none
Аудит доступа к расшаренным ресурсам в сети RRS feed

  • Вопрос

  • Здравствуйте, хотелось бы поинтересоваться, каким образом можно решить нижеописанную задачу.

    Имеем:

    Есть домен на базе Win2k8r3, в домене есть пользователь ЧакНорис, есть файловый сервер с миллионом расшаренных ресурсов и есть доменная сеть с ресурсами.

    Задача: Узнать, к каким ресурсам, из мильена ресурсов на файловом сервере и с какими правами имеет доступ, пользователь ЧакНоррис, а так же к каким ресурсам он имеет доступ в доменной сети.

    Как я понимаю на всю сеть сделать такой аудит не реально, т.к. все крутиться вокруг нтфс, на файловом сервере такая задача выполнима?

    Спасибо!


    • Изменено Sergey33Rus 18 сентября 2013 г. 7:02 ошибка
    18 сентября 2013 г. 6:53

Ответы

  • Добрый день.

    Спасибо за уточнение, теперь более ясно. Я думаю можно попробовать воспользоваться утилитой subinacl

    http://www.microsoft.com/en-us/download/details.aspx?id=23510

    Попробовал по быстрому - инфу выдает. Синтаксис примерно следующий :

    subinacl /testmode /noverbose /outputlog=c:\TEXTFILENAME.TXT /subdirectories=directoriesonly X:\*.* /findsid=DOMAIN\username

    TEXTFILENAME.TXT  - результаты

    Х: - где ищем

    Ну и пользователь и домен. С остальным думаю разберетесь


    Печенкин Николай

    • Помечено в качестве ответа Sergey33Rus 18 сентября 2013 г. 8:11
    18 сентября 2013 г. 7:52
  • Вообще-то, назначение разрешений на сетевые ресурсы должно проводиться с таким расчетом, чтобы членство пользователя в группах однозначно позволяло сделать вывод, к каким сетевым ресурсам имеет доступ пользователь. А так придется воспользоваться каким-либо анализатором, посмотрите, например, AccessChk.
    • Помечено в качестве ответа Sergey33Rus 18 сентября 2013 г. 8:21
    18 сентября 2013 г. 8:03
    Модератор

Все ответы

  • Добрый день.

    Создайте политику -  Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Audit object access

    включил  success и failure. Прилинкуйте к OU где лежит учетная запись файл сервера. После этого сможете в логах безопасности сделать фильтр по пользователю и видеть что он делал.


    Печенкин Николай

    18 сентября 2013 г. 7:29
  • Николай, этот метод известен, задача не проводить аудит, кто, что делал в конкретном ресурсе (по этой логике можно понять куда обращался пользователь, задача понять к каким ресурсам он имеет доступ, но не обращался по причине например не знания), а именно к каким вообще ресурсам пользователь имеет доступ.

    Хорошо, придумал пример, чтобы более понятен был вопрос. Сотрудник был уволен месяц назад, учетная запись отключена, СБ делает запрос, с просьбой предоставить данные, куда уволенный сотрудник имел доступы.

    Еще пример, после удаления пользователя из AD, в правах доступа на разные ресурсы остается только мертвый сид, и чтобы не плодить такие не понятные сиды, перед удалением инспектировать ресурсы, убирать доступы, удалять учетку.
    • Изменено Sergey33Rus 18 сентября 2013 г. 7:47
    18 сентября 2013 г. 7:41
  • Добрый день.

    Спасибо за уточнение, теперь более ясно. Я думаю можно попробовать воспользоваться утилитой subinacl

    http://www.microsoft.com/en-us/download/details.aspx?id=23510

    Попробовал по быстрому - инфу выдает. Синтаксис примерно следующий :

    subinacl /testmode /noverbose /outputlog=c:\TEXTFILENAME.TXT /subdirectories=directoriesonly X:\*.* /findsid=DOMAIN\username

    TEXTFILENAME.TXT  - результаты

    Х: - где ищем

    Ну и пользователь и домен. С остальным думаю разберетесь


    Печенкин Николай

    • Помечено в качестве ответа Sergey33Rus 18 сентября 2013 г. 8:11
    18 сентября 2013 г. 7:52
  • Вообще-то, назначение разрешений на сетевые ресурсы должно проводиться с таким расчетом, чтобы членство пользователя в группах однозначно позволяло сделать вывод, к каким сетевым ресурсам имеет доступ пользователь. А так придется воспользоваться каким-либо анализатором, посмотрите, например, AccessChk.
    • Помечено в качестве ответа Sergey33Rus 18 сентября 2013 г. 8:21
    18 сентября 2013 г. 8:03
    Модератор
  • Огромное спасибо!
    18 сентября 2013 г. 8:11
  • В дополнение нашел ShareEnum (не будет лишним) к subinacl и AccessChk 
    18 сентября 2013 г. 8:24