سرقت اطلاعات ( در آوردن ریز کارهای سارق )

**LionHeart** · 2012-01-25, 11:58 PM

سلام خدمت دوستان
اخیرا در شبکه که پشتیبانی میکنیم گویا یک نفر اومده بدون اجازه پشت استیشنی که نباید میشسته نشسته
که تویه Event viewer زده با یوزر خودش لاگین هم کرده در بازه های مختلف
حالا نکته اصلی اینه که آیا این اطلاعاتی از رویه شبکه برداشته یا نه
این رو باید از کجا چک کنم که فایلی از رویه شبکه برداشته یا رویه کول دیسکش ریخته باشه و یا ....
ریز کارهایی که کرده را میخواستم
چون تویه Event viewer هرچی زدم هیچ لاگی واسه این چیزی که من میخواستم نبود
آیا میشه این ها را در آورد
نسخه سرور هم 2003 هست
ممنون میشم دوستان در این زمینه راهنمایی بفرمایند

موضوعات مشابه:

**LionHeart** · 2012-01-26, 02:06 PM

نوشته اصلی توسط LionHeart

سلام خدمت دوستان
اخیرا در شبکه که پشتیبانی میکنیم گویا یک نفر اومده بدون اجازه پشت استیشنی که نباید میشسته نشسته
که تویه Event viewer زده با یوزر خودش لاگین هم کرده در بازه های مختلف
حالا نکته اصلی اینه که آیا این اطلاعاتی از رویه شبکه برداشته یا نه
این رو باید از کجا چک کنم که فایلی از رویه شبکه برداشته یا رویه کول دیسکش ریخته باشه و یا ....
ریز کارهایی که کرده را میخواستم
چون تویه Event viewer هرچی زدم هیچ لاگی واسه این چیزی که من میخواستم نبود
آیا میشه این ها را در آورد
نسخه سرور هم 2003 هست
ممنون میشم دوستان در این زمینه راهنمایی بفرمایند

دوستان یه راهنمایی بکنند ممنون میشم

تیتر جنایی زدیم که دوستان هم بیان راهنمایی کنند دیگه

**Sinozit** · 2012-01-26, 05:43 PM

با سلام

بنده ویندوز کار نیستم اما تا جایی که اطلاع دارم شما می بایستی خصوصیت auditing را فعال می کردید .

با تشکز

**LionHeart** · 2012-01-30, 06:45 PM

سلام دوست عزیز
با تشکر از شما به خاطر راهنماییتون
یه بخشی تو Event viewer فعاله که به نام Security Audit هست که اونجا هم فقط لاگین و لاگ اوت را ثبت کرده
الان شدیدا به این احتیاج دارم که ببینم آیا طرف فایلی را کپی کرده یا نه ؟

دوستان حرفه ای راهنمایی کنند به شدت ضروری است

با تشکر از تک تکتون ..........

**mkm** · 2012-01-30, 07:29 PM

من فکر نکنم راهی باشه ! مگر اینکه قبلا نرم افزاری که مخصوص اینجور کاراست رو نصب میکردی !

**richman** · 2012-01-30, 08:11 PM

دوست عزیز
راهش همون auditing هستش که در نهایت فعال کزدن آن باعث میشه که شما بروی event view یه لاگ رو نگاه کنید..اما قبل از هر چیز auditing باید بروی سیستم مورد نظر کانفیگ بشه که برای ان به مسر زیر برو
run->gpedit.msc->computer configuration->security setting->audit policy
در اونجا باید گزینه audit object access را در دوحالت succ, fail فعال کنی..
تا انجا فقط auditing رو فعال کردی..حال این سوال پیش میاد که برای کجا وبروی چه کاربری فعال شده است؟؟
در اینجا شما باید کل ویندوز رو بصورت ابجکت ببینید حال باید به پوشه ای که میخای انرا مانیتور کنی بری و به مسیر زیر بروی پوشه بری
right click->properties->security tab->advance->auditing

در اینجا مشخص میکنی برای چه کسی و در چه مواردی لاگ auditing ایجاد بشه....در نهایت وقتی شحص مورد نظر کار خاصی روی این پوشه انجام بده لاگ ان در event viewer مشخصه...
نکته اینکه لاگها زیاد هستن و اگر بخای باید شماره id عمل مورد نظر را باید از ماکروسافت پیدا کنی تا فقط همون لاگهای مورد نیازت رو فیلتر کرده و سر خودت را با لاگ خوندن گرم نکنی
مثلا من در یه پروژه برای اینکه ببینم چه کسی فایل های پوشه خاصی را پاک میکنه این عملیات را انجام دادم.....
شاد باشی

**hadihadi2** · 2012-01-30, 11:23 PM

یه مرور بر مباحث CHFI (بررسی جرایم رایانه ایی) داشته باشید در این زمینه میتونه کمک کنه

موضوع: سرقت اطلاعات ( در آوردن ریز کارهای سارق )

پیوند

ابزارهای موضوع

نمایش

سرقت اطلاعات ( در آوردن ریز کارهای سارق )

کلمات کلیدی در جستجوها:

برچسب برای این موضوع

مجوز های ارسال و ویرایش