Как отследить, какую информацию скачивают на флешки?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как отследить, какую информацию скачивают на флешки? - 2008-10-29 16:33:39.703333
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
У моего хорошего друга админа, возникла такая ситуация, кто-то выносит конфедецеальную информацию. Ему поставили задачу срочно решить данную проблемму. Необходиом установить установить шпиона, который будет отслеживать какую информацию закачивали на флешку и отсылал данную информацию по сети. Все компы подключены к сети и находяться в Домене под управлением ОС Windows Server 2003.
Подскажите есть ли такие проги, если есть то как называються??? Заранее Спасибо!!!
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-10-30 01:46:38.390000
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
ibm endpoint security
symantec endpoint security
mcafee endpoint security
cisco endpoint security
и тута чел отписал как вручную собрать
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-10-30 07:50:07.433333
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Все указанные программы выше направлены на усиления защиты локальной сети. Это не совсем то, что необходимо. Нужна программа которая делат отчет или создает логи, в которых пишеться какой пользователь или с какого компьютера была записана та или иная информация на флешку…
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-10-30 09:15:31.513333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Точно такой нет, думаю не сложно написать
Можно системынми политиками запретить доступ к USB, ограничить круг тех, кто имеет доступ к конф информации, поставить всем проги записывающие действия
Почитай ИТ СПЕЦ, там по этому поводу несколько номеров было
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-10-30 09:29:43.346666
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
уже закрыли доступ, однако не всем. Родственники руководства не попадают под это число ("Восток дело тонкое"). Поэтому и появилась идея установить удаленного шпиона. Я хоть и по оброзаванию прогер, однако что-то такое подобное написать не смогу….
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-10-30 12:57:09.153333
|
|
|
med
Сообщений: 138
Оценки: 0
Присоединился: 2006-06-12 21:06:38
|
просмотреть абсолютно всё что сливается на usb не возможно (при условии что разрешено использование любых usb а не только usb носителей выданных компанией с привязкой к конкретному пользователю).
если ресурсы расположены по шарами или даже локально, то можно сделать вот что:
1) gpedit > local > audit > audit object access suсcess/failure
2) под свойствами шары/папки/тома > security > advanced > auditing
3) в security log, фильтр по source: security & category objects access
если ресурсы расположены в базе данных там свой аудит нужно настраивать в зависимости от движка.
в общем если нужно реально заткнуть дырку от утечек, необходимо чувствительную инфу держать централизованно, строго контролируя доступ к оной, проще ведь держать оборону одного сервака нежели чем контролировать каждый комп в офисной сетке.
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-10-30 14:35:29.176666
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Есть оказываеться прога, называеться DeviceLock 6.3, однако теперь кряк на неё не могу найти, ибо стоит она не мало….
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-01 14:19:23.340000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
quote:
ORIGINAL: WinLinux
Есть оказываеться прога, называеться DeviceLock 6.3, однако теперь кряк на неё не могу найти, ибо стоит она не мало….
И чего? Это именно то что я и говорил - закрыть доступ
Однако тобой же было написано, что это не получилось
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-01 14:44:24.333333
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: WinLinux
Есть оказываеться прога, называеться DeviceLock 6.3, однако теперь кряк на неё не могу найти, ибо стоит она не мало….
Ну… этт вряд ли(С)Луспекаев
На торрентах надо искать, там любой коросты навалом.
Я бы сам искал, если бы эта прога, хоть что-нибудь, полезное делала.
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-01 19:48:52.786666
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Она не только блокирует, а также создает отчет и нарправялет на указнный комп где полностью выводиться, куда и что копировали, а также заходили и тд.
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-03 14:41:24.686666
|
|
|
HUGO_BOSS
Сообщений: 2146
Оценки: 157
Присоединился: 2007-11-22 09:38:07.850000
|
quote:
ORIGINAL: WinLinux
У моего хорошего друга админа, возникла такая ситуация, кто-то выносит конфедецеальную информацию. Ему поставили задачу срочно решить данную проблемму. Необходиом установить установить шпиона, который будет отслеживать какую информацию закачивали на флешку и отсылал данную информацию по сети. Все компы подключены к сети и находяться в Домене под управлением ОС Windows Server 2003.
Подскажите есть ли такие проги, если есть то как называються??? Заранее Спасибо!!!
———————————————-
Рекомендую Lan Agent. Там все есть, она записывает логи всего что делал Юзер на компе. Гугл в помощь
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-03 16:44:57.843333
|
|
|
LynXzp
Сообщений: 307
Оценки: 0
Присоединился: 2007-01-12 23:20:28.196666
|
Скачай Хакер Спец 09(70)2006 Шпион внутри - там разобрано много софта.
Не беда что старый, функциональности софта хватит, к тому же возможны обновления.
Главное чтобы антивирусы не ругались.
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-03 19:21:39.710000
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
Вот, нашел, очень даже прикольная програмка, по крайней мере особенности, которые мне понравились, итак, USB WatchDog:
1. Четко определяет "вставили\вынули" флешку
2. Различные варианты действия при наступлении пункта 1:
1). Оповещение звуковым сигналом спикера. Полезно тем, что спикером (системным динамиком) оборудуется большинство машин. Если целью является простое привлечение внимания окружающих - можно использовать эту опцию
2). Оповещение, проигрыванием звукового файла.
3). Оповещение по сети, посредством службы рассылки сообщений net send
4). Выполнение произвольной программы, пакетного файла или файла сценария Windows. При помощи этой опции можно задать произвольное действие, которое будет выполняться при наступлении события.
Тут есс-но, особо интересны пункты 3) и 4) (т.е. в принципе немножко подумать и можно получить то, что душе угодно)
3. Прога абсолютно бесплатна
4. Есть возможность отслеживать не только USB (тут не проверял)
5. Настраивается на авторан + пароль любой (твой, по дефолту "111111")
Из недостатков - видимая иконка в трее, возможность убить сей контроль через CTRL+ALT+DEL и просто завершить процесс - пароль тут не помогает (ну это решается ограничением прав, если что)
В общем рекомендую
http://www.gasizdat.narod.ru/projects/usbwatchdog/usbwatchdogindex.htm
=============================================
Прогнал на вирустотале - норма, за исключением одного антивируса (далеко не самый авторитетный), назвал подозрительным, но это и понятно, шпион в некотором роде
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-03 20:24:10.220000
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Спасибо всем за учачстие, а особенно HUGO_BOSS, LynXzp, Pashkela, Вам +2 за дельные овтеты :)
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-05 18:14:39.053333
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
Гы, оказалось все еще проще, как обычно мой любимый VBS:
1. Открываем ОБЫЧНЫЙ блокнот
2. Вставляем туда следующий код:
On Error Resume Next
FileDestination = "result.txt"
Set FSO = CreateObject("Scripting.FileSystemObject")
Set Destination = FSO.CreateTextFile(FileDestination)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\cimv2")
Set colMonitoredEvents = objWMIService.ExecNotificationQuery _
("SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE " _
& "Targetinstance ISA 'CIM_DirectoryContainsFile' and " _
& "TargetInstance.GroupComponent= " _
& "'Win32_Directory.Name=""e:\\\\""'")
Do
Set objLatestEvent = colMonitoredEvents.NextEvent
Str = objLatestEvent.TargetInstance.PartComponent
Destination.WriteLine Str
Loop
Обратите внимание на эту строчку:
& "'Win32_Directory.Name=""e:\\\\""'")
здесь "е" - имя диска, которое присвается вашему USB. Соотвественно правьте под свои настройки
3. Сохраняем как Mega_monitor.vbs
4. Запускаем
Всё. Теперь любой файл, скопированный на флешку, будет залогирован в отчет result.txt, что появица в той же папке, где лежит
Mega_monitor.vbs
ЗЫЖ Недостатки - мониторит только копирование файлов в корень флешки. Не мониторит также копирование папок (целиком). Но если очень надо, скрипт легко доделать и для мониторинга этих вещей:)
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-05 22:48:33.113333
|
|
|
Light Alloy
Сообщений: 1055
Оценки: 0
Присоединился: 2008-06-26 22:19:38.730000
|
если знаеш с какой флешкой тырят можеш проверить удаленые файлы влешки с помошью востановителя файлов
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-06 12:17:33.170000
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Чем дальше тем все интереснее стаовиться… Pashkela +2, классный скрипт, только вот ещё в нем минус имя съемного диска везде разное. А можно добавить в скрипт возможность позволяющая проверять несколько дисков например: F,G,H ???
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-06 14:46:16.890000
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
Вот универсальное решение независимо от буквы диска (правда пришлось помучиться):
' Тут начинаем сканирование на наличие новых дисков (т.е. ожидаем, пока воткнут что-нибудь)
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2")
Set objEvents = objWMIService.ExecNotificationQuery _
("SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE " & _
"TargetInstance ISA 'Win32_LogicalDisk'" & _
" AND TargetInstance.DriveType = 2")
a=0
Do While a=1
Set objReceivedEvent = objEvents.NextEvent
disk=objReceivedEvent.TargetInstance.Name
a=1
Loop
Set objWMIService = Nothing
Set objEvents = Nothing
disk = disk & "\\\\"
' Тут сканирование закончивается, если вставили USB (или любой другой съемный носитель - буква диска зафиксирована)
'Тут запускаем логирование копирования файлов на съемный носитель
FileDestination = "result.txt"
Set FSO = CreateObject("sсriрting.FileSystemObject")
Set Destination = FSO.CreateTextFile(FileDestination)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\cimv2")
Set colMonitoredEvents = objWMIService.ExecNotificationQuery _
("SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE " _
& "Targetinstance ISA 'CIM_DirectoryContainsFile' and " _
& "TargetInstance.GroupComponent= " _
& "'Win32_Directory.Name=""" & disk & """'")
Do
Set objLatestEvent = colMonitoredEvents.NextEvent
Str = objLatestEvent.TargetInstance.PartComponent
Destination.WriteLine now() & "--" & Str
Loop
Чтобы диск "А" постоянно не пукал - отключи его в "Мой компутер" -"Диспетчер устройств" или физически
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-23 17:35:35.683333
|
|
|
tеstеr
Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
|
Тема уже давно закрыта, но думаю сказать стоит.
Я не уверен на счет скрипта на vbs.
По своему скромному опыту работы в FSO знаю, что после того как файл перерастет размер 4К байт (или 4М байт, не помню точно) WriteLine перестанет в него писать.
Значит если средняя строка лога ~= 200 байт, то лога хватит на 20 строк.
Я как то решил XSLT процессор реализовать на vbs.
Создавал объект MSXSL, он преобразовывал из xml+xsl в html, и всё работало, пока размеры файлов были небольшими.
Пришлось писать на языке посерьезней - на C++.Net - код получился один в один такой же, даже малость попроще.
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-23 20:52:07.180000
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
quote:
ORIGINAL: tеstеr
По своему скромному опыту работы в FSO знаю, что после того как файл перерастет размер 4К байт (или 4М байт, не помню точно) WriteLine перестанет в него писать.
Насчет 4кб - гы просто. А 4 мб текста - вообще представляете, что это за лог такой? Если так плющит, можно хоть каждый день новый лог писать, что кстати и целесообразней. Имя нового лога=текущая дата. И все проблемы с размерами решены.
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-23 21:35:22.790000
|
|
|
_Mrak_
Сообщений: 125
Оценки: 0
Присоединился: 2005-07-14 17:44:55
|
знаю прогу которая скачает на хард все с воткнутой флешки незаметно, может поможет?
usbdumper называется
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-11-24 00:39:04.736666
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
А тут исходники. Бесплатные и в сети ничего похожего не видел (только разрознено)
|
|
|
|
|
RE: Как отследить, какую информацию скачивают на флешки? - 2008-12-23 05:19:52.586666
|
|
|
Оптимизатор
Сообщений: 881
Оценки: 0
Присоединился: 2007-06-23 08:23:03.333333
|
quote:
В общем рекомендую
http://www.gasizdat.narod.ru/projects/usbwatchdog/usbwatchdogindex.htm
очень полезная информация, сэнкс ++
|
|
|
|
|
|
