Кто на каких ПК залогинен в домене⁠⁠

Как системный администратор, я очень часто сталкиваюсь с тем, что мне нужно оперативно узнать имя ПК, на котором залогинен определенный пользователь. Очень выручает bginfo, которая отображает нужную информацию прямо на фоне рабочего стола у пользователя, и в рамках телефонного звонка в ИТ-службу пользователь может назвать имя своей машины. Иногда эта политика не отрабатывает как надо.

У нас на предприятии кто-то еще задолго до моего прихода в институт написал утилитку, которая в паре с групповой политикой, собирающей данные о входах пользователей, кое-как могла дать нужную инфу. Но увы, кривость этой софтины зашкаливает.

Я написал своё приложение, которое даёт мне информацию о дате входа пользователей и имени ПК.

1. Нужно создать политику, которая при входах пользователей будет запускать скрипт, кладущий в общий файл лог о входе: имя пользователя, имя ПК, дата, время. Политику, теоретически, можно назначить в структуре домена повыше, рядом с Default Domain Policy

2. Правим конфиг, лежащий с каталоге с программой так, чтобы указать путь к лог-файлу, созданному в 1 пункте

3. Запускаем программу. При запуске она обращается к log-файлу, сортирует и группирует найденные данные так, чтобы в выпадающем списке показать несколько ПК напротив одного пользователя, если он логинился на несколько станций

Кто на каких ПК залогинен в домене Домен, Windows, Active Directory, Приложение, Gpo, Программа

Я с охотой делюсь софтинкой с любым желающим, подскажу как настроить и пользоваться:

https://drive.google.com/file/d/1PT8ZfhRKABIDSd5OC2q0h4diJI0...

UPD:

Не ожидал вообще никакой реакции на эту программу, поэтому наличие комментариев удивило.

1. Я не программист, я открыл Visual Studio первый раз в жизни, чтобы сварганить себе эту программку. СЕБЕ.

2. Меня самого дико бесит гигантский размер файла, но это следствие моего требования об автономности программы. Можно собрать ее в 10-мб файл, но тогда она будет клянчить дотнет и тд при установке, а именно этого я и хотел избежать

3. Я не зашивал туда вирусы, я не умею этого. Каспер мой не ругается, кстати.

_________________________________________________________

Последовав совету @apple.mary, сменил платформу разработки на .Net Framework 4.8.1, пересобрал проект. Теперь он 100 килобайт. Но требует установленный фрэймворк для работы!

https://drive.google.com/file/d/1WqPZhSoaqfMPN7fJFflFGiYOYC6...

Вы смотрите срез комментариев. Показать все

apple.mary

1 месяц назад

@moderator это сообщение антивируса при скачивании файла по ссылке

раскрыть ветку (28)

Moderator929

1 месяц назад

Тут стоит учесть, что антивирусы порой весьма чувствительны даже в адрес популярных программ удаленного доступа. Осторожность при переходе по внешнем ссылкам и особая бдительность при запуске неизвестных исполняемых файлов это основа основ поведения в интернете. Подтвердить злонамеренность от автора пока нельзя, но если будут обнаружены более явные признаки недобросовестности, то пост придется удалить.

раскрыть ветку (27)

apple.mary

1 месяц назад

@moderator, этот огромный файл в 180 МБ, содержит в себе columbia.dll, который и есть собственно программа, но кроме полезных функций, делает еще такие штуки:

Ссылка на virustotal

https://www.virustotal.com/gui/file/ba17874903b8df52c9453f62...

и другой анализатор

https://hybrid-analysis.com/sample/ba17874903b8df52c9453f623...

Это по любому троян, все остальные 180 мегабайт нужны только для того, чтобы осложнить работу анализаторов. Они не грузят такие большие файлы, пришлось эту Dll вручную из сборки доставать и отдельно грузить на анализ.

раскрыть ветку (26)

Moderator929

1 месяц назад

Тут потребуется пояснение для гуманитариев, какой конкретно вред причиняет эта программа?)

раскрыть ветку (9)

apple.mary

1 месяц назад

Это не известно. Анализ показывает только то, что программа ведет себя не так, как должна вести себя приличная программа. Она пытается исторгнуть из себя и скрытно для антивирусов запустить какой-то исполняемый файл, который сейчас сокрыт в теле программы в зашифрованном виде. При этом программа не делает этого, если видит, что находится в контролируемой среде (так называемой песочнице). Я в стандартной песочнице Виндовс не смог добиться такого поведения, а более продвинутые песочницы, специально рассчитанные на зловредные программы смогли.

Учитывая, что эта программа предназначена для администратор домена, скорее всего это криптовымогатель.

Уверен на 100%, что ТС не сможет объяснить пошагово, как он скомпилировал этот файл.

раскрыть ветку (8)

Moderator929

1 месяц назад

@melinger, нужен ваш комментарий, пожалуйста.

раскрыть ветку (7)

melinger

1 месяц назад

Уже предоставил коллеге все файлы проекта

apple.mary

1 месяц назад

@moderator, я насколько смог проверил, действительно безопасный файл, при самостоятельной сборке из исходников получается тоже самое.

Песочницы на Virustotal работают некорректно, я их проверил на заведомо чистых файлах, но они тоже показывают подозрительные действия.

У @melinger прошу прощения, был резок без меры, файл выглядел подозрительно, но все же это можно было написать более корректными словами.

раскрыть ветку (2)

melinger

1 месяц назад

Ура, спасибо. Принимаю.
Есть совет, как снизить размер файла exe, сохранив его автономность и чтобы он не требовал установки dotnet-ов и проч?

раскрыть ветку (1)

apple.mary

1 месяц назад

Я в почте написал, достаточно поменять целевую платформу с .Net 9 на .Net framework 4.6 (его SDK надо дополнительно скачать). Net framework версии выше 4.6 есть в любой живой системе, его не надо таскать с приложением.

melinger

1 месяц назад

Есть хорошая идея. Пусть товарищ @apple.mary цепляется ко мне rudesktop'ом или anydesk'ом, и мы скомпилим и соберём проект совместно. Возможно, товарищ подкинет по ходу анализа моего проекта идею, как снизить его размер, сохранив автономность.

Я не зашивал туда ничего злонамеренного, у меня банально не хватит знаний.

Прога написана для использования в отделе коллегами.

Выложил "as is".

Передам исходники любому желающему.

раскрыть ветку (2)

apple.mary

1 месяц назад

Так выкладывай исходники, весь проект, чтобы настройки компиляции и сборки сохранились. И посмотрим, какого размера будет приложение

раскрыть ветку (1)

melinger

1 месяц назад

Согласен. В течение часа сделаю.

forajump

1 месяц назад

Я ХЗ, сейчас там выложен файл exe, и ничего такого не наблюдается:
https://www.virustotal.com/gui/file/08f27ef71dbd042d25fd307b...

раскрыть ветку (15)

apple.mary

1 месяц назад

Да ладно, а это что?

кстати, у меня вчера он на VirusTotal не запустился в песочнице. Там, похоже, не один подарок в комплекте.

раскрыть ветку (14)

forajump

1 месяц назад

Я думаю, это следствие ленивой разработки на фреймворке, приложение включает в себя 195 МБ универсального мусора в виде иконок всех святых, библиотек на случаи поливания виртуальных цветов через интернет и отправки открыток в Вацап на день горькой жопки огурца.

раскрыть ветку (12)

apple.mary

1 месяц назад

Какой гигантский фреймворк, это обычное .net приложение, а не электрон какой-нибудь. Ну вирустотал же прямо все пишет. Ну нахрена обычный поисковик по текстовому файлу сохраняет на диск обновляльщик от гугла?

раскрыть ветку (9)

forajump

1 месяц назад

Браузер нужно своевременно обновлять, и это же забота о пользователе XD Если серьезно, я не знаю, поведение нелогичное, но не криминальное. Не браузер Амиго же, че ты? В любом случае условно детектится только одним каким-то вьетнамским антивирусом, который сам, скорее всего, если на VirusTotal загрузить, будет распознан как вирус.

раскрыть ветку (8)

apple.mary

1 месяц назад

Поведение как раз криминальное. Это же целенаправленная атака на доменные сети, они специально делаются чтобы не детектиться антивирусами.

Ну и полный игнор ТСом комментариев тоже намекает.

ТС, кстати, личность весьма специфическая, можешь его ЖЖ глянуть

https://melinger.livejournal.com/

раскрыть ветку (7)

melinger

1 месяц назад

Вы чего, собственно, на меня наговариваете? Я здесь, я доступен. И не ожидал никаких комментариев.

раскрыть ветку (6)

apple.mary

1 месяц назад

Ну давай, выложи проект свой программы, чтобы он скомпилился в тот бинарник, что ты залил на Гугл

раскрыть ветку (5)

melinger

1 месяц назад

Если про цирк - ваше письмо, тогда смотрите почту

melinger

1 месяц назад

Почту укажите, пожалуйста - вышлю проект. Там, возможно, будут ФИО, вытащенные из доменных учеток, поэтому не хочу на всеобщее обозрение его класть.
Я собрал в архив ВСЁ по моему проекту - и сырцы, и предыдущие версии. Мне скрывать нечего.

раскрыть ветку (3)

apple.mary

1 месяц назад

Комментарий удален. Причина: Личные данные, подлежащие удалению по Правилам Пикабу

раскрыть ветку (2)

apple.mary

1 месяц назад

@moderator, удалите, пожалуйста.

раскрыть ветку (1)

Moderator787

1 месяц назад

Здравствуйте. Готово

melinger

1 месяц назад

Вообще-то не совсем.

Если на компе стоит dotnet, тогда вполне запускается версия, которая весит метров десять, что ли. Из чего я делаю вывод, что этот дикий вес - компоненты dotnet.

При сборке, компиляции можно поснимать галки, что включать в сборку, а что нет, но моих знаний абсолютно недостаточно для этого. Разве что опытным путём.

melinger

1 месяц назад

Но про ленивую разработку вы почти правы.

Только не "ленивую", а "как умею".

До создания этой софтинки я никогда не открывал Visual Studio и никогда не писал на VB.

melinger

1 месяц назад

Kaspersky Endpoint Security с сегодняшними базами не видит ничего подобного.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку