Средство мониторинга Windows 2003 Server для записи файлов
У меня небольшая проблема с трояном. У нас есть Windows 2003 Server, настроенный с разделом для совместного использования файлов в целях резервного копирования. В нашей сети около 50+ компьютеров с доступом к этим папкам. Проблема заключается в том, что каждый раз, когда зараженные компьютеры перезагружаются, они записывают скрытый файл и исполняемый файл (зависит от источника, например: khw, vfixbi.exe) в каждую папку, к которой у него есть доступ к сети. Я думаю, что скрытый файл установлен с точной датой и временем записи, но исполняемый файл случайно датирован. Я вылечил несколько, но они продолжают появляться.
Есть ли способ определить, что ПК /IP записывает в эти папки, чтобы мне не пришлось сканировать каждый компьютер на сайте / удаленно.
Есть ли в Windows встроенный инструмент или я могу установить определенное программное обеспечение для их отслеживания?
Спасибо.
2 ответа
Если вы щелкнете правой кнопкой мыши по файлу и перейдете в свойства, найдите владельца файла. это должно сказать вам, какая учетная запись пользователя создала его. Если все не используют один и тот же аккаунт, это должно сработать.
... мне неприятно это говорить... но вам действительно следует запускать программное обеспечение AV на КАЖДОМ компьютере, подключенном к вашей сети. Кажется, вам пока повезло, и вы столкнулись только с вирусом, пытающимся самораспространиться. К сожалению, нет способа определить, на какой машине был написан вирус... но, как сказал Ричард, вы можете определить владельца файла... при условии, что вы требуете, чтобы ваши пользователи входили в систему, используя уникальные имена пользователей. Если это полностью открытая папка без каких-либо разрешений или все используют одно и то же имя пользователя... вы только что вступили в большую кучу дел.
ВСЕГДА должны использоваться основные принципы безопасности. Все пользователи, подключающиеся к вашей сети, должны иметь уникальные имена пользователей и пароли. И не должно быть никаких общих ресурсов, открытых для записи и доступных для записи без входа действительного пользователя. Антивирусное программное обеспечение в среде Windows НЕОБХОДИМО... (и хорошая идея в среде *nix/mac тоже)