Имеется пк на вин7, на нем расшаренная папка-файлопомойка (~300 гиг), с ней работают около 40 юзеров, юзеры со своей стороны имеют на рабочем столе ярлычок "сетевая папка" со ссылкой на \\server\shared внутри.
Скрытый текст
Да, я в курсе что не серверные ОСи имеют ограничение одновременных подключений, тем не менее текущего конфига хватает, расширения не придвидется, денег на лицензию серверной оси пока нет, да и вообще - вопрос не в этом.
Недавно этот пк как-то заразился вирусом, хотя он даже к монитору не подключен, кроме меня и еще одного человека никто не знает (вроде как) как достучаться до этого пк (всё делается через рдп).
Сам по себе вирус вроде как безобидный, из тех которые создают ехе-шники внутри папок с такой же иконкой как папка и одноименным названием. В общем не проблема, вылечил.
Но в связи с этим появился ряд вопросов:
1. Как, гипотетически, этот вирус вообще мог там оказаться? Для его инициализации, грубо говоря, кто-то же должен запустить вредоносный ехе-шник именно на самом сервере, разве нет?
2. Что сделать чтобы в будущем такого не случалось? У меня на работе стоит NAS-сервер, там есть права доступа, есть служба антивируса, все достаточно просто. Но тут понадобилось именно "решение на коленке" на пользовательской оси. Что знал - поставил (обновления самой ОС, антивирус поставил\настроил\обновил, брендмауер включил). Может что-нибудь еще надо?
3. И, самое главное, как найти виновного? Он же как минимум тоже заражен. Сам по себе аудит настроен
http://i.imgur.com/fDDPEEH.png только проблема в том что журнал безопасности забивается за пару часов (135000 событий за 25 минут =\), а дальше более старые события затираются. Конечно в теории можно было бы просто увеличить размер журнала, но он будет открываться пол года и найти что-то в этой помойке - будет занятие на часов 10 и из разряда "нажал кнопку - жди час". В общем... что-нибудь более удобное есть? По сути для этой задачи нужны только события вида "%время% | %айпи% прочитал\удалил\создал %путь\файл%".
