Як я можу дізнатися, коли файл востаннє читався чи доступ до нього в Windows?

13

Мені потрібно визначити, чи був доступ до певного файлу за останні, скажімо, 2 дні.

Чи можливо це на Windows Server 2008 R2?

windows security

7

Після цього факту? Ні, я не вірю в це, якщо тільки аудиторський аудит ACL не був успадкований від батьків або встановлений безпосередньо у файлі для отримання дозволу "прочитати файл". Якщо ви активізуєте аудит файлової системи, ви можете переглянути журнали безпеки, щоб знайти цю інформацію, яку більшість людей передаватиме або передаватиме на якийсь інструмент для розбору.

Ви також можете поглянути на використання чогось типу Tripwire для підтримки цілісності файлів, якщо це стане метою.

— SpacemanSpiff
джерело

це можливо зробити без використання сторонніх утиліт? Windows відстежує час створення, час модифікації, чому він не може відстежувати "час читання"?

— javapowered

@javapowered Так. Як згадував SpacemanSpiff Використовуйте вбудований аудит. Читайте це: technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx

— Том

1

@javapowered - це дійсно не так важче, ніж налаштування дозволів на файли. Якщо ви хочете зробити це лише для одного файлу чи каталогу, перейдіть до цього каталогу. Відкрийте діалогове вікно властивостей файлу / папки, перейдіть на вкладку аудиту. Додайте групу "всіх" або "користувачів домену", якщо ви перебуваєте в домені, і встановіть прапорець на "читання". Це створить запис журналу подій безпеки кожного разу, коли хтось отримує доступ до файлу. Тоді почніть переглядати журнали або скидайте їх до зчитувача журналів, який шукає цей файл / папку.

— SpacemanSpiff

1

і .... будьте обережні, налаштовуючи аудит у корені диска, він, швидше за все, згортається, і ваш журнал втратить розум. фій.

— SpacemanSpiff

1

Відкрийте інструменти "Адміністратор", "Переглядач подій" та перегляньте журнал безпеки

— SpacemanSpiff

8

Насправді є спосіб, але він був відключений за замовчуванням з Vista / 2008, і я просто перевірив, що він відключений за замовчуванням у Win7 / 2008R2.

Налаштування реєстру, що NtfsDisableLastAccessUpdateзнаходиться HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemзараз, за замовчуванням дорівнює 1. Якщо ви зміните це значення на 0, NTFS оновить властивість файла / папки LastAccessTime.

Ви можете побачити це значення, переглянувши властивості файлу / папки або ви можете перетягнути інформацію за допомогою сценарію PowerShell. Переконайтесь, що ви протестуєте спочатку, щоб переконатися, що показник не дуже поганий.

Також NTFS не завжди оновлює інформацію негайно. За даними Microsoft :

Файлова система NTFS затримує оновлення до останнього часу доступу до файлу до 1 години після останнього доступу.

— убивця
джерело

1

Це чудово знати, чи зберігає він і хто до нього звертався?

— SpacemanSpiff

1

Ні, саме тоді, коли до нього зверталися. Якщо вам потрібно знати, хто тоді повинен увімкнути аудит, як згадується в іншій відповіді.

— убивця

@murisonc, Невже зловмисник не може просто скористатися програмою, яка повертає останню дату звернення до початкового значення після доступу до файлів?

— Пейс’єр

@Pacerier, я впевнений, що зловмисник може знайти спосіб підробити це. Щоб зрозуміти, що вам доведеться ввімкнути аудит і переконатися, що ці записи аудиту пересилаються до суворої сукупності аудиту.

— murisonc

Який вплив на ефективність має сприяння NtfsDisableLastAccessUpdate?

— Stevoisiak

4

Як зазначав @murisonc , томи NTFS у Windows можуть відстежувати останній час доступу, вони просто не за замовчуванням, і це легко вмикається, встановивши ключ реєстру.

Ви можете поєднати це з інструментом контролю за цілісністю файлів, наприклад Verisys або Tripwire , який може забезпечити автоматичне сповіщення та звітування.

Засоби аудиту файлової системи можуть бути також варіантом, хоча багато хто покладається на включення аудиту об'єктів, що може знищити продуктивність. Деякі інші замість цього покладаються на драйвери фільтрів файлової системи, але ці драйвери можуть бути делікатними.

— Cocowalla
джерело

0

Цей посібник повинен зробити фокус, щоб увімкнути аудит у файлі: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

Це для Windows 7, але майже ідентично 2008 року.

Ви також можете використовувати групові політики для цього. Але як ви заявили, що ви не професійний адміністратор, це не було б для вас.

Вам потрібно додати користувача або групу для аудиту. Я рекомендую додати ту саму групу, яка має доступ до батьківської папки.

Ви маєте повідомити користувачів про те, що проводить аудит. У вашому випадку "доступ до файлів". Якщо ви не повідомите їх, аудит може бути незаконним.

— Том
джерело

Спасибі. Я зробив саме так, як ви просили, і це працювало чудово! Єдине питання полягає в тому, що він не відображає журнали до того, як я включив доступ до аудиту. Як я можу це зробити?

Домен Discoverourpc.net більше не існує (немає записів DNS). Посилання у відповіді мертве.

— Пітер Хансен