Soru Bir dosyanın en son ne zaman okuntığını veya Windows'da erişildiğini nasıl bilebilirim?


Belirli bir dosyaya en son 2 gün içinde erişilip verilmediğini belirlemem gerek.

Windows Server 2008 R2'de bu mümkün mü?


13
2018-01-20 05:58


Menşei




Cevaplar:


Bundan sonra mı? Hayır, bir denetleyici ACL'nin bir veliden miras alınmadığı veya doğrudan "okuma dosyası" izni için dosyaya ayarlanmadığı sürece buna inanmıyorum. Dosya sistemi denetimini etkinleştirirseniz, çoğu kişinin çözümleyeceği bu bilgiyi bulmak için güvenlik günlüklerine bakabilir veya ayrıştırma için bir araç türüne aktarabilirsiniz.

Ayrıca bir hedef haline gelirse dosya bütünlüğünü korumak için Tripwire gibi bir şey kullanmaya da bakabilirsiniz.


7
2018-01-20 06:09



üçüncü taraf yardımcı programlarını kullanmadan yapmak mümkün mü? pencereler oluşturma zamanı, değişiklik zamanı, neden "okuma zamanı" izleyemez? - javapowered
@javapowered Evet öyle. SpacemanSpiff'in bahsettiği gibi. Yerleşik denetim kullanın. Oku bunu: technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx - Tom
@javapowered - dosya izinlerini ayarlamaktan çok daha zor değil. Bunu sadece bir dosya veya dizin için yapmak isterseniz, o dizine gidin. Dosya / klasörün özellikler iletişim kutusunu açın, denetim sekmesine gidin. Bir alandaysanız "herkes" grubunu veya "alan adı kullanıcılarını" ekleyin ve "okuma" izninin kutusunu işaretleyin. Bu, birisi dosyaya her eriştiğinde bir güvenlik olay günlüğü girişi oluşturur. Sonra, günlükleri incelemeye başlayın veya söz konusu dosya / klasör için arayan bir günlük okuyucusuna atın. - SpacemanSpiff
ve .... bir sürücünün kökünde denetimin ayarlanması konusunda dikkatli olun, muhtemelen aşağıdan aşağıya doğru ilerler ve günlüğünüz çıldırır. Bilginize. - SpacemanSpiff
Yönetimsel araçlar, Etkinlik Görüntüleyici'yi açın ve güvenlik günlüğüne bakın. - SpacemanSpiff


Aslında bir yol var ancak Vista / 2008'den beri varsayılan olarak devre dışı bırakıldı ve Win7 / 2008R2'de varsayılan olarak devre dışı bırakıldığını doğruladım.

Kayıt defteri ayarı NtfsDisableLastAccessUpdate konumlanmış HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem şimdi performans amaçları için varsayılan 1'dir. Bunu 0 olarak değiştirirseniz, NTFS dosya / klasörün LastAccessTime özelliğini güncelleştirir.

Bu değeri dosya / klasörün özelliklerine bakarak görebilir veya bilgileri bir PowerShell betiğiyle alabilirsiniz. Performans isabetinin çok kötü olmadığından emin olmak için önce test ettiğinizden emin olun.

Ayrıca, NTFS her zaman bilgileri hemen güncelleyemez. Microsoft'a göre:

NTFS dosya sistemi güncellemeleri, son erişimden sonra 1 saate kadar bir dosya için son erişim zamanına geciktirir.


8
2018-01-20 17:44



Bunu bilmek harika, saklayan kimde saklıyor mu? - SpacemanSpiff
Hayır, sadece erişildiğinde. Daha sonra başka bir cevapta belirtildiği gibi denetlemeyi etkinleştirmeniz gerekeceğini bilmeniz gerekiyorsa. - murisonc
@murisonc, Kötü niyetli kullanıcının sadece son erişilen tarihi, dosyalara eriştikten sonra orijinal değere geri yükleyen bir program kullanması mümkün değil miydi? - Pacerier
@Pacerier, Eminim ki kötü niyetli bir kullanıcı bunu yapmanın bir yolunu bulabilir. Denetlemeyi etkinleştirmeniz ve bu denetim girişlerinin bir denetim koleksiyonuna iletilmesini sağlamanız gerektiğinden emin olmak için. - murisonc
Bir performans etkisinin ne kadarının etkin olduğu NtfsDisableLastAccessUpdate var? - Steven M. Vascellaro


Gibi @murisonc dikkat çekti, Windows'ta NTFS birimleri kutu son erişim süresini izlemek, sadece varsayılan olarak değil ve bir kayıt defteri anahtarı ayarlayarak kolayca etkinleştirilebilir.

Bunu bir dosya bütünlüğü izleme aracıyla birleştirebilirsiniz. Verisys veya tripwireOtomatik uyarı ve raporlamayı sağlayabilir.

Dosya sistemi denetim araçları da bir seçenek olabilir, ancak çoğu kişi performansı denetleyebilen nesne denetimini etkinleştirmeye dayanır. Bazıları bunun yerine dosya sistemi filtre sürücülerine güveniyor, ancak bu sürücüler biraz bozuk olabilir.


4
2018-01-30 15:56





Bu Kılavuz bir dosyada denetimi etkinleştirmek için hile yapmalıdır: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

Windows 7 için ama 2008'e neredeyse aynı.

Bunun için grup politikalarını da kullanabilirsiniz. Ama söylediğin gibi profesyonel bir yönetici değilsin, bu senin için bir yol değil.

Denetlemek için bir kullanıcı veya grup eklemeniz gerekir. Ana klasöre erişimi olan aynı grubu eklemenizi öneririm.

Denetlemekte olduğunuz kullanıcıları bilgilendirmeniz gerekir. Senin durumunda "dosya erişimi". Onları bilgilendirmezseniz, denetim yasa dışı olabilir.


0
2018-01-20 14:44



Teşekkürler. tam olarak istediğin gibi yaptım ve mükemmel çalıştı! Tek sorun, denetim erişimini etkinleştirmeden önce günlükleri göstermiyor. Bunu yapmak için nasıl yaparım?
Discoveryourpc.net alanı artık mevcut değil (DNS girişi yok). Cevaptaki bağlantı öldü. - Peter Hansen