Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Как узнать, с какого IP адреса подключались к серверу? (http://forum.oszone.net/showthread.php?t=81479)

sfap 23-03-2007 11:41 565715
Как узнать, с какого IP адреса подключались к серверу?
 
У меня проблема. Дело в том, что есть подозрение, что кто-то знает пароль админа контроллера домена. Его замена не поможет, так как некоторым людям я все-равно должен буду сказать, а они могут либо сообщить налево, либо сами чудес натворить. Мне необходимо именно средство аудита, показывающее, с какого адреса заходил злоумышленник, чтобы провести потом с ним разъяснительную беседу. так работать больше не возможно. Каждый день что-то отваливается, и выглядит это со стороны так, как будто дело в моих кривых руках, что наводит некоторых на мысль, о неадекватности сис админа. Знаю, что некоторым это выгодно- поставить на мое место своего человека, и продолжать беспредел, который был до моего прихода в эту компанию........

Подскажите что-нибудь для решения этой проблемы....

gf100 23-03-2007 12:21 565726
sfap
Если я не ошибаюсь, можно разрешить вход администраторам только с фиксированных (определенных) адресов... Это, кажется, делается через политики.
А если нужен просто аудит, просто включи его, ну и настрой под конкретную задачу.

monkkey 23-03-2007 13:25 565747
Цитата:
так как некоторым людям я все-равно должен буду сказать
Так НЕ ДЕЛАЕТСЯ! Если необходимо кому-то выполнять некоторые задачи, то это решается делегированием. Иначе хвостов всё равно не найдете.

sfap 23-03-2007 13:29 565750
С других адресов мне и самому иногда заходить нужно, хотя, обычно только на разшаренные ресурсы. Мне нужно, чтобы именно по RDP никто не мог подключиться к удаленному рабочему столу, или, чтобы могли, но, если IP адрес подключаемого не входит в список разрешенных, то в логах писалось, что был был подключен пользователь с таким- то адресом. А я уж сам разберусь- был ли это я, или кто-то другой... Так же неплохо было бы контролировать не только удаленному рабочему столу, но и все дыры: telnet, например.

Butunin Klim 23-03-2007 13:38 565754
sfap
Я бы посоветовал Вам поставить ISA там все можно настроить и логи пиет и можно поставить выполнение определнный программ например при запуске RDP у меня так стоит.
При обращении к 3389 мне на почту падает поччта с отчетом что было попытка подключения с такого то ip

sfap 23-03-2007 13:52 565761
Цитата:
Так НЕ ДЕЛАЕТСЯ! Если необходимо кому-то выполнять некоторые задачи, то это решается делегированием. Иначе хвостов всё равно не найдете.
Вы совершенно правы, я навожу порядок, но не все сразу, просто настраивать этот домен нет смысла- я все равно провожу миграцию в новый домен, о проблемах с которой пишу в другой теме. Собираюсь именно так и сделать, но когда я пришел сюда работать- то начинал с малого, и самого важного. У меня контроллер домена стоит собранный в корпусе Codegen за 25 баксов, на нем нету RAID, стояла бухгалтерия, причем не только 1С, но и ееще специфическая программа. известная только в наших краях, так же клиент-банк и Kerio Mail, а на вторичном контроллере домена лежит база данных компании, на которой работают несколько человек, и этот компьютер стоял не в серверной, а у пользователя, и она на нем работала, имея права админа контроллера домена, (и не только она одна, а еще человека четыре) и еще возмущалась, когда я пытался его забрать. При всем этом местный админ не считал нужным делать бэкап. Не сочтите это за флуд, просто попёрли из меня эмоции....... При такой организации сети, если один сервер ляжет, то фирма парализована полностью на то время, когда я восстанавливаюсь из бэкапа......

Вот, проведу миграцию, и буду наводить порядки, и правильно права раздавать. Тогда я полезу на этот же форум, только в другие темы, и искать ответы уже на другие вопросы :)

Цитата:
Я бы посоветовал Вам поставить ISA там все можно настроить и логи пиет и можно поставить выполнение определнный программ например при запуске RDP у меня так стоит.
При обращении к 3389 мне на почту падает поччта с отчетом что было попытка подключения с такого то ip
Мне это нравится. Расскажите поподробней про ISA. Это входит в дистрибутив, или отдельно ставится? Какая версия на сегодняшний день самая новая, и стабильная? Какую версию можно ставить на WIn 2000?

Butunin Klim 23-03-2007 13:53 565764
ISA

sfap 23-03-2007 15:00 565798
Я почитал о возможностях ISA-мне показалось громоздкий продукт. Насколько я понял, это ориентировано для организации прокси с расширенными возможностями, причем причем упор делается для защиты доступа из вне. У меня же ситуация другая: прокся у меня есть отдельная, причем на Linux. А до нее еще стоит роутер, то есть меня сейчас беспокоит не возможность проникновения злоумышленника из вне (хотя и это не исключено), а контроль доступа внутри сети. Я догадываюсь- кто может заниматьсся вредительством, но мне нужны доказательства.....

Butunin Klim 23-03-2007 15:06 565801
Ну тогда включите аудит если не нужен такой продукт.

sfap 23-03-2007 15:32 565808
Аудит неудобен тем, что он показывает слишком много событий, например когда каждый юзер логинится в домене, в итоге журнал превращается в огромную свалку сообщений, найти среди которых одно невзрачное достаточно трудно. Должна же быть какая-то маленькая, но очень полезная утилитка, которая, например отправит сообщение мне на почту в случае попытки доступа по RDP к серверу с IP, который не значится в списке разрешенных....

Butunin Klim 23-03-2007 15:43 565812
Сортировка 540 538 номер это же просто.
Можно все это запихнуть в базу данный тот же самый mysql и там еще проще все будет

Или сделайте просто простой батник или стороний софт типа sendmail. Далее создать журнал оповещений вставить туда нужный счётчик если он привысит определеный предел то посылать вам оповещение.

sfap 23-03-2007 16:57 565849
Цитата:
Сортировка 540 538 номер это же просто.
Можно все это запихнуть в базу данный тот же самый mysql и там еще проще все будет

Или сделайте просто простой батник или стороний софт типа sendmail. Далее создать журнал оповещений вставить туда нужный счётчик если он привысит определеный предел то посылать вам оповещение.
Интересный вариант. Надо попробовать. А, если в MySQL затолкать, то как это делать, и как оттуда доставать. И сколько ресурсов кушать будет ?

Igor533 25-03-2007 11:50 566298
Аудит- вешь настраиваемая, все в ваших руках.
Кроме того есть такая фиговина, которая называется система разрершений. Аддитионал домен контроллер может бежать на простых декстопах, не надо делать бошество из серверного железа. Можешь сделать еще два ДК и убрать ДК с сервера С1, тогда и никому ненадо будет знать пароль админа.
Главное, это стремляние к порядку:)))

djoniAg 26-03-2007 07:58 566527
вот такой скриптик может помочь , его надо присвоить через гр политику всем , или например повесить на одну машину в автозагрузку
logon.vbs :
Код:
Const ForAppending = 8
Set filesys = CreateObject("Scripting.FileSystemObject")
Set WshNetwork = CreateObject("WScript.Network")
Set filetxt = filesys.OpenTextFile("\\it-13\c$\logon\logon.html", ForAppending, TRUE)
strComputer = WshNetwork.ComputerName
strUser = WshNetwork.UserName
strDate = FormatDateTime(Date(), 1)
strTime = FormatDateTime(Time(), 4)
filetxt.WriteLine("<tr><td>" & strUser & "                            <td>" & strComputer & "        <td>"& strDate & "        " & strTime & "<tr><br>")
filetxt.Close
по пути \\it-13\c$\logon\logon.html (папку только не забудь создать и права на нее всем) будет твой лог который отлично смотрится в браузере


Время: 23:26.

Время: 23:26.
© OSzone.net 2001-