今天我接到一个朋友的电话,他来寻求帮助,这不是我所在的地区,他来自一所学校,那是一个很大的机构。
他们有 2 个 Windows 2003 Server SP 1,一个用于 MS Sql,另一个是域控制器。
内部网络基于Windows XP sp 3。
在一台独立的机器上有一个 Linux 防火墙和互联网代理。
问题是,有人显然可以访问准备考试的协调员电脑并复制文件。
他们通过以下方式确定:
- 突然有一群学生的考试成绩提高了 80%
- 在另一场考试中引入了问题陷阱,同一组人按照陷阱作答
问题是系统管理员可能参与其中。
我已获得网络和主管理员帐户的访问权限。我需要了解:
- 找出远程登录到协调器 PC 的用户
- 获取管理员账户的整体使用日志(该账户可能是用于进入协调器 PC 的账户)
看起来所有计算机都没有共享文件夹。杀毒软件正在运行,网站被很好地屏蔽了。
我不是这个地区的人,我正在努力提供帮助。还有其他方向吗?发生了什么事?
答案1
如果启用了审核,您可能会在被访问的计算机的安全日志中找到某些内容。如果他们想稍后尝试捕获它们,则需要启用审核日志。为此,右键单击要审核的驱动器、文件夹甚至文件,选择属性、高级设置、审核选项卡。单击添加,输入“用户”,然后检查读取数据,或者只检查成功字段中的所有内容。单击确定,确定,确定。
任何时候任何人做任何符合访问标准的事情,日志中都会记录该活动。
因此,您将能够确定哪个安全主体在何时访问了该文件。
但这并不意味着此人就是泄露数据的人,因为有可能有人能够在环境中泄露密码。
您还可以在 Linux 防火墙上启用详细日志记录(这更专有),并将文件访问与防火墙日志进行交叉引用,以查看哪个 IP 可能导致问题。当然,这也不是最终结果,因为它们本身可能会通过几个代理。
答案2
您实际上无法追溯这样做。
通常的做法是设置文件审计日志您感兴趣的文件或文件夹,这会导致根据您定义的条件将事件写入安全事件日志,并包含帮助您确定访问尝试背后的人员的详细信息(例如用于访问文件的帐户和远程 IP,这是最明显的例子)。
由于此功能默认不启用,因此会生成大量日志 - 我们的审计日志每天每台机器几乎有 500 MB,您目前可能没有这些日志,也无法确切证明历史访问。您能做的最好的事情就是设置它们,并在未来捕获任何使用它们的人。
话虽如此,但有两点:
- 如果不应该让所有人都看到,就不应该让所有人都访问。就文件而言,这可以是任何方式,从建立 ACL 以便只有授权人员才有权查看文件,到加密(例如“密码保护”Office 文档,或 BitLocker 加密,或任何数量的第三方解决方案),再到更严厉的措施,比如在不使用时将材料保持离线状态。
- 如果您怀疑有管理员参与其中,那么您的工作就大功告成了。我可以编辑系统日志(毕竟它们只是纯文本),使用与我无关的帐户,并以其他方式使用我的管理权限做任何我想做的事情,只要付出足够的努力。更不用说,如果他费心查看,他将能够看到已启用审计日志记录。除非他变得懒惰或马虎,否则不可能抓住他……幸运的是,这似乎在绝大多数情况下都会发生,所以你的机会并不大。话虽如此,如果你想抓住一个技术熟练的人滥用他们的管理权限,如果你自己有一些技术能力,那真的很有帮助。在这种情况下,这可能意味着秘密引入外部帮助。
