Вопрос - Как определить кто заливает в расшаренную папку файлы

Вопрос - Как определить кто заливает в расшаренную папку файлы

Charg

Ветеран

Сообщения: 2798
Благодарности: 469

В продолжение этой темы http://forum.oszone.net/thread-312058.html

Суть вопроса - есть пк под управлением Windows 7. На этом пк расшарена папка, и она работает как файлопомойка для других юзеров.
Пользователи со своей стороны имеют на рабочем столе ярлычок который ссылается на \\имяпк\папка (возможно у некоторых подключено как сетевой диск).

Несколько недель назад в этой папке начали появляться exe-шники с названием папки и иконкой папки. Короче говоря, вирус. Но, сам пк не инфицирован (проверял авз и кьюритом).

Задача - определить имя пк либо айпи адрес пк, который эти файлы заливает в папку.

Как это сделать? Встроенный в виндовс аудит записи\чтения в данном случае не помог, потому что событие создание файла в папке не регистрируется, только его воспроизведение либо модификация. И плюс ко всему этому, даже если бы и регистрировал - в событиях всё равно нет информации о том кто инициализировал создание этого файла (имя пк или айпи) - а только учетная запись (а там включен гостевой доступ, потому что со стороны клиентов есть учетные записи с одинаковым именем но разными паролями).

Может есть какой-нибудь софт, который мне поможет, или я что-то упускаю?
Либо, если вопрос решается каким-нибудь другим способом - я весь внимание

Отправлено: 11:38, 14-03-2016

Charg

Ветеран

Сообщения: 2798
Благодарности: 469

Профиль | Отправить PM | Цитировать

Вот пример события доступа к файлу.

Скрытый текст

Могу ли я как-то определить кто входил под учеткой гостя по SubjectLogonId?
Гугл по любым запросам настойчиво предлагает гайды с сотен сайтов о том как включить аудит (а он у меня и так очевидно включен), но не хочет объяснять что это за параметры и как их использовать =\

Отправлено: 11:35, 15-03-2016 | #11