправлено: 13:29, 23-03-2007 | #4 |
Ветеран Сообщения: 1482
|
Профиль | Отправить PM | Цитировать sfap
Я бы посоветовал Вам поставить ISA там все можно настроить и логи пиет и можно поставить выполнение определнный программ например при запуске RDP у меня так стоит. При обращении к 3389 мне на почту падает поччта с отчетом что было попытка подключения с такого то ip |
|
------- Отправлено: 13:38, 23-03-2007 | #5 |
Пользователь Сообщения: 136
|
Профиль | Отправить PM | Цитировать Цитата:
Вот, проведу миграцию, и буду наводить порядки, и правильно права раздавать. Тогда я полезу на этот же форум, только в другие темы, и искать ответы уже на другие вопросы Цитата:
|
||
Отправлено: 13:52, 23-03-2007 | #6 |
Ветеран Сообщения: 1482
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 13:53, 23-03-2007 | #7 |
Пользователь Сообщения: 136
|
Профиль | Отправить PM | Цитировать Я почитал о возможностях ISA-мне показалось громоздкий продукт. Насколько я понял, это ориентировано для организации прокси с расширенными возможностями, причем причем упор делается для защиты доступа из вне. У меня же ситуация другая: прокся у меня есть отдельная, причем на Linux. А до нее еще стоит роутер, то есть меня сейчас беспокоит не возможность проникновения злоумышленника из вне (хотя и это не исключено), а контроль доступа внутри сети. Я догадываюсь- кто может заниматьсся вредительством, но мне нужны доказательства.....
|
Отправлено: 15:00, 23-03-2007 | #8 |
Ветеран Сообщения: 1482
|
Профиль | Отправить PM | Цитировать Ну тогда включите аудит если не нужен такой продукт.
|
------- Отправлено: 15:06, 23-03-2007 | #9 |
Пользователь Сообщения: 136
|
Профиль | Отправить PM | Цитировать Аудит неудобен тем, что он показывает слишком много событий, например когда каждый юзер логинится в домене, в итоге журнал превращается в огромную свалку сообщений, найти среди которых одно невзрачное достаточно трудно. Должна же быть какая-то маленькая, но очень полезная утилитка, которая, например отправит сообщение мне на почту в случае попытки доступа по RDP к серверу с IP, который не значится в списке разрешенных....
|
Отправлено: 15:32, 23-03-2007 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
MSFT SQL Server - Возможно ли узнать, с какого хоста была изменена база? | cleverkid | Программирование и базы данных | 3 | 20-12-2009 21:53 | |
V. 5.5/2000/2003 - [решено] Как определить, с какого компа на Exchange идет спам? | Сет | Microsoft Exchange Server | 8 | 27-04-2009 12:28 | |
Разное - [решено] Как сделать чтобы сетевые диски автоматически подключались при запуске ОС | illznn | Microsoft Windows 2000/XP | 7 | 09-10-2008 17:56 | |
Как определить, до какого места страница прокручена вниз? | IksSafonsky | Вебмастеру | 3 | 01-12-2004 10:48 | |
Как узнать IP и Mac адреса | Zx | Сетевые технологии | 21 | 31-10-2003 11:53 |
|