Что делать, если мыслей 0 и хочется тупо кого-то убить?!!!

← →
Ламот (2006-04-14 13:05) [0]

Добрый день.
Ситуация следующая: сегодня утром (в 9:12) кто-то удалил все что только смог с диска D... на этом диске были: установленная 1С’ка, базы к ней же, и папка с общими документами... остальное неважно.
Дело произошло на сервере (Win2k), с которым все пользователи предприятия (примерно 50 человек) работают как с терминал-сервером и файл-сервером. Закрыть доступ на изменение к такому ресурсу нельзя (если я все правильно понимаю), найти по логам кто удалил - тоже неполучается (незнаю я где и что искать в этих логах, чтоб найти то что мне нужно...)
Первым делом проверил антивирем (каспер с сегодняшним апдейтом баз) - каспер никого не нашел... да и непохоже на вирь - локальных дисков 6, пострадл только D...
Основную часть инфы востановил (архивы/бэкапы помогли), вот теперь сижу и думаю как жить дальше?
Помогите советом кто может, первое что интересует - смогу ли я в логах найти этого ... , второе - может есть какие нормально работающие сканеры (не самому же писать), отслеживающие попытки удаления файлов, и ведущих свой лог по этим действиям?

Зы. Извените за сумбурность

← →
Der Nechk@ssoff © (2006-04-14 13:08) [1]

Надо чаще делать архивацию,копии файлов если возможно.

> смогу ли я в логах найти этого

Сможешь...

← →
palva © (2006-04-14 13:09) [2]

Наверно, в любом учебнике по компьютерной безопасности пишется как можно избежать подобных ситуаций, какая должна быть архитектура, какой должен стоять софт и т. д.

← →
Некто © (2006-04-14 13:10) [3]

Пускай и дальше удаляют, а ты восстанавливай. Вскоре им это надоест.

← →
Vovchik_A © (2006-04-14 13:16) [4]

> Ситуация следующая: сегодня утром (в 9:12) кто-то удалил
> все что только смог с диска D... на этом диске были: установленная
> 1С’ка, базы к ней же, и папка с общими документами... остальное
> неважно.
> Дело произошло на сервере (Win2k), с которым все пользователи
> предприятия (примерно 50 человек) работают как с терминал-
> сервером и файл-сервером.

Админу - выговор за халатность.

← →
tsa (2006-04-14 13:17) [5]

Отношения нормальные должны быть с людями :)
Иначе всеравно сломают. что не ставь. Не обязательно дружить, достаточно что бы на тебя не злились.

"Если даже человек избегнул всех других опасностей, никогда ему не избежать всецело людей, которые не желают, чтобы жили на свете подобные ему" (с) Бредбери

← →
BiN © (2006-04-14 13:17) [6]

> Der Nechk@ssoff © (14.04.06 13:08) [1]
>
> Надо чаще делать архивацию,копии файлов если возможно.
>
>
> > смогу ли я в логах найти этого
>
> Сможешь...

если аудит был включен.
Если нет, то только паяльник... -)

← →
Тульский © (2006-04-14 13:19) [7]

1С-ку убить нельзя пока в ней хоть кто-то работает, значит, диверсант дождался конца рабочего дня.

← →
Vovchik_A © (2006-04-14 13:26) [8]

2BiN © (14.04.06 13:17) [6]

> если аудит был включен.

Эт вряд ли (с)

← →
sniknik © (2006-04-14 13:28) [9]

> 1С-ку убить нельзя пока в ней хоть кто-то работает
можно, можно "насильно" закрыть все текушие конекты, открытые файлы и т.д. единственное надо, чтобы права это позволяли, если под админом ктото работает то без проблем...

← →
Тульский © (2006-04-14 13:32) [10]

> sniknik © (14.04.06 13:28) [9]

> можно, можно "насильно" закрыть все текушие конекты,

тогда пользователи поднимут шум

← →
Ketmar © (2006-04-14 13:32) [11]

а насчёт разделения доступа, прав и ты пы? плюс аудит, конечно. если кого и убивать -- то только себя. за лень.

← →
isasa © (2006-04-14 13:34) [12]

Домен(AD), доменные группы пользователей и их права + NTFS + Аудит безопасности, и все это вместе рулит.

← →
Jeer © (2006-04-14 13:37) [13]

"Все админы делятся на два типа - кто испытал крах системы и остальных" (С)
P.S.
Первых большинство.

← →
Gero © (2006-04-14 13:38) [14]

Напиши заявление в милицию.

← →
Ламот (2006-04-14 13:54) [15]

замечаний много - вкратце по всем:
1. изначально был админ приходящий, потом с ним посорились и админа не стало ваабще...
2. бэкапы делаю каждый день, так как привычка...
3. Было удалено не все, а только те файлы, которые небыли открыты... пользователи шум и подняли
4. права/политики пользователей... прав админа у них нет, а как запретить пользователям изменения тех же дбф’ников С’ки, без потери работоспособности оной под этими пользователями?!
5. по поводу домена и иже с ними - большая часть рабочих станцый под WinXP Home Edition... сомневаюсь я что их можно с доменом подружить... по политикам итак... кароче смысл в следующим - убили именно то, с чем сами и работали... если кто скажет как от этого можно защититься - пусть попробует предложить! с удовольствием выслушаю!!!

в общем - на будущее - кто нить знает нормальный софт, который отслеживал бы только попытки удаления файлов пользователями, и вел свой лог по этим событиям? ... в нете сейчас ищу - пока ничего подходящего нет (находятся всякие программы-шпионы, отслеживающие "все" действия пользователя... чует моё сердце - они сами быстрее увалят систему... по крайней мере - сожрут все ресурсы точно!)

← →
Styx_ (2006-04-14 15:05) [16]

> кто нить знает нормальный софт, который отслеживал бы только
> попытки удаления файлов пользователями

Вам же несколько раз сказали - должен быть поднят аудит файловой системы. Как - F1

← →
Курдль © (2006-04-14 15:46) [17]

> Vovchik_A © (14.04.06 13:16) [4]
> Админу - выговор за халатность.

Админу - выговор за некомпетентность! Если удалили ненужную информацию - так и пусть с ней. А если нужную - так кто ж так доступ организовывает?
Заведите себе какой-нить простецкий Лотус-Нотус и не парьтесь!

← →
Чапаев © (2006-04-14 15:53) [18]

> изначально был админ приходящий, потом с ним посорились
> и админа не стало ваабще...

Вот-вот, больше не ссорьтесь, а то и не такое поудаляют...

> бэкапы делаю каждый день, так как привычка...

Привычка -- ничто, task scheduler -- всё.

> Было удалено не все, а только те файлы, которые небыли открыты.
> ..

Ну как минимум, стоило бы запретить удаление (разрешение изменения оставить, пока не разберёшься с правами пользователей, etc).

> WinXP Home Edition... сомневаюсь я что их можно с доменом
> подружить...

Таки да, насколько я знаю... Может, стоит посмотреть в сторону 2000 prof?

← →
oldman © (2006-04-14 15:56) [19]

Если кто-то специально потер 1С и базы к ней...
Увольнение админа с работы - самый легкий выход для админа...
:(

← →
Vovchik_A © (2006-04-14 15:58) [20]

2Курдль © (14.04.06 15:46) [17]

Не, он может быть, и компетентен, но разгильдяа-а-а-а-аа-й :)

← →
oldman © (2006-04-14 16:02) [21]

> Чапаев © (14.04.06 15:53) [18]
> Ну как минимум, стоило бы запретить удаление (разрешение
> изменения оставить, пока не разберёшься с правами пользователей,
> etc).

Если удаление было сделано специально, не поможет...
Последовательность действий "Окрыть базу - Удалить все документы" приведет к тем же результатам...
А чтобы бэкап не сработал, не не буду... запрещено!

← →
Vlad433 © (2006-04-14 16:06) [22]

1. изначально был админ приходящий, потом с ним посорились и админа не стало ваабще...
Вот-вот. Сначала надо просчитать, с кем поссорился :)

← →
Manic Mechanic © (2006-04-14 16:12) [23]

> изначально был админ приходящий, потом с ним посорились

Первым делом найти и на кол

Найти и извиниться на коленях.

← →
tsa (2006-04-14 16:40) [25]

← →
Ламот (2006-04-14 17:46) [26]

Sorry за "некомпетентность", до меня таки дошло о чем вы говорили... по поводу NTFS’a - вот только до смешного обидно: создаю пользователя test с минимумом прав, создаю папку, в неё копирую всякие файлы (неважно какие) ставлю для него права на чтение/чтение и выполнение/изменение, перехожу в "Дополнительно", устанавливаю "Запрещение" на удаление Папок и файлов+файлов, разрешаю редакирование... кароче почти все кроме последних пунктов (касающихся изменения этих самых прав и подобного), проверяю... пользователь test без проблем открыл файл, изменил, сохранил изменения... и удалил этот файл! ... востанавливаю из корзины, проверяю права - запрещение на удаление стоит... вот только работать отказывается!!! ну как так можно?!!!!!

а по поводу бывшего админа - посориляс он с "верхами", которые ему денег платили меньше чем обещали... по их же жадности до сих пор админа нет (уже почти год!)... в случае всяких авралов - стараемся справиться подручными способами... пока что получалось... да и щас по большому счету - получилось, вот только зря наверно... ((

Зы. Всем пасиба за участие, тема похоже себя изжила! ))))

> Sorry за "некомпетентность", .... ..... ну как так можно?!!!!!
если делал под тем же пользователем, то у папок/файлов он скорее всего прописался как владелец, с максимальными понятно правами...

p.s. зря всетаки с админом ругались... если он грамотный он всем мог и жизнь облегчить, и от утечек/сбоев/нечаянных действий уберечь.

← →
Styx_ (2006-04-14 18:18) [28]

К сожалению, если у пользователя есть право на ИЗМЕНЕНИЕ ПАПКИ, это автоматом даёт ему право на УДАЛЕНИЕ ФАЙЛОВ в ней, или как-то так. Это тема много раз обсуждалась на форумах по администрированию Windows, но удовлетворительного workaround я не встречал. То есть запрет на удаление сопряжён и с запретом на создание файлов, и реально запретить ничего не получится - тем более что многие программы делают сохранение во временный файл - убийство старого - переименование. Так что...

> Курдль © (14.04.06 15:46) [17]
>
> > Vovchik_A © (14.04.06 13:16) [4]
> > Админу - выговор за халатность.
>
>
> Админу - выговор за некомпетентность! Если удалили ненужную
> информацию - так и пусть с ней. А если нужную - так кто
> ж так доступ организовывает?
> Заведите себе какой-нить простецкий Лотус-Нотус и не парьтесь!
>

Да что вы придрались:) С 1С (dbf) поможет только бэкап. Админ не причем. Разве что аудит надо было включить, что бы знать кому по шеям надавать.

> Разве что аудит надо было включить, что бы знать кому по
> шеям надавать.

Если (как я подозреваю) у всех пользователь пустой пароль и рабочую станцию никто не лочит, отходя от рабочего места -- и аудит не поможет...

Чапаев © (14.04.06 18:44) [30]
Поможет, не важно кто именно удалил, а важно от какой учетной записи, вот пусть он и отвечает.
Только с 1С не все так просто.

Я седня удалил пол нашей девелоперской схемы.. задрался восстанавливать. Уродский день.

Похоже на историю про обиженного админа, которого уволили незаплатив, за что он повесил резидента, который тихо килял нужное файло в конце рабочего дня ) Каждое утро сервер был девственно чист )))

Что делать, если мыслей 0 и хочется тупо кого-то убить?!!! Найти похожие ветки