Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: ZEN on September 09, 2008, 10:33:39
-
Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?
-
а что за тексты печатает "злоумышленник"?
пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)
-
а что за тексты печатает "злоумышленник"?
пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)
Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею может спец программой снифить этот IP ?
-
Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею может спец программой снифить этот IP ?
посмотри на секлабе, там есть, что тебе нужно
-
Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?
Использовать сниффер (SwitchSniffer, Wireshark, например). Для этого желательно, чтобы использовались хабы, но некоторые коммутаторы, например 3Com, позволяют наблюдать за некоторыми портами. Для этого есть специальный режим "Port monitoring", при котором на коммутаторе назначаются порты "наблюдающий" и "наблюдаемый". Порт к которому подключен принтер, есессно, д.б. "наблюдаемым", а тот, к которому подключен комп со сниффером (например, ваш), "наблюдающим".
Все пакеты, идущие на принтер будут вам видны и, возможно, вы сможете обнаружить "злоумышленника".
Некоторые снифферы используют ARP-poisoning для перехвата пакетов на коммутаторах, но не все коммутаторы бывают уязвимы для этого вида атаки (а это именно атака).
-
насоветуете млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?
Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе
пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит
-
насоветуете млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?
Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе
пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит
Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...
-
Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...
При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото там еще
-
При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото там еще
открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету. я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?
ПЫСЫ: да я ламер, но я быстро учусь!
-
открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету. я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?
ПЫСЫ: да я ламер, но я быстро учусь!
панель управления-> администрирование -> просмотр событий -> (журнал система)-> фильтр по событию print
у меня вот так работает )
-
по какой то причине у меня там отображается печать только одного принтера, а их около 20.....