Сообщений в теме: 360

[borec_za_istinu]

Основная задача - иметь лог что когда и кем открывалось в плане приложений. Какие именно доки были открыты - уже не суть важно.
Ограничения уже реализованы посредством ГП, причём по самое не могу, единственно, с "белыми списками" сложности, ибо из %systemroot% тоже большую часть нужно бы не разрешать к запуску, а прописывать всё, чего оттуда должно быть разрешено - больно уж немаленький список получится.
Доки организованны по папка, со списком доступа по группам.
Вобщем, ничего кроме ведения логов и возможности экспорта логов в БД Access не треба.

Сообщение отредактировал borec_za_istinu: 25.08.2010, 16:20:48

[obormotoff]

Основная задача - иметь лог что когда и кем открывалось в плане приложений. Какие именно доки были открыты - уже не суть важно.
Ограничения уже реализованы посредством ГП, причём по самое не могу, единственно, с "белыми списками" сложности, ибо из %systemroot% тоже большую часть нужно бы не разрешать к запуску, а прописывать всё, чего оттуда должно быть разрешено - больно уж немаленький список получится.
Доки организованны по папка, со списком доступа по группам.
Вобщем, ничего кроме ведения логов и возможности экспорта логов в БД Access не треба.

Посмотрите в сторону
Lumension® Application Control
http://www.lumension...l-software.aspx

[borec_za_istinu]

Хм, это излишняя функциональность - проактивная защита на основе белых списков - это, конечно, хорошо, но в данном случае не требуется. Да и, как то не совсем понятно отличие функционала программы от того, что предлагают групповые политики, ну, разве что, та же проактивность. Но ежели включена SRP, особенно на основе хэшей - то и смысла в проактивности нету - лишняя загрузка ресурсов ПК.
Тут, скорее, какой-либо шпиён шужен, ведущий лог запускаемых приложений.

Сообщение отредактировал borec_za_istinu: 26.08.2010, 18:15:52

[DNS]

Основная задача - иметь лог что когда и кем открывалось в плане приложений. Какие именно доки были открыты - уже не суть важно.
Ограничения уже реализованы посредством ГП, причём по самое не могу, единственно, с "белыми списками" сложности, ибо из %systemroot% тоже большую часть нужно бы не разрешать к запуску, а прописывать всё, чего оттуда должно быть разрешено - больно уж немаленький список получится.
Доки организованны по папка, со списком доступа по группам.

StaffCop отследит всё, только вот не знаю насчёт экспорта логов в аксес, вроде он этого не умеет.

[borec_za_istinu]

только вот не знаю насчёт экспорта логов в аксес, вроде он этого не умеет.

Ну, хотя бы в CSV или ещё чего-то более-менее стандартное перекинет?

[obormotoff]

Тут, скорее, какой-либо шпиён шужен, ведущий лог запускаемых приложений.

Да нет, всё проще
Вам поможеет Logolot http://www.plixer.co...cts/logalot.php
Скармливаете ему эвент логи с целевых машин (почти реал-тайм при обработке), а далее формируете необходимые рипорты

[DNS]

только вот не знаю насчёт экспорта логов в аксес, вроде он этого не умеет.

Ну, хотя бы в CSV или ещё чего-то более-менее стандартное перекинет?

Не знаю, знаю только что точно может формировать отчёт в формате pdf с группы компов или индивидуально, с указанным уровнем детализации.
Вы скачайте демку... прога маленькая
ПС. а мы тут plus не заработаем

Сообщение отредактировал DNS: 27.08.2010, 12:40:53

[borec_za_istinu]

Скармливаете ему эвент логи с целевых машин (почти реал-тайм при обработке), а далее формируете необходимые рипорты

Хм, эт шож, нужно включать аудит доступа к файлам? Не рационально.

Вы скачайте демку... прога маленькая

Щаз качнём

ПС. а мы тут plus не заработаем

За что? Идёт обсуждение задачи автоматизации процесса отслеживание действий пользователей домена. Если возможно, то решение неплохо бы увидеть интегрированным в AD.

Сообщение отредактировал borec_za_istinu: 02.09.2010, 11:26:43
Добавление информации

[nomadus]

Кто нибудь может мне посоветовать? Для того, чтобы делать ldap запросы в АД, какие привилегии должен иметь аккаунт в АД?

Спасибо заранее

[obormotoff]

Скармливаете ему эвент логи с целевых машин (почти реал-тайм при обработке), а далее формируете необходимые рипорты

Хм, эт шож, нужно включать аудит доступа к файлам? Не рационально.

Тады ой. Четче сформулируйте ТЗ, и нам будет что обсудить

[obormotoff]

Кто нибудь может мне посоветовать? Для того, чтобы делать ldap запросы в АД, какие привилегии должен иметь аккаунт в АД?

Спасибо заранее

Немножко теории.
У вас есть учетная запись в домене.
Вы логинитесь на своем рабочем компе.
Во время аутентификации пользователя, происсходит запрос к LDAP (Active Directory)

Уточните свой вопрос. Что именно вы понимаете под "делать ldap запросы в АД"

[Басовитый пискун]

Хм, это излишняя функциональность - проактивная защита на основе белых списков - это, конечно, хорошо, но в данном случае не требуется. Да и, как то не совсем понятно отличие функционала программы от того, что предлагают групповые политики, ну, разве что, та же проактивность. Но ежели включена SRP, особенно на основе хэшей - то и смысла в проактивности нету - лишняя загрузка ресурсов ПК.
Тут, скорее, какой-либо шпиён шужен, ведущий лог запускаемых приложений.

Application Control много посложнее простых белых и черных списков, пусть даже на основе хэшей, так что смысл есть.
Есть ведь апдейты, которые стандартный механизм не обслуживает, есть самомодифицирующиеся программы, есть работа с цифровыми подписями, есть хранимые процедуры ...
Немножко разные вещи. Другое дело, что люменшеновское решение не всем нужно во всей этой красоте.

[Басовитый пискун]

Кто нибудь может мне посоветовать? Для того, чтобы делать ldap запросы в АД, какие привилегии должен иметь аккаунт в АД?

Спасибо заранее

Немножко теории.
У вас есть учетная запись в домене.
Вы логинитесь на своем рабочем компе.
Во время аутентификации пользователя, происсходит запрос к LDAP (Active Directory)

Уточните свой вопрос. Что именно вы понимаете под "делать ldap запросы в АД"

Некоторые запросы в АД прекрасно делаются без всякой аутентификации - от имени анонимного пользователя.
Все зависит от того, какие запросы интересуют.
Например если делать запрос о смене пароля, то там вообще никаких прав пользователя не хватит - необходимо дополнительно конфигурировать LDAPS.

[borec_za_istinu]

Ещё немножко автоматизации.
Задача следующая: при вводе ПК в домен в реестре ПК необходимо произвести некоторые добавления, путём интеграции .reg файла. Каким образом это сделать в случае logon или startup скриптов или коммандных файлов - вполне понятно. Но есть одно но - всё, что прописано в logon и startup, выполняется каждый раз при включении ПК или входе пользователя. Необходимости каждый раз добавлять одни и те же записи в реестр ПК нет никакой. То есть скрипт должен отработать только один раз - при вводе ПК в домен. Где это прописывается? Если в реестре ПК - то в секции RunOnce реестра. А в службе каталогов это как можно организовать? Как я понимаю, записи в реестр можно добавлять через групповую политику - "Конфигурация компьютера-конфигурация Windows-параметры безопасности-реестр", но для, к примеру, тех же коммандных файлов - которые так же должны отработать один раз - это не приемлемо. Какое ещё есть решение, более универсальное?
Хм, сейчас пришла мысль сделать это в планировщике заданий. Буду пробовать...

Сообщение отредактировал borec_za_istinu: 10.09.2010, 16:03:12
добавление

[DNS]

Т.е. reg файл должен отработать, а потом нужно его снести, и не проверять есть ли запись в реестре этого reg файла и не записывать по новой если отсутствуют параметры?

Сообщение отредактировал DNS: 10.09.2010, 16:40:54

[borec_za_istinu]

Хм, ты предлагаешь всё же перезаписывать его по новой на каждом стартапе? Ну, для реестра это ещё простительно, а в других случаях - это лишнее время на загрузку (пока программа или скрипт отработает), в лучшем случае.

Сообщение отредактировал borec_za_istinu: 10.09.2010, 16:54:28

[DNS]

Хм, ты предлагаешь всё же перезаписывать его по новой на каждом стартапе? Ну, для реестра это ещё простительно, а в других случаях - это лишнее время на загрузку (пока программа или скрипт отработает), в лучшем случае.
borec_za_istinu изменил(-а) это сообщение. Дата изменения: Вчера, 16:54.

Я так понимаю у тебя сервер 2003, в 2008 R2 есть функции запуска на установку/выполнение программ/скриптов один раз при старте компа/входе пользователя средствами GPO, думаю в 2003 это тоже можно реализовать через административные шаблоны, т.к. функция отключения USB накопителей в 2008 есть по умолчанию, а 2003 начинает её поддерживать после установки дополнительного административного шаблона.

[borec_za_istinu]

Я так понимаю у тебя сервер 2003

Он самый .

функции запуска на установку/выполнение программ/скриптов один раз при старте компа/входе пользователя средствами GPO, думаю в 2003 это тоже можно реализовать через административные шаблоны,

Так вот я и подозреваю, что где-то эта настройка есть, но где именно - не найду никак. Нашёл только запрет на обработку списка приложений, выполняемых однажды. Но, как я понял из описания, это полный запрет, включая и первый запуск.

[obormotoff]

Что мешает в скрипт внести условие на проверку (reg файл установлен / не установлен, прописано что надо / прописано, но всякая хрень)

[borec_za_istinu]

Для этого в скриптах неплохо разбираться, а я в них ещё пока совсем начинающий