Win98 -> un moyen de choper un user qui exagere ?

Win98 -> un moyen de choper un user qui exagere ? - Windows & Software

Marsh Posté le 22-10-2004 à 11:11:18    

voila en gros mon problème , un user qui s'y connait un minimum se permet des privautés qui ne laissent quasiment pas de traces (ben vy , win98 = pas de traces de login..) donc ma question se pose sur ce point , existe-t-il une méthode de le coincer avec des preuves ? genre comme sous NT4 avec le NTFS qui permet de voir qui a fait quoi...?
 
WB.
 
Merci d'avance , meme si c'est via un programme , une astuce ou un conseil , ca m'aiderait bien !
 
 [:theintruder]


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 22-10-2004 à 11:11:18   

Reply

Marsh Posté le 22-10-2004 à 11:15:34    

déjà tu lui collent un bon poledit des familles et il sera calmé

Reply

Marsh Posté le 22-10-2004 à 12:27:19    

ben le probleme avec poledit , c'est qu'ils savent le virer quasiment comme ils veulent et de plus ca concerne a ce moment la un user perso et donc je devrai le config pour chaque user...bonjour la masse de taf , c pour ca que je recherche une solution un peu plus facilement applicable a un réseau , si qqun a une idée ,n'importe laquelle ,je suis preneur...
 
WB.
 [:theintruder]


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 22-10-2004 à 15:02:03    

tu cherche a faire quoi exactement ?

Reply

Marsh Posté le 22-10-2004 à 15:04:42    

retrouver qui a fait quoi...


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 22-10-2004 à 15:07:23    

genre un historique de quel login a fait quoi sur quel poste...
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 22-10-2004 à 17:21:23    

créer un script vbs ( ou .bat ) lancé en douce qui écrit date heure et login dans un fichier texte.
 
( choisir une extension connu pour le fichier texte de façon à le rendre + discret )
 
mais y a t'il une variable d'environnement %username% sous 98 comme sous 2000 ou +  pour récupérer le login ? à creuser ...

Reply

Marsh Posté le 22-10-2004 à 17:27:24    

c_moa a écrit :

créer un script vbs ( ou .bat ) lancé en douce qui écrit date heure et login dans un fichier texte.
 
( choisir une extension connu pour le fichier texte de façon à le rendre + discret )
 
mais y a t'il une variable d'environnement %username% sous 98 comme sous 2000 ou +  pour récupérer le login ? à creuser ...


 
%username% existe, mais de là à mettre sur pied une statégie d'audits avec des .bat/.cmd ... ya de la marge


---------------
You have no chance to survive make your time.
Reply

Marsh Posté le 23-10-2004 à 20:34:35    

Citation :

mais de là à mettre sur pied une statégie d'audits avec des .bat/.cmd ... ya de la marge


 
Je pensais à un script/fichier texte en local ( si pas de domaine )

Reply

Marsh Posté le 25-10-2004 à 09:28:57    

bah moi ca m'irai tres bien si on pouvait m'aider dans ce sens...
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 25-10-2004 à 09:28:57   

Reply

Marsh Posté le 25-10-2004 à 09:32:04    

Kernel-Panic a écrit :

%username% existe, mais de là à mettre sur pied une statégie d'audits avec des .bat/.cmd ... ya de la marge


 
Y'a pas la variable %username% sous 98.

Reply

Marsh Posté le 25-10-2004 à 09:35:29    

:cry:  
 
Quand je vous disais que j'aimais pas win98Se j'était encore loin de la vérité... vais finir par remettre du NT4 si ca continue...
 
WB.
 :sweat:  
PS: y'a une autre possibilité de faire un log maison de ce que fait le user logé ?


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 25-10-2004 à 09:37:25    

Pourquoi tu loggues pas ca au niveau de ton serveur ?
 
Sinon c'est clair que sécuriser 98 si on a des utilisateurs un minimum avertis et qui veulent faire chier, c'est misssion impossible :/


Message édité par El Pollo Diablo le 25-10-2004 à 09:38:16
Reply

Marsh Posté le 25-10-2004 à 09:38:42    

ben vy , mais comment ?
 
Les posts sont sous Win98Se et le serveur en NT4 donc le srvmngr ne marche pas pour ces postes la...
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 25-10-2004 à 09:40:38    

Si tu loggues (via les options d'audit) les ouvertures de sessions sur ton serveur, tu vois dans le journal de sécurité du serveur les ouvertures de sessions réseau avec les comptes du domaine et depuis quelle machine ca a été fait.
Enfin je crois, mon NT4 commence a être sérieusement rouillé :D

Reply

Marsh Posté le 25-10-2004 à 09:46:36    

ben ca oui , mais pas qui a installé quoi ou téléchargé quoi ou changé quoi sur sa machine , moi c surtout ca qui m'interesse , déja pour trouver a qui appartient un fichier sur un pc sous 98 bonjour la débrouille , sous NT4 ou 2K , facile clic droit et paf "appartient à MrX" mais pas sous 98....
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 25-10-2004 à 10:30:01    

whiteburner a écrit :

ben ca oui , mais pas qui a installé quoi ou téléchargé quoi ou changé quoi sur sa machine , moi c surtout ca qui m'interesse , déja pour trouver a qui appartient un fichier sur un pc sous 98 bonjour la débrouille , sous NT4 ou 2K , facile clic droit et paf "appartient à MrX" mais pas sous 98....
 
WB.


 
En recoupant les horaires d'ouverture/fermeture de sessions et les horaires de créations des fichiers découlant des telechargement et installation tu fois pouvoir arriver a te faire une idée, mais c'est clair que c'est pas super fiable et d'une lourdeur extreme.
A part ca y'a pas moyen de faire ce que tu veux de toutes facons avec les Win9x :/

Reply

Marsh Posté le 25-10-2004 à 12:06:59    

ben j'ai bien trouvé déja le logiciel "session" qui log les ouvertures de sessions dans un fichier log , déja ca aide de savoir qui était sur la machine a tel heure un tel jour , mais malgré tout , ca laisse pas des preuves terribles...le problème vient surtout du fait que les postes ne sont pas nominatifs et que personne ne peut les surveiller...
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 25-10-2004 à 12:08:18    

Malheureusement je crois pas que tu puisses faire de miracle dans ces conditions :/

Reply

Marsh Posté le 27-10-2004 à 09:44:35    

personne pour me pondre un batch ou me trouver un prog qui me copie les logs de tout ce qui se passe en local sur un poste dans un fichier sur le dit poste ou voir meme mieux , sur un fichier présent sur le server ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 27-10-2004 à 10:00:04    

installe une webcam

Reply

Marsh Posté le 27-10-2004 à 10:21:06    

tu peux pas essayer d'en parler à l'équipe plutot que les espionner ???
 


---------------
.................Feedback:....
Reply

Marsh Posté le 27-10-2004 à 10:25:09    

admin reseau tres consciencieux :D

Reply

Marsh Posté le 27-10-2004 à 11:22:27    

L'équipe , c une classe de geek en info qui se prennent pour des gros nerz et ca commence a me pomper , ils tentent a longeur de journée de virer des progs en installer , changer les fonds d'écran , aller dans le bios pour tenter des O/C , et cela sous le nez d'un prof anormalement aveugle et calme et pour tout dire , lymphatique...
 
WB.
(et comme moi suis l'admin réseau , j'en ai marre de suivre pour ramasser les crasses....)


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 27-10-2004 à 11:24:44    

Eh ouais, c est fatiguant de travailler :/

Reply

Marsh Posté le 27-10-2004 à 11:29:40    

Tu peux toujours tenter d'utiliser un keyloger :)

Reply

Marsh Posté le 27-10-2004 à 11:36:20    

Tu mets NT4. Avec un profil errants. Tu interdit l'acces au bios par password.
Tu mets des quotas sur les espaces dd. Et tu fait un bon profil bien bloqué.

Reply

Marsh Posté le 27-10-2004 à 11:36:54    

J'ai une idée saugrenue : leur faire peur.
Je m'explique : tu leurs fais passer une note comme quoi un nouveau logiciel vient d'etre installer et que celui ne se situe pas au niveau de leur machine mais du serveur. Ainsi, grace au nouveau logiciel tu pourras retracer tout l'historique des personnes. Ca peut en décourager certains. (Meme si finalement ca reste que du vent).

Reply

Marsh Posté le 27-10-2004 à 11:38:46    

-> si je "pouvais" mettre NT4 , ca fait longtemps que ca serait fait...mais je dois laisser les droits d'install comme sous 98 malheureusement , nous bossons en domaine avec un profil fixe pour les élèves , donc si ils se log avec leur compte NT4 sur un poste NT4 j'ai pas de probleme , mais sous 98 , ils sont juste en workgroup , pour l'acces au net et a leur repertoire élève mais c tout...
 
WB.
-> le keylogger , c pas un peu trop illégal ca ?


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 27-10-2004 à 11:40:41    

Ben une charte utilisateur à signer déjà çà serait cool. Mais bon si c des pcs de labo pr des étudiants c sur que c tjs la merde.
Pour le pass sur le bios çà c bon. Pr le keylogguer même avec une charte le stipulant c psa légale je croit.
mais bon.....

Reply

Marsh Posté le 27-10-2004 à 12:13:16    

ben j'ai déja un message box qui reprends tout ce qui est interdit et authorisé au login , doivent cliquer sur "accept" pour alle plus loin, donc on est couvert , de plus ils ont signés à leur inscription un CoC qui nous permet d'agir jusqu'aux peines pénales en cas de souçis...
 
Donc me reste plus qu'a trouver un moyen de rassembler des preuves en cas de flagrant délit....
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 27-10-2004 à 12:20:50    

j'hallucine, tu veux aller jusqu'à mettre en cause au niveau pénal des élèves qui apprennent comme ils peuvent à se servir de Windows !!!
 
Faut pas bosser avec des élèves alors.
Si tu veux prendre des gens en "Flag", faut pas faire se métier !!!
 
 
Voilà, c'est tout ce que j'en pense.
 
[:begastor]
 
 
Essaies la diplomatie, c'est quand même mieux...


---------------
.................Feedback:....
Reply

Marsh Posté le 27-10-2004 à 12:45:33    

Il y a longtemps, j'étais tombé sur un soft qui fait des print screen de la session en cours toutes les X secondes. Ca, couplé à l'audit sur les login, tu auras rapidement les preuves en image de qui fait quoi. Bien évidamment, je ne me rappelle plus du nom du soft.
 
Solution alternative, tu mets en place un server ghost et tu automatises le déploiement d'une image propre chaque soir.

Reply

Marsh Posté le 27-10-2004 à 12:46:21    

hmmm bon je vois que y'en a encore qui m'ont pas comprit donc je résume la situation, l'an dernier un élève a pris le controle a distance du serveur sur lequel je n'avais pas encore la main et s'en servait afin de revendre des programes et divx illégaux , légalement , nous sommes dans l'obligation de faire appel a la police , de plus je le répète ,je ne suis pas prof , je m'occupe de maintenir en place le réseau et croit moi , les profs m'aident pas du tout !
 
De plus étant donné que ce sont des cours de promotions sociale , la plupart des "élèves" ont déja toutes les connaissances requises et nécessaires et ne sont la que pour avoir un papier et donc comme ils se pelent en classe , ils s'amusent sur les PCs...bidouilles en tout genre , tentative de crash du réseau , la derniere en date:
 
Foutre les 2 connecteur RJ45 d'un cable réseau sur un switch présent dans la salle , sans que le prof ne le voie , je te raconte les suites ? pas de réseau pdt le temps nécessaire a trouver d'ou ca venait , TRES drole , surtout pour les autres classes qui elles ont envie d'étudier...
 
Moi j'aime les élèves qui ont envie d'apprendre , pas les hackers de bas étages qui ne viennent ici que pour faire les tests qu'ils n'osent pas faire chez eux.
 
Et http://forum.hardware.fr/images/perso/begastor.gif à toi aussi , c dommage ,tu nous quitte ?
 
WB.


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 27-10-2004 à 12:47:50    

To bloody: le prob d'un server ghost , c'est qu'il faut des $$ et croit moi , l'enseignement c'est pas la richesse , loin de la...
 
WB.
Merci quand même de ta proposition...(au fait pour un ghost faut pas que les machines soient toutes les memes niveau HW ?)


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 27-10-2004 à 12:49:45    

C est bien une webcam qu il te faut , pour surveiller le switch :)

Reply

Marsh Posté le 27-10-2004 à 12:53:05    

ben voyons, ça sent l'élève refoulé ça...
il a qu'à foutre le bor*** chez lui, sur son pc.
 
WB > perso, j'ai un fichier .reg est fusionné à l'ouverture de session.
même si les élèves connaissent les clés à modifier pour leur permettre de foutre le souk, la plupart du temps il faut redémarrer pour que ce soit pris en compte (pour certains paramètres ok il faut juste tuer explorer.exe mais ça fait pas de mal)
et comme à la reconnexion le reg est refusionné, je suis pas embetté !
dans le pire des cas j'arrive à trouver qui était là, à la période où le boxon revient souvent.
mais pour suivre l'activité, à part un keylogger, tu n'auras rien d'intéressant sous win98.
pour le bios, rien à faire à part le mot de passe.
pour la désinstallation de progs, essaie en désactivant l'accès au panneau de config, et en interdisant le lancement du désintalleur du programme (sous win98 ça se gère il me semble, avec la base de regsitre en interdisant le lancement de certains .exe)
quant aux profs aveugles je connais, j'ai les mêmes ici !
 

begastor a écrit :

j'hallucine, tu veux aller jusqu'à mettre en cause au niveau pénal des élèves qui apprennent comme ils peuvent à se servir de Windows !!!
 
Faut pas bosser avec des élèves alors.
Si tu veux prendre des gens en "Flag", faut pas faire se métier !!!
 
 
Voilà, c'est tout ce que j'en pense.
 
[:begastor]
 
 
Essaies la diplomatie, c'est quand même mieux...

Reply

Marsh Posté le 27-10-2004 à 12:53:16    

whiteburner a écrit :

To bloody: le prob d'un server ghost , c'est qu'il faut des $$ et croit moi , l'enseignement c'est pas la richesse , loin de la...
 
WB.
Merci quand même de ta proposition...(au fait pour un ghost faut pas que les machines soient toutes les memes niveau HW ?)


 
Oui je comprends. C'est pas tjrs facile de maintenir un réseau quand il faut pleurer 6 mois pour une souris neuve. J'ai connu ca, heureusement, je n'avais pas à me battre contre des nerdz :sweat:
 
Pour ghost, oui et non. Oui, il faut que la base hardware soit la même sur les machines clonées. Mais, d'un autre côté, rien ne t'empêche de créer une image par type de machine. Au final, tu perds du temps à la mise en place; mais après tu es tranquile :)

Reply

Marsh Posté le 27-10-2004 à 13:03:01    

je me casse effectivement.
j'ai donné mon avis et je sors...
 
[:begastor]


---------------
.................Feedback:....
Reply

Marsh Posté le 27-10-2004 à 13:06:43    

maintenant en keylogger si tu dois vraiment en arriver là, le meilleur que je connaisse (envoie logs vers .txt, vers .jpg, sur le pc, sur un mail, ou vers un autre pc, plus des tas d'autres trucs) :
 
http://www.actmon.com/index.htm#Highlights
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed