Всем доброго времени суток! Прошу срочной помощи, ибо ситуация сложилась критическая! Ситуация: Я работаю сисадмином, у меня есть помощник. Месяц назад прежний сисадмин уволился, а его помощник перешел работать в другое подразделение (это важно!). Имеется локальная сеть, поднят Active Directory. На сервере установлена Windows 2003 Server. На рабочих станциях - Windows XP. Права админов только у меня и у моего помощника. Неделю назад мы с моим помощником обнаружили, что в сети начали происходить нехорошие "чудеса": - самопроизвольно удаляются профили пользователей (причем, по иронии судьбы - самых скандальных!), - блокируются файлы, - самопроизвольно изменяются права доступа пользователей (те общие папки на сервере, к которым у какого-нибудь пользователя раньше был свободный доступ, вдруг таинственным образом становятся недоступны). - даже админу становится недоступен просмотр журнала безопасности в "Управление компьютером". Причем, самое забавное в том, что при просмотре системного журнала выясняется, что сделано это было либо под моим логином, либо под логином моего помощника!!! Но бред заключается в том, что время этих действий часто указывается такое, когда мы просто физически отсутствовали в офисе!!! Я-то знаю про себя, что не удалял профиля, не блокировал файлы! Но при исследовании журналов в AD обнаружена странная вещь. Учетная запись вроде бы моя, но код входа исполнителя на "стремных" действиях - другой! Вопросы: 1. Что вообще происходит? 2. Могут ли пользователи, лишенные прав админов, производить подобные действия, используя некие "дыры" в системе безопасности? 3. Как вычислить злоумышленников? 4. Как защититься от подобных действи? Помогите!!!
|