Найти, кто отправляет файлы по внутренней сети

268
Oneiros

В моем офисе кто-то весело делает глупую шутку: он создает сотни маленьких текстовых файлов и отправляет их по внутренней сети на наших рабочих столах. Там нет брандмауэра или других механизмов безопасности, чтобы помешать вам сделать это. Очевидно, что каждый из моих коллег отрицает, и я хотел бы выяснить, кто шутник :)

Есть ли способ узнать, кто отправляет файл по сети на ваш компьютер? Я не смог найти способ узнать, кто является автором файла, и не узнать, когда происходит передача по сети.

Мы все используем Windows 10 Pro с правами администратора. Мы очень маленькая команда, поэтому безопасность нашей сети не так высока.

1
Щелкните правой кнопкой мыши по одному из файлов -> нажмите «Свойства» -> перейдите на вкладку «Сведения» -> найдите элемент «Владелец», в котором должен быть указан его владелец (надеюсь, это будет пользователь, которого вы сможете определить). Kinnectus 5 лет назад 0
К сожалению, там есть мое имя, я уже проверил Oneiros 5 лет назад 0
ОК, возможно, вы захотите изучить включение ведения журнала брандмауэра Windows. Затем вы можете сопоставить время создания файла, с которым компьютер общается с вашим компьютером во время создания файлов. https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/ Kinnectus 5 лет назад 0
Кроме того, вы должны предупреждать своего менеджера о злоупотреблении вашей сетью / компьютерами. Kinnectus 5 лет назад 0
Не зная, как файлы передаются (Windows File Sharing?), Вы не можете остановить это. Где находятся файлы на зараженных ПК? Почему эта папка доступна? Daniel B 5 лет назад 0

3 ответа на вопрос

2
CBHacking

Может быть лучше подходит для security.stackexchange.com, но ...

Очевидное первое, что нужно проверить - это создатель / владелец файла. Предполагая, что вы не делаете ничего сумасшедшего, например, делитесь друг с другом учетными данными, а вместо этого у вас есть Active Directory или подобная система, где у каждого пользователя есть собственная учетная запись, это может сказать вам, кто создал файлы. Это можно увидеть в диалоговом окне «Свойства» (вкладка «Безопасность», нажмите «Дополнительно» и найдите владельца в верхней части окна). К сожалению, владелец файла может быть изменен любым пользователем с достаточными правами, поэтому ваш шутник может скрывать свои следы / устанавливать ложный флаг таким образом.

Если файлы идут в определенный каталог (или в отдельный путь к файлу), вы можете включить аудит для этого каталога / файла и посмотреть, когда и кем он будет записан. Свойства -> Безопасность -> Дополнительно -> Аудит, создайте новое правило для всех пользователей (или по одному для каждого подозреваемого) и убедитесь, что вы проверяете операции создания файла / записи и добавления / создания каталога. Эти операции появятся в журнале событий безопасности.

Вы также можете проверить журналы для входа / сетевых событий, но они могут не регистрироваться или могут быть потеряны в шуме.

Если вы net sessionуловили текущее действие, используйте команду из консоли администратора (CMD или Powershell), чтобы узнать, кто в данный момент использует общий сетевой ресурс на вашем компьютере и с какого компьютера.

Потрясающие! Функция аудита - это именно то, что я искал ... давайте подождем, пока мышь попадет в ловушку :) Oneiros 5 лет назад 0
0
Ahmed Abdelazim

Чтобы узнать, что происходит в вашей сети без центрального сервера управления, вам нужно использовать инструмент сниффинга, такой как Wireshark

Узнайте больше здесь

https://blogs.technet.microsoft.com/yongrhee/2018/05/25/network-tracing-packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012- 2 /

-1
harrymc

Существует очень простой способ сделать это. Если у вас есть доступ ко всем компьютерам, пока всех нет, вы можете проконсультироваться по использованию сети на каждом компьютере:

  • Войдите в компьютер
  • Зайдите в Настройки ПК -> Сеть и Интернет
  • Выберите «Использование данных»
  • Теперь вы можете просматривать объем данных, отправленных по сети за последние 30 дней, и используемые для этого утилиты:

Похожие вопросы