Paidalanuşy nūsqaulyğy
Идентификация отправителей и получателей данных в результатах поиска
Каждый результат поиска (документ) сопровождается указанием локального и удаленного пользователей, между которыми производился обмен данными. В качестве удаленного пользователя может выступать сервер (например, для документа, переданного по FTP-протоколу). Идентификация отправителей и получателей возможна в силу того, что их контактные данные перехватываются вместе с данными (например, имя и фамилия, UIN пользователей ICQ, адреса электронной почты отправителей и получателей перехваченного электронного письма и др.).
Программой используется система карточек пользователей, при которой на каждого пользователя локальной сети назначена идентификационная карточка, содержащая персональную и контактную информацию пользователя (имя и фамилия, должность, адреса электронной почты, SID, UIN для ICQ, учетные записи в коммуникационных программах, пользовательские имена в социальных сетях и т.д.).
Примечание.
SID-идентификатор, или пользовательский идентификатор владельца, – это уникальный идентификатор пользователя в Active Directory. Этот идентификатор перехватывается вместе с информацией, получаемой агентами контроля рабочих станций. При импорте пользователей из Active Directory поле с пользовательским SID-идентификатором заполняется автоматически. Поэтому при просмотре какой-либо информации, перехваченной агентами, например, разговора в программе Skype, вы увидите полное имя пользователя (как оно указано в карточке соответствующего пользователя) вместе с его учетной записью в программе Skype или IP-адресом – информацией, которая без пользовательского SID была бы недостаточной для точной идентификации пользователя. Кроме того, возможно дублирование перехваченной информации в случае, если она перехватывается как сервером перехвата, так и агентами. Например, один и тот же разговор будет дважды фигурировать в списке результатов поиска: разговор, перехваченный агентом и содержащий пользовательский SID, и разговор, перехваченный сервером перехвата без пользовательского SID. Соответственно, в первом разговоре можно будет увидеть только учетную запись пользователя, в то время как во втором – полное имя пользователя. Также если какая-либо TCP-сессия была начата под системной учетной записью, пользовательский SID перехватываться не будет.
Изначально база пользователей формируется и наполняется администратором при помощи Консоли администратора. Для того, чтобы узнать больше о работе с карточками пользователей, перейдите к чтению раздела Мониторинг сетевой активности пользователей настоящего Руководства пользователя.
Просмотр информации отправителя или получателя данных
Если отправителем или получателем данных является пользователь, для которого назначена идентификационная карточка, в результатах поиска отображается ссылка с именем, закрепленным за этим пользователем в системе SecureTower.
Для просмотра и изменения карточки данного пользователя, щелкните правой кнопкой мыши на его имени и в появившемся контекстном меню нажмите Карточка пользователя. Подробнее о внесении изменений в карточки пользователей можно прочитать в разделе Просмотр и изменение информации в карточках пользователей настоящего руководства.
Если отправителем или получателем данных является пользователь, для которого не назначена идентификационная карточка, то в строке этого пользователя будет отображаться контактная информация, перехваченная системой.
Примечание.
Eсли сервис сетевого трафика был запущен после начала переписки в коммуникационной программе, возможен перехват неполной информации участников разговора. Например, для разговора в программе ICQ может быть перехвачен только UIN удаленного пользователя. При этом для локального пользователя будет известен только IP-адрес. По истечении определенного времени UIN локального пользователя может быть извлечен из трафика, и в таком случае данная беседа будет рассматриваться программой как разговор между другими пользователями, и, соответственно, будет отображаться в результатах поиска как новый разговор. Таким образом, возможна ситуация, когда один и тот же разговор будет представлен программой в нескольких результатах поиска с указанием разных участников разговора.
Изменение идентификационной информации пользователей
Для изменения идентификационной информации пользователя, нажмите по ссылке с именем (если пользователь установлен) или с контактной информацией (если пользователь не распознан системой).
В окне идентификации пользователей по контактным данным можно закрепить отображаемую идентификационную информацию за любым пользователем, выбрав необходимый атрибут «связки» в левой части окна, соответствующего пользователя в правой части окна и нажав кнопку Привязать.
Чтобы отменить связь между пользователем и идентификационными данными, выберите необходимый атрибут «связки» или соответствующего пользователя и нажмите Отвязать.
Подробнее о привязке см. параграф Привязка информации к пользователям пункта Просмотр взаимосвязей пользователя текущего руководства.