Thaiadmin

ช่วยด้วยครับ ##### มีคนมาลบไฟล์ข้อมูล แล้วเราจะหาคนร้ายยังไง

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

คือไฟล์งานของเราเองเนี่ย จะเอาไว้ในโฟลเดอร์แชร์ที่ซ่อนอยู่ (ที่ต่อท้ายด้วย $ หนะครับ) โฟลเดอร์นี้มันก็อยู่บน fileshare server
ผมจะเก็บข้อมูลพวกไฟล์ word excel แล้วก็ตัว install โปรแกรมต่างๆไว้ แล้วก็ไม่ได้จำกัดสิทธ์ เนื่องจากเวลา
ไปทำเครื่องให้ user แล้วมีการ record เข้าไปจากเครื่อง user ได้เลย จะได้ไม่ลืม
ปกติไปแก้ไขหรือลงโปรแกรมให้กับ user เนี่ยผมก็จะเข้าโฟลเดอร์นี้ เพื่อ install โปรแกรมต่างๆ

แต่ว่าในบริษัทก็จะมีพวก Hacker แอบซ่อนตัวอยู่ และผมคิดว่าพวกนี้แหละที่เข้าไปแกล้งลบไฟล์ทั้งหมดของผมทิ้ง
ผมจึงสงสัยว่าเราจะเช็คได้ไหมครับ ว่า user ไหนที่เข้าไปทำอะไรบ้างใน server ของเรา
server ผมเป็น windows2003 R2 นะครับ มันจะหาได้ไหม หรือต้องลงโปรแกรมเพิ่มเข้าไปจึงจะหาคนร้ายได้

อันนี้รบกวนด้วยนะครับ เพราะถือว่าจงใจทำลายทรัพย์สินของบริษัท
ถ้าจำไม่ผิด มันผิด พรบ. มีโทษหนักด้วยใช่มั้ยครับ

ขอบคุณครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ smartsoft

  • *****
  • 3,249
  • 26
  • เพศ: ชาย
  • ไม่มีอะไรสายสำหรับการเริ่มต้น
    • จุดประกายความรู้ที่ไร้ขีดจำกัด
อืม ไม่แน่ใจหน่ะครับ ลองดูใน Event Log หน่ะครับ น่าจะมีอยู่หน่ะครับ

รอผู้เชี่ยวชาญ มาเสริมต่อ ครับ ^ ^
เมื่อคุณ<!reader!/>เห็นการมีชีวิตเป็นสิ่งที่หนักหนาสาหัส ลองพยายามอดกลั้นและต่อสู้กับมัน จงอย่าวิ่งหนีต่อปัญหาใดๆที่คุณ<!reader!/>เผชิญอยู่ และเชื่อใจในตัวเองว่าสองมือของคุณ<!reader!/>สามารถฝ่าฟันช่วงวิกฤตและผ่านมันไปได้

ออฟไลน์ Sirikhun

  • *****
  • 188
  • 2
  • TechNet
    • Microsoft TechNet
สามารถทำการ audit ไฟล์หรือโฟลเดอร์ได้ครับ โดยมีขั้นตอนดังนี้(สามารถใช้ได้กับ NTFS volume เท่านั้น):

1.เปิด Explorer
2.คลิกขวาบน file/directory ที่คุณจะทำการ audit แล้วเลือก properties
3.เลือก Security tab->Advanced->Auditing
4.เพิ่ม user ที่คุณต้องการ autdit
6.ใส่ events ที่คุณจะทำการ audit เช่น delete

ตรวจสอบให้แน่ใจว่า File access auditing นั้นถูก enabled (Start - Programs - Administrative Tools - User Manager - Policies - Audit).

แล้วคุณก็จะสามารถดู events ได้จาก Event Viewer (Start - Programs - Administrative Tools - Event Viewer - Log - Security)

ข้อมูลเพิ่มเติม:
Configuring Audit Policies
http://technet.microsoft.com/en-us/library/dd277403.aspx

How to audit and track file deletions
http://sogeeky.blogspot.com/2006/07/how-to-audit-and-track-file-deletions.html
สนทนาเกี่ยวกับ Exchange, SharePoint, Windows Server, Windows Client (Win 7, Vista, XP), Microsoft Office, Security
ได้ที่
ฟอรัม Microsoft TechNet ภาษาไทย

http://social.technet.microsoft.com/Forums/th-TH

ขอบคุณมากครับ ช่วยได้เยอะเลย    O0
แต่ยังงงๆ อยู่ครับ

 :D  :D  :D
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ momaydopod

  • *****
  • 764
  • 1
  • เพศ: ชาย
มี function นี้อยู่ครับ  file screening  ครับ  ของ  server 2003 R2   O0