Задать вопрос
@igortru
информационная-безопасность

Кто удалил файл?

Есть сервер Windows. Установлено различное ПО. Ошибка или злой умысел - непонятно. В разное время на сервере удаляются все файлы, рекурсивно с диска С:. После удаления на сервер зайти уже не возможно, соответственно и глянуть журналы тоже. Есть идея поставить какую-нибудь siem систему или приближенный софт(антифирус?) чтобы понять кто/какой процесс/какой пользователь удалил файл.

Посоветуйте какими средствами можно решить проблему?
  • Вопрос задан
  • 271 просмотр
1 комментарий
Подписаться 1 Средний 1 комментарий
Помогут разобраться в теме Все курсы
  • Нетология
    Системный администратор
    11 месяцев
    Далее
  • Skillfactory
    Профессия «Белый» хакер
    13 месяцев
    Далее
  • Яндекс Практикум
    Специалист по информационной безопасности: веб-пентест
    6 месяцев
    Далее
Пригласить эксперта
Ответы на вопрос 1
@NortheR73
системный инженер
По симптомам - возможно, какая-то пакость...
Проверьте сервер антивирусом и загляните в планировщик - вдруг там есть задача по расписанию для удаления
А так - включаете политику аудита доступа к объектам файловой системы и на нужных папках аудит событий удаления: Аудит удаления файлов в сетевой папке на Windows Server
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный аналитик
ДАЛЕЕ Москва
от 200 000 ₽
React Developer
ITK academy Воронеж
от 50 000 до 90 000 ₽
Senior Business Analyst
Уницифра Краснодар
от 180 000 до 200 000 ₽
Ещё вакансии