查找谁通过内部网络发送文件

Question 1

可能更适合 security.stackexchange.com，但是......

显然，首先要检查的是文件的创建者/所有者。假设您没有做任何疯狂的事情，例如实际上彼此共享登录凭据，而是拥有某个 Active Directory 或类似系统，每个用户都有自己的帐户，这可以告诉您谁创建了文件。您可以从“属性”对话框中看到这一点（“安全”选项卡，单击“高级”，然后在窗口顶部附近查找“所有者”）。不幸的是，任何具有足够权限的用户都可以更改文件的所有者，因此您的恶作剧者可以通过这种方式掩盖他的踪迹/植入假旗。

如果文件要写入特定目录（或单个文件路径），您可以打开该目录/文件的审核，并查看何时写入以及由谁写入。属性 -> 安全 -> 高级 -> 审核，为所有用户（或为每个嫌疑人创建一个）创建新规则，并确保您正在检查创建文件/写入和附加/创建目录操作。然后这些操作将出现在安全事件日志中。

您还可以检查登录/网络事件的日志，但它们可能不会被记录或者可能会在噪音中丢失。

如果您发现该行为正在进行，请使用net session管理控制台（CMD 或 Powershell）中的命令查看当前谁在使用您计算机上的网络共享，以及它来自哪台计算机。

Answer

可能更适合 security.stackexchange.com，但是......

显然，首先要检查的是文件的创建者/所有者。假设您没有做任何疯狂的事情，例如实际上彼此共享登录凭据，而是拥有某个 Active Directory 或类似系统，每个用户都有自己的帐户，这可以告诉您谁创建了文件。您可以从“属性”对话框中看到这一点（“安全”选项卡，单击“高级”，然后在窗口顶部附近查找“所有者”）。不幸的是，任何具有足够权限的用户都可以更改文件的所有者，因此您的恶作剧者可以通过这种方式掩盖他的踪迹/植入假旗。

如果文件要写入特定目录（或单个文件路径），您可以打开该目录/文件的审核，并查看何时写入以及由谁写入。属性 -> 安全 -> 高级 -> 审核，为所有用户（或为每个嫌疑人创建一个）创建新规则，并确保您正在检查创建文件/写入和附加/创建目录操作。然后这些操作将出现在安全事件日志中。

您还可以检查登录/网络事件的日志，但它们可能不会被记录或者可能会在噪音中丢失。

如果您发现该行为正在进行，请使用net session管理控制台（CMD 或 Powershell）中的命令查看当前谁在使用您计算机上的网络共享，以及它来自哪台计算机。

Question 2

要想在没有中央控制服务器的情况下了解网络上发生的事情，你需要使用像 Wireshark 这样的嗅探工具

点击此处了解更多

https://blogs.technet.microsoft.com/yongrhee/2018/05/25/network-tracing-packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012-2/

Answer

要想在没有中央控制服务器的情况下了解网络上发生的事情，你需要使用像 Wireshark 这样的嗅探工具

点击此处了解更多

https://blogs.technet.microsoft.com/yongrhee/2018/05/25/network-tracing-packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012-2/

Question 3

有一个非常简单的方法。如果您在所有人都不在的情况下可以访问所有计算机，则可以通过以下方式查看每台计算机的网络使用情况：

登录电脑
进入电脑设置 -> 网络和 Internet
选择“数据使用情况”
您现在可以查看过去 30 天内通过网络发送的数据量以及所使用的实用程序：

Answer

有一个非常简单的方法。如果您在所有人都不在的情况下可以访问所有计算机，则可以通过以下方式查看每台计算机的网络使用情况：

登录电脑
进入电脑设置 -> 网络和 Internet
选择“数据使用情况”
您现在可以查看过去 30 天内通过网络发送的数据量以及所使用的实用程序：

查找谁通过内部网络发送文件

答案1

答案2

答案3

相关内容