Einmaliger Festplattenschreibmodus unter Windows

7

Ist es möglich, eine Festplatte unter Windows in den Modus "Einmal schreiben" zu zwingen?

Ich möchte Protokolle sicher speichern, damit sie nicht geändert werden können, kann jedoch aus Leistungsgründen keine Bänder oder optischen Medien verwenden.

MurrayA
quelle
Vielleicht möchten Sie erklären, vor wem Sie die Protokolle sichern möchten.
Alex P.
@AlexP. Jemand, der versuchen könnte, Protokolleinträge zu entfernen oder zu ändern, um seine Spuren nach einem Angriff zu verdecken
MurrayA
Ich meinte meistens, es sei ein entfernter Angreifer oder ein betrügerischer Insider - dh jemand, der einen legitimen Benutzer- / Administratorzugriff auf das System hat.
Alex P.
@AlexP. könnte Insider oder Outsider sein, der es geschafft hat, erhöhten Zugang zu erhalten
MurrayA
3
@ MurrayA Wahrscheinlich am besten, um Wälder nicht so viel Abholzung zu unterwerfen :)
Bryan

Antworten:

3

Sie können sich einige Speichergeräte ansehen, die über WORM-Funktionen verfügen. EMC Centera, HP StoreAll 9000 und andere verfügen über einige WORM-Funktionen. Diese sind jedoch nicht gerade billig.

Rex
quelle
2
Ich habe diese Antwort akzeptiert, da sie die einzige ist, die der richtigen Lösung nahe kommt, und hat mich letztendlich dazu gebracht, die NetApp SnapLock-Software zu finden, die mit dem NetApp-Betriebssystem "Data ONTAP" funktioniert.
MurrayA
5

Die Standardlösung für dieses Problem ist die Verwendung eines Remote-Protokollservers. In Windows können Sie NTSysLog verwenden , um System- / Sicherheits- / Anwendungsereignisse an einen Remote-Syslog-Server weiterzuleiten.

Alex P.
quelle
1
Aber wie hilft das, die Protokolle auf dem Remote-Protokollserver zu sichern?
MurrayA
Machen Sie es zu einem dedizierten Protokollserver. Führen Sie keine unnötigen Dienste darauf aus, wodurch die Angriffsvektoren eingeschränkt werden. Erstellen Sie auch keine Benutzerkonten.
Alex P.
das alles hilft natürlich, aber ich suche etwas mehr. Idealerweise möchte ich den Speicher einmal schreiben lassen.
MurrayA
2
@MurrayA Wenn Sie einmalige Medien schreiben möchten, müssen Sie einmalige Medien verwenden. Verrückt, ich weiß. In der Regel erfolgt dies mit einem CD- oder DVD-Brenner auf dem Remote-Protokollserver.
HopelessN00b
1
@ HopelessN00b Wie ich in meiner Frage sagte, werden optische Medien für mich nicht funktionieren
MurrayA
1

Beachten Sie bitte, dass Protokolldateien normalerweise geschrieben und angehängt werden. Daher ist das einmalige Schreiben keine gute Option. Legen Sie sie in einer schreibgeschützten Freigabe ab, oder legen Sie die Berechtigungen so fest, dass nur der Dienst, der in die Protokolle schreibt, den Ordner bearbeiten kann. Dies schützt sie nicht vor einem administrativen Benutzer, verhindert jedoch den gelegentlichen Zugriff auf die Protokolldateien.

G Koe
quelle
Wie funktioniert das einmalige Schreiben nicht, wenn Protokolle angehängt werden? Was ich möchte, ist, dass die Protokolle angehängt, aber nicht neu geschrieben werden
MurrayA
1
@MurrayA Denken Sie eine Sekunde darüber nach, wie NTFS mit Dateien für Schreibvorgänge interagiert. Angenommen, wir möchten Inhalte an eine Datei anhängen. Dies bedeutet, dass mindestens der ModifiedDatumsparameter geändert werden muss. Wie würden Sie das tun, wenn die Festplatte WORM ist? Eine neue Datei erstellen, in die Sie die alte und den neuen Inhalt kopieren? Würden Sie dies jedes Mal akzeptieren, wenn Sie Daten an eine Datei anhängen möchten? Wie auch immer, ich glaube nicht, dass Sie hoffen können, so etwas mit NTFS zu erreichen ...
Mihai Todor
2
@MihaiTodor Das stimmt nicht. NTFS aktualisiert den Datumsparameter nicht Modifiedbei jedem Schreibvorgang - nur, wenn die Datei nach dem Schreiben geschlossen wird. Protokollierungsanwendungen lassen die aktuelle Protokolldatei normalerweise geöffnet, bis sie zur nächsten Protokolldatei weitergeleitet werden kann (da das Öffnen und Schließen bei jedem Schreibvorgang die Leistung erheblich beeinträchtigen würde
MurrayA,
@MurrayA Ja, Sie haben Recht, aber trotzdem muss die Datei irgendwann geschlossen werden, selbst wenn Sie Inhalte anhängen. Das oben Gesagte gilt also auch dann, wenn es einmal pro Tag passiert.
Mihai Todor