1

В моем офисе кто-то весело делает глупую шутку: он создает сотни маленьких текстовых файлов и отправляет их по внутренней сети на наших рабочих столах. Там нет брандмауэра или других механизмов безопасности, чтобы помешать вам сделать это. Очевидно, что каждый из моих коллег отрицает, и я хотел бы выяснить, кто шутник :)

Есть ли способ узнать, кто отправляет файл по сети на ваш компьютер? Я не смог найти способ узнать, кто является автором файла, и не получить уведомление, когда передача по сети происходит.

Мы все используем Windows 10 Pro с правами администратора. Мы очень маленькая команда, поэтому безопасность нашей сети не так высока.

3 ответа3

2

Может быть лучше подходит для security.stackexchange.com, но ...

Очевидное первое, что нужно проверить - это создатель / владелец файла. Предполагая, что вы не делаете ничего сумасшедшего, например, делитесь друг с другом учетными данными, а вместо этого у вас есть Active Directory или подобная система, где у каждого пользователя есть собственная учетная запись, это может сказать вам, кто создал файлы. Это можно увидеть в диалоговом окне «Свойства» (вкладка «Безопасность», нажмите «Дополнительно» и найдите владельца в верхней части окна). К сожалению, владелец файла может быть изменен любым пользователем с достаточными правами, поэтому ваш шутник может скрывать свои следы / устанавливать ложный флаг таким образом.

Если файлы идут в определенный каталог (или в отдельный путь к файлу), вы можете включить аудит для этого каталога / файла и посмотреть, когда и кем он будет записан. Свойства -> Безопасность -> Дополнительно -> Аудит, создайте новое правило для всех пользователей (или по одному для каждого подозреваемого) и убедитесь, что вы проверяете операции создания файла / записи и добавления / создания каталога. Эти операции появятся в журнале событий безопасности.

Вы также можете проверить журналы для входа / сетевых событий, но они могут не регистрироваться или могут быть потеряны в шуме.

Если вы уловили текущее действие, используйте команду net session из консоли администратора (CMD или Powershell), чтобы узнать, кто в данный момент использует сетевой ресурс на вашем компьютере и с какого компьютера он приходит.

0

Чтобы узнать, что происходит в вашей сети без центрального сервера управления, вам нужно использовать инструмент сниффинга, такой как Wireshark

Узнайте больше здесь

https://blogs.technet.microsoft.com/yongrhee/2018/05/25/network-tracing-packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012- 2/

-1

Существует очень простой способ сделать это. Если у вас есть доступ ко всем компьютерам, пока всех нет, вы можете проконсультироваться по использованию сети на каждом компьютере:

  • Войдите в компьютер
  • Зайдите в Настройки ПК -> Сеть и Интернет
  • Выберите "Использование данных"
  • Теперь вы можете просматривать объем данных, отправленных по сети за последние 30 дней, и используемые для этого утилиты:

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .