Remove From My Forums

Мониторинг действий админов

Вопрос
0

Нужно войти

Добрый день!

В сети завелся барабашка, который меняет название учётных записей (например с иванова на ивановец и обратно), гасит виртуальные машины и вообще саботирует работу. Есть 5 учёток с правами админа. Забрать права возможности нет т.к. они нужны для работы. Можно ли как нибудь отследить кто и что меняет. Какой-нибудь тотальный контроль действий на серверах с возможностью отсыла лога или уведомления об определённых действий по почте. Парк около 50 серверов, на каждом логи смотреть каждый день очень неудобно.

15 февраля 2013 г. 16:32

Ответить

|

Цитировать

Ответы

3

Нужно войти
Добрый вечер. Настройте расширенный аудит событий безопасности, и ни одна мышь не проскочит.

http://technet.microsoft.com/ru-ru/library/ff182311(v=ws.10).aspx

http://technet.microsoft.com/ru-ru/library/dd408940(v=ws.10).aspx

странно, что люди вообще позволяют такое, Предположу что даже не подозревают о возможностях отчета о всех действиях, выполненных недобросовестным администратором. Уведомления вы можете переслать простым сборщиком подписок на евенты, или событием- триггером. Самый быстрый и простой вариант, думаю сумеете для себя приспособить.

Всех благ.
- Предложено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 19 февраля 2013 г. 13:09
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 13 марта 2013 г. 12:56
15 февраля 2013 г. 19:04

Ответить

|

Цитировать

Отвечающий

Все ответы

0

Нужно войти

Все пятеро в курсе этой ситуации? С людьми вы говорили? В чем выгода саботажа? Принудительно смените пароли (может произошла утечка паролей)? Есть ACS (Audit Collection Service) для SCOM, но его нужно настраивать...

15 февраля 2013 г. 17:06

Ответить

|

Цитировать
0

Нужно войти

в курсе начальник. с людьми говорить не вариант. никто не признается что накосячил. образное название саботаж. ASC позволяет отсылать уведомления?

15 февраля 2013 г. 17:31

Ответить

|

Цитировать
3

Нужно войти
Добрый вечер. Настройте расширенный аудит событий безопасности, и ни одна мышь не проскочит.

http://technet.microsoft.com/ru-ru/library/ff182311(v=ws.10).aspx

http://technet.microsoft.com/ru-ru/library/dd408940(v=ws.10).aspx

странно, что люди вообще позволяют такое, Предположу что даже не подозревают о возможностях отчета о всех действиях, выполненных недобросовестным администратором. Уведомления вы можете переслать простым сборщиком подписок на евенты, или событием- триггером. Самый быстрый и простой вариант, думаю сумеете для себя приспособить.

Всех благ.
- Предложено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 19 февраля 2013 г. 13:09
- Помечено в качестве ответа Petko KrushevMicrosoft contingent staff, Moderator 13 марта 2013 г. 12:56
15 февраля 2013 г. 19:04

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

в курсе начальник. с людьми говорить не вариант. никто не признается что накосячил. образное название саботаж. ASC позволяет отсылать уведомления?
Нет. ACS используется только для генерации отчетов. Плюс его в том, что все логи безопасности складываются в 1 базу, с которой можно делать все что нужно.
Blog - Smtp25.ru

16 февраля 2013 г. 8:26

Ответить

|

Цитировать

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Лучший отвечающий

Мониторинг действий админов

Вопрос

Ответы

Все ответы