Bir dosyanın Windows'ta en son ne zaman okunduğunu veya erişildiğini nasıl bilebilirim?

13

Son 2 gün içinde belirli bir dosyaya erişilip erişilmediğini belirlemem gerekiyor.

Bu Windows Server 2008 R2'de mümkün mü?

windows  security 
javapowered
kaynak

Yanıtlar:

7

Ondan sonra mı? Hayır, bir denetim ACL'sinin bir üst öğeden devralınması veya "dosyayı oku" izni için doğrudan dosyaya ayarlanmaması durumunda buna inanmıyorum. Dosya sistemi denetimini etkinleştirirseniz, çoğu insanın ayrıştırmak için bir tür araca aktarılacağı veya aktarılacağı bu bilgileri bulmak için güvenlik günlüklerine bakabilirsiniz.

Ayrıca, hedef haline gelirse dosya bütünlüğünü korumak için Tripwire gibi bir şeye bakabilirsiniz.

SpacemanSpiff
kaynak
taraf yardımcı programları kullanmadan yapmak mümkün mü? windows oluşturma zamanı, değişiklik zamanı izler, neden "okuma zamanı" izleyemiyor?
8'de javapowered
@javapowered Evet öyle. SpacemanSpiff'in belirttiği gibi. Yerleşik denetim kullanın. Bunu okuyun: technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx
Tom
1
@javapowered - dosya izinlerini ayarlamaktan çok daha zor değil. Bunu yalnızca bir dosya veya dizin için yapmak istiyorsanız, o dizine gidin. Dosya / klasörün özellikler iletişim kutusunu açın, denetim sekmesine gidin. Bir etki alanındaysanız "herkes" grubunu veya "etki alanı kullanıcıları" nı ekleyin ve "okuma" izni kutusunu işaretleyin. Bu, birisi dosyaya her eriştiğinde bir güvenlik olay günlüğü girdisi oluşturur. Bu yüzden günlükleri incelemeye başlayın veya söz konusu dosya / klasörü arayan bir günlük okuyucusuna dökün.
SpacemanSpiff
1
ve .... bir sürücünün kökünde denetim yaparken dikkatli olun, büyük olasılıkla artacaktır ve günlüğünüz delirecektir. Bilginize.
SpacemanSpiff
1
Yönetimsel araçları, Olay Görüntüleyicisi'ni açın ve güvenlik günlüğüne bakın
SpacemanSpiff
8

Aslında bir yolu var ama Vista / 2008'den beri varsayılan olarak devre dışı bırakıldı ve Win7 / 2008R2'de varsayılan olarak devre dışı olduğunu doğruladım.

Şu anda NtfsDisableLastAccessUpdatebulunan kayıt defteri ayarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem, performans amacıyla varsayılan olarak 1'dir. Bunu 0 olarak değiştirirseniz, NTFS dosya / klasörün LastAccessTime özelliğini güncelleştirir.

Bu değeri, dosyanın / klasörün özelliklerine bakarak görebilir veya bilgileri bir PowerShell betiğiyle çekebilirsiniz. Performans vuruşunun çok kötü olmadığından emin olmak için önce test ettiğinizden emin olun.

Ayrıca NTFS bilgileri her zaman hemen güncellemez. Microsoft'a göre :

NTFS dosya sistemi, bir dosya için son erişim süresindeki güncellemeleri son erişimden sonra 1 saate kadar geciktirir.

murisonc
kaynak
1
Bunu bilmek harika, ona kimin eriştiğini de saklıyor mu?
SpacemanSpiff
1
Hayır, sadece erişildiği zaman. Kim olduğunu bilmeniz gerekiyorsa, başka bir cevapta belirtildiği gibi denetimi etkinleştirmeniz gerekir.
murisonc
@murisonc, Kötü niyetli kullanıcı, dosyalara eriştikten sonra en son erişilen tarihi orijinal değerine geri döndüren bir programı kullanamaz mı?
Pacerier
@Pacerier, eminim kötü niyetli bir kullanıcı onu dövmenin bir yolunu bulabilir. Denetimi etkinleştirmek ve bu denetim girişlerinin bir denetim toplama sunucusuna yönlendirildiğinden emin olmak için.
murisonc
Etkinleştirmenin ne kadar performans etkisi NtfsDisableLastAccessUpdatevar?
Stevoisiak
4

As @murisonc işaret , Windows üzerinde NTFS birimleri olabilir onlar sadece varsayılan olarak değil, son erişim zamanını izlemek ve kolayca bir kayıt anahtarı belirleyerek etkindir.

Bunu, otomatik uyarı ve raporlama sağlayabilen Verisys veya Tripwire gibi bir dosya bütünlüğü izleme aracıyla birleştirebilirsiniz .

Dosya sistemi denetim araçları da bir seçenek olabilir, ancak birçoğu performansı denetleyebilecek nesne denetimini etkinleştirmeye güvenir. Bazıları bunun yerine dosya sistemi filtre sürücülerine güvenir, ancak bu sürücüler biraz pul pul olabilir.

Cocowalla
kaynak
0

Bu Kılavuz, bir dosya üzerinde denetimi etkinleştirmek için hile yapmalıdır: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

Windows 7 için ama 2008 ile neredeyse aynı.

Bunun için grup ilkeleri de kullanabilirsiniz. Ancak belirttiğiniz gibi, profesyonel bir yönetici değilsiniz, bu sizin için bir yol değildir.

Denetlemek için bir kullanıcı veya grup eklemeniz gerekir. Üst klasöre erişimi olan aynı grubu eklemenizi öneririm.

Kullanıcılara neyi denetlediğinizi bildirmeniz gerekir. Sizin durumunuzda "dosya erişimi". Onları bilgilendirmezseniz, denetim yasadışı olabilir.

Tom
kaynak
Teşekkürler. tam olarak sorduğunuz gibi yaptım ve mükemmel çalıştı! Tek sorun, denetim erişimini etkinleştirmeden önce günlükleri göstermiyor. Bunu nasıl yapabilirim?
Discoveryourpc.net etki alanı artık mevcut değil (DNS girişi yok). Cevaptaki bağlantı öldü.
Peter Hansen
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.