ВинНТ, Дохлый Винт, Сеть по IPX в ДОС

Natalia Ivanova написал(а) к All в Apr 03 06:00:34 по местному времени:

Стой, All, стрелять буду!

Большое спасибо всем ответившим! Особенно по дохлому винту. :)

А вот про ВинНТ так и не въехала. Есть ли там журнал, куда записываются все
действия администратора? Любой файл, лог, база данных - что угодно. К
сожалению, не имею возможности копаться на нашем сервере с Win NT 4.0, поэтому
прошу указать место дислокации интересующего меня объекта как можно точнее.

Спасибо.


Natalia.

ICQ 86892347 mailto:ini@uic.nnov.ru
http://www.uic.nnov.ru/~ini

... Bis dat, qui cito dat
--- GoldED/W32 3.0.1-asa9 SR1

Vsevolod Marmer написал(а) к Natalia Ivanova в Apr 03 20:58:46 по местному времени:

Приветствую, Natalia.

16 Апр 03 07:00, Natalia Ivanova писал(а,о,и) All:

NI> А вот про ВинНТ так и не въехала. Есть ли там журнал, куда
NI> записываются все действия администратора?
Есть, но не любые. Но дело в том, что аудит (так оно называется) настраивается
как раз администратором и по умолчанию (по крайней мере, в Win200pro) отключен.
Кроме того, если его включить на журналирование всех действий -
быстродействия системе это не добавит, а весьма даже наоборот.

NI> К сожалению, не имею возможности копаться на нашем сервере с Win NT
NI> 4.0, поэтому прошу указать место дислокации интересующего меня
NI> объекта как можно точнее.
Нет привилегий администратора - забудь про аудит.

-= Вс.В.Мармер =-

--- GoldDead+/W32 1.1.5-0802

Natalia Ivanova написал(а) к Vsevolod Marmer в Apr 03 05:51:30 по местному времени:

Стой, Vsevolod, стрелять буду!

Где вы были 16 Apr 31 21:58?
Вы подозреваетесь в написании к Natalia Ivanova следующего письма:

NI>> А вот про ВинНТ так и не въехала. Есть ли там журнал, куда
NI>> записываются все действия администратора?
VM> Есть, но не любые. Но дело в том, что аудит (так оно называется)
VM> настраивается как раз администратором и по умолчанию (по крайней
VM> мере,
VM> в Win200pro) отключен. Кроме того, если его включить на журналирование
VM> всех действий - быстродействия системе это не добавит, а весьма даже
VM> наоборот.

Где его искать?
У нас ситуяция дурацкая - старый админ ушел почти полгода назад, мне пароль
админа не дают (начальника жаба душит, типа, я недавно работаю), сам начальник
знает пароль, но панически боится лезть на сервер и даже его включить. Поэтому
сейчас наш сервер вообще не работает (маразм полный). Требуется ткнуть носом
начальника в этот журнал, чтобы он успокоился.
И еще, где находятся файлы, в которых описаны пользователи и их права? Именно
сами файлы, а не средства администрирования? если нет журнала, будем копать по
дате изменения.


Natalia.

ICQ 86892347 mailto:ini@uic.nnov.ru
http://www.uic.nnov.ru/~ini

... Хорошо прожил тот, кто прожил незаметно.
--- GoldED/W32 3.0.1-asa9 SR1

Anthony Kazachkov написал(а) к Natalia Ivanova в Apr 03 17:02:54 по местному времени:

NI> А вот про ВинНТ так и не въехала. Есть ли там журнал, куда
NI> записываются все действия администратора? Любой файл, лог, база данных
NI> - что угодно. К сожалению, не имею возможности копаться на нашем
NI> сервере с Win NT 4.0, поэтому прошу указать место дислокации
NI> интересующего меня объекта как можно точнее.
Один из аспектов политики безопасности WindowsNT - встpоенная политика аудита,
позволяющая отслеживать удачные/неудачные действия всех пользователей, такие
как: вход/выход из системы, доступ к файлам и обьектам и т.д.

Настpоить политику аудита для каждого пользователя можно чеpез Programs ->
Administrative Tools -> User Manager; Policy -> Audit;
пpи этом события фиксиpуются в жуpнале, посмотpеть его можно в Event Viewer
(Administrative Tools - > Event Viewer; Log -> Security).
Ессно, для этого тоже нужны пpава, по умолчанию, напpимеp, пользователь Guest
посмотpеть их не сможет.

Также существуют пpогpаммы типа "клавиатуpный шпион" ; для НТ толковых совсем
немного, XPCspy, напpимеp, (http://www.x-pcsoft.com/download/xpcspy.exe).


---

Svetlana Vodeneeva написал(а) к Natalia Ivanova в Apr 03 20:13:26 по местному времени:

Мир тесен, не правда ли, Natalia?

Однажды, 17 Апр 2003 06:51, некто Natalia Ivanova обращался к Vsevolod
Marmer:

NI> Где его искать?
NI> У нас ситуяция дурацкая - старый админ ушел почти полгода назад, мне
NI> пароль админа не дают (начальника жаба душит, типа, я недавно работаю),
NI> сам начальник знает пароль, но панически боится лезть на сервер и даже его
NI> включить. Поэтому сейчас наш сервер вообще не работает (маразм полный).
NI> Требуется ткнуть носом начальника в этот журнал, чтобы он успокоился. И
NI> еще, где находятся файлы, в которых описаны пользователи и их права?
NI> Именно сами файлы, а не средства администрирования? если нет журнала,
NI> будем копать по дате изменения.

Сам журнал живет по адресу %windir%/system32/config/, файлы с расширением *.evt
- так в ХР, в NT, видимо, аналогично. Только не выковыряешь ты оттуда админский
пароль - его там просто нету. И вообще, из-под NT их вытащить проблематично,
если это в принципе возможно. Как вариант, попробуй какой-нибудь клавиатурный
шпион, но не уверена, можно ли их запустить в виде сервиса, чтобы включались до
логона.


Еще увидимся, Natalia.
Svetlana.

... А где-то есть страна Дельфиния и город Кенгуру
--- G.(Old Ed) 386 years 1.1.4.3 months old