Muszę ustalić, czy dany plik był dostępny w ciągu ostatnich, powiedzmy, dwóch dni.
Czy jest to możliwe w systemie Windows Server 2008 R2?
Muszę ustalić, czy dany plik był dostępny w ciągu ostatnich, powiedzmy, dwóch dni.
Czy jest to możliwe w systemie Windows Server 2008 R2?
Odpowiedzi:
Po tym fakcie? Nie, nie wierzę w to, chyba że kontrolna lista ACL została odziedziczona od rodzica lub ustawiona bezpośrednio w pliku dla uprawnienia do „odczytu pliku”. Jeśli włączysz inspekcję systemu plików, możesz spojrzeć na dzienniki zabezpieczeń, aby znaleźć te informacje, które większość osób potokuje lub przekazuje do jakiegoś narzędzia do analizy.
Możesz także rzucić okiem na użycie czegoś takiego jak Tripwire do zachowania integralności plików, jeśli stanie się to celem.
Właściwie istnieje sposób, ale został domyślnie wyłączony od Vista / 2008 i właśnie zweryfikowałem, że jest domyślnie wyłączony w Win7 / 2008R2.
Ustawienie rejestru NtfsDisableLastAccessUpdate
znajdujące się HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
teraz w domyślnej wartości 1 dla celów wydajności. Jeśli zmienisz to na 0, NTFS zaktualizuje właściwość LastAccessTime pliku / folderu.
Możesz zobaczyć tę wartość, patrząc na właściwości pliku / folderu lub możesz pobrać informacje za pomocą skryptu PowerShell. Pamiętaj jednak, aby najpierw przetestować, aby upewnić się, że wydajność nie jest taka zła.
Również NTFS nie zawsze aktualizuje informacje natychmiast. Według Microsoft :
System plików NTFS opóźnia aktualizację czasu ostatniego dostępu do pliku nawet o 1 godzinę po ostatnim dostępie.
NtfsDisableLastAccessUpdate
?
Jak wskazał @murisonc , woluminy NTFS w systemie Windows mogą śledzić czas ostatniego dostępu, po prostu domyślnie tego nie robią i można je łatwo włączyć, ustawiając klucz rejestru.
Możesz to połączyć z narzędziem do monitorowania integralności plików, takim jak Verisys lub Tripwire , które może zapewnić automatyczne alarmowanie i raportowanie.
Opcjonalne mogą być również narzędzia do kontroli systemu plików, choć wiele z nich polega na włączeniu kontroli obiektów, co może obniżyć wydajność. Niektóre inne polegają na sterownikach filtrów systemu plików, ale te sterowniki mogą być nieco płatkowe.
Ten przewodnik powinien zrobić sztuczkę, aby umożliwić audyt pliku: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
To jest dla Windows 7, ale jest prawie identyczny z 2008.
Możesz również użyć do tego zasad grupy. Ale jak powiedziałeś, że nie jesteś profesjonalnym administratorem, nie byłoby to dla ciebie właściwą drogą.
Musisz dodać użytkownika lub grupę do kontroli. Zalecam dodanie tej samej grupy, która ma dostęp do folderu nadrzędnego.
Musisz poinformować użytkowników o tym, co kontrolujesz. W twoim przypadku „dostęp do pliku”. Jeśli nie poinformujesz ich, audyt może być nielegalny.