Woher weiß ich, wann eine Datei zuletzt unter Windows gelesen wurde oder wann darauf zugegriffen wurde?

13

Ich muss feststellen, ob in den letzten 2 Tagen auf eine bestimmte Datei zugegriffen wurde.

Ist dies unter Windows Server 2008 R2 möglich?

windows security javapowered
quelle

Antworten:

7

Nach dieser Tatsache? Nein, ich glaube nicht, es sei denn, eine Überwachungs-ACL wurde von einem übergeordneten Element geerbt oder direkt in der Datei für die Berechtigung "Datei lesen" festgelegt. Wenn Sie die Dateisystemüberwachung aktivieren, können Sie in den Sicherheitsprotokollen nach Informationen suchen, die von den meisten Benutzern per Pipeline übermittelt oder zum Analysieren an ein Tool übertragen werden.

Sie können auch die Verwendung von Tripwire zur Aufrechterhaltung der Dateiintegrität in Betracht ziehen, wenn dies zum Ziel wird.

SpacemanSpiff
quelle
ist es möglich zu machen, ohne fremde dienstprogramme zu verwenden? Windows verfolgt Erstellungszeit, Änderungszeit, warum kann es nicht "Lesezeit" verfolgen?
Javapowered
@javapowered Ja, das ist es. Wie SpacemanSpiff erwähnt. Verwenden Sie die integrierte Überwachung. Lesen Sie dies: technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx
Tom
1
@javapowered - es ist wirklich nicht viel schwieriger als das Festlegen von Dateiberechtigungen. Wenn Sie dies nur für eine Datei oder ein Verzeichnis tun möchten, wechseln Sie in dieses Verzeichnis. Öffnen Sie den Eigenschaftsdialog der Datei / des Ordners, und wechseln Sie zur Registerkarte Überwachung. Fügen Sie die Gruppe "Jeder" oder "Domänenbenutzer" hinzu, wenn Sie sich in einer Domäne befinden, und aktivieren Sie das Kontrollkästchen für die Berechtigung "Lesen". Dadurch wird jedes Mal, wenn jemand auf die Datei zugreift, ein Eintrag im Sicherheitsereignisprotokoll erstellt. Beginnen Sie also mit der Überprüfung der Protokolle, oder geben Sie sie an einen Protokollleser weiter, der nach der zu erwähnenden Datei / dem zu erwähnenden Ordner sucht.
SpacemanSpiff
1
und ... Seien Sie vorsichtig, wenn Sie Auditing auf den Stamm eines Laufwerks setzen, da dies wahrscheinlich zu einer Kaskade führt und Ihr Protokoll verrückt wird. fyi.
SpacemanSpiff
1
Öffnen Sie Verwaltung, Ereignisanzeige und sehen Sie sich das Sicherheitsprotokoll an
SpacemanSpiff
8

Eigentlich gibt es einen Weg, aber es ist standardmäßig seit Vista / 2008 deaktiviert und ich habe gerade überprüft, dass es in Win7 / 2008R2 standardmäßig deaktiviert ist.

Die Registrierungseinstellung, die NtfsDisableLastAccessUpdatesich HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemjetzt in befindet, ist aus Leistungsgründen standardmäßig 1. Wenn Sie dies in eine 0 ändern, aktualisiert NTFS die LastAccessTime-Eigenschaft der Datei / des Ordners.

Sie können diesen Wert anhand der Eigenschaften der Datei / des Ordners anzeigen oder die Informationen mit einem PowerShell-Skript abrufen. Stellen Sie jedoch sicher, dass Sie zuerst testen, um sicherzustellen, dass die Leistung nicht zu schlecht ist.

Außerdem aktualisiert NTFS die Informationen nicht immer sofort. Laut Microsoft :

Das NTFS-Dateisystem verzögert die Aktualisierung der letzten Zugriffszeit für eine Datei um bis zu 1 Stunde nach dem letzten Zugriff.

murisonc
quelle
1
Gut zu wissen, wer darauf zugegriffen hat.
SpacemanSpiff
1
Nein, gerade als darauf zugegriffen wurde. Wenn Sie wissen möchten, wen Sie suchen, müssen Sie die Überwachung aktivieren, wie in einer anderen Antwort erwähnt.
Murisonc
@murisonc, Könnte der böswillige Benutzer nicht einfach ein Programm verwenden, das das Datum, auf das zuletzt zugegriffen wurde, auf den ursprünglichen Wert zurücksetzt, nachdem er auf die Dateien zugegriffen hat?
Pacerier
@ Pacerier, ich bin sicher, ein böswilliger Benutzer könnte einen Weg finden, es zu fälschen. Um dies festzustellen, müssen Sie die Überwachung aktivieren und sicherstellen, dass diese Überwachungseinträge an einen Überwachungssammlungsserver weitergeleitet werden.
Murisonc
Wie stark wirkt sich die Aktivierung auf NtfsDisableLastAccessUpdatedie Leistung aus ?
Stevoisiak
4

Wie @murisonc wies darauf hin , NTFS - Volumes unter Windows kann die letzte Zugriffszeit verfolgen, sie standardmäßig einfach nicht, und es leicht , indem Sie einen Registrierungsschlüssel aktiviert ist.

Sie können dies mit einem Tool zur Überwachung der Dateiintegrität wie Verisys oder Tripwire kombinieren , das automatische Warnungen und Berichte bereitstellt.

Tools für die Dateisystemüberwachung können ebenfalls eine Option sein, obwohl viele darauf angewiesen sind, die Objektüberwachung zu aktivieren, was die Leistung beeinträchtigen kann. Einige andere basieren stattdessen auf Dateisystem-Filtertreibern, aber diese Treiber können etwas unauffällig sein.

Cocowalla
quelle
0

In diesem Handbuch sollten Sie die Prüfung für eine Datei aktivieren: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

Es ist für Windows 7, ist aber fast identisch mit 2008.

Sie können hierfür auch Gruppenrichtlinien verwenden. Aber wie Sie sagten, sind Sie kein professioneller Administrator, das wäre nicht der richtige Weg für Sie.

Sie müssen einen Benutzer oder eine Gruppe zur Überwachung hinzufügen. Ich empfehle, dieselbe Gruppe hinzuzufügen, die Zugriff auf den übergeordneten Ordner hat.

Sie müssen den Benutzern mitteilen, was Sie prüfen. In Ihrem Fall "Dateizugriff". Wenn Sie sie nicht informieren, kann die Prüfung illegal sein.

Tom
quelle
Vielen Dank. Ich habe genau das getan, was Sie gefragt haben und es hat perfekt funktioniert! Das einzige Problem ist, dass die Protokolle nicht angezeigt werden, bevor ich den Überwachungszugriff aktiviert habe. Wie kriege ich das hin?
Die Domain discoveryourpc.net existiert nicht mehr (hat keine DNS-Einträge). Der Link in der Antwort ist tot.
Peter Hansen