У нас есть сервер разработки Windows 2003 (IIS и SQL Server) с доступом к удаленному рабочему столу, а некоторые сотрудники имеют права администратора.
Пару недель назад из каталога system32 исчезло много важных файлов (dll, exes, msc и других). Сервер почти не работает (много ошибок !!!), и сейчас мы настраиваем еще один.
Я предполагаю, что это кто-то сделал, так как я проверил вирусы с помощью Trend Micro, и все выглядит нормально.
Как я могу узнать, кто или что сделал это с нашим сервером?
Единственный способ отловить подобные вещи - использовать аудит на уровне файлов. уже на месте. Ведь вы не можете узнать. Такой вид аудита является ужасно спамовым и в значительной степени требует какого-то стороннего механизма агрегирования / анализа журналов.
Тем временем вы можете использовать функцию восстановления для восстановления установки, а не настраивать новый сервер.
Если вы можете сузить его на основе того, когда ошибки впервые появились в вашем журнале событий, вы можете проверить события входа / выхода, чтобы увидеть, кто был в системе примерно в то время, когда возникла проблема. Это не поможет, если удаление произошло через общий сетевой ресурс.