Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Как отследить запуск скрипта с удаленного ПК (http://forum.oszone.net/showthread.php?t=347220)

krotts 04-12-2020 15:57 2941972

Проблема такого рода. Начали сервак переносить, смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны.
У юзеров на ПК, происходят запросы на ИП адрес сервера по 445 порту, от процесс ИД 4 - то есть system.
Есть подозрения, что где-то сидит скрипт PS и делает Invoke-Command {......} Основные политики ГПО просмотрели, в планеровщиках во всех очевидных местах тоже нет скрипта, на ПК юзеров тоже нет.
Не посоветуете как лучше всего отловить негодяя? Или от имени какого Юзера запускает или с какого ПК происходит запрос?

Серверов много, 2008, 2012, конкретно этот который хотим убрать под 2008

Ageron 04-12-2020 16:23 2941979

Цитата:

Цитата krotts
смотрим на шаре к нему постоянно лезут ПК, хотя лезть вроде как не должны. »

к каким ресурсам лезут? посмотрите открытые файлы на сервере, что там показывает?

krotts 04-12-2020 16:37 2941981

Они просто обращаются к расшаренной папке и пытаются скрипт там запустить. По-моему это не имеет ни какого значения

Ageron 04-12-2020 23:28 2942015

Цитата:

Цитата krotts
обращаются к расшаренной папке и пытаются скрипт там запустить »

? скрипт
Цитата:

Цитата krotts
Или от имени какого Юзера запускает или с какого ПК происходит запрос? »

это все видно в мониторинге шары, открытые файлы

krotts 06-12-2020 12:11 2942131

Он запускает от того юзера, что залогинен на ПК, на шару лезет залогиненный юзер. Авторизацию в скрипте можно прописать разную. Можно лезть от админа и запускать скрипт, а можно под правами юзера.

А вот сам скрипт с какого ПК или сервера, ломиться на все ПК. ПО этому отлавливать нужно на конкретном ПК юзера.

PS
тему просил уже 3 раза перевести в раздел вин 10, так как к серверу эта тема не имеет ни какого отношения. Шара могла быть на ПК или на НАСе, было бы ровно тоже самое. Да и скрипт может быть банально на каком-нибудь терминале...


Время: 00:50.

Время: 00:50.
© OSzone.net 2001-