ฉันจะรู้ได้อย่างไรว่าไฟล์ถูกอ่านหรือเข้าถึงบน Windows ครั้งสุดท้ายเมื่อใด

13

ฉันจำเป็นต้องตรวจสอบว่ามีการเข้าถึงไฟล์ใดไฟล์หนึ่งในช่วง 2 วันที่ผ่านมาหรือไม่

เป็นไปได้ใน Windows Server 2008 R2 หรือไม่

windows security

7

หลังจากนั้น ไม่ฉันไม่เชื่อเช่นนั้นเว้นแต่ว่า ACL การตรวจสอบนั้นได้รับการสืบทอดมาจากผู้ปกครองหรือตั้งค่าโดยตรงบนไฟล์เพื่อขออนุญาต "อ่านไฟล์" หากคุณเปิดใช้งานการตรวจสอบระบบไฟล์คุณสามารถดูล็อกความปลอดภัยเพื่อค้นหาข้อมูลนี้ซึ่งคนส่วนใหญ่จะใช้ไพพ์หรือถ่ายโอนไปยังเครื่องมือบางประเภทสำหรับการแยกวิเคราะห์

คุณยังสามารถดูการใช้บางสิ่งเช่น Tripwire เพื่อรักษาความสมบูรณ์ของไฟล์หากกลายเป็นเป้าหมาย

— SpacemanSpiff
แหล่งที่มา

เป็นไปได้ไหมที่จะสร้างโดยไม่ใช้โปรแกรมอรรถประโยชน์ของบุคคลที่สาม? windows ติดตามเวลาสร้างเวลาแก้ไขทำไมมันไม่สามารถติดตาม "อ่านเวลา"?

— javapowered

@javapowered ใช่มันเป็น ดังที่ SpacemanSpiff กล่าวถึง ใช้การตรวจสอบในตัว อ่านสิ่งนี้: technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx

— Tom

1

@ javapowered - มันไม่ยากกว่าการตั้งค่าการอนุญาตไฟล์ หากคุณต้องการทำสิ่งนี้เพียงหนึ่งไฟล์หรือไดเรกทอรีให้ไปที่ไดเรกทอรีนั้น เปิดกล่องโต้ตอบคุณสมบัติของไฟล์ / โฟลเดอร์ไปที่แท็บการตรวจสอบ เพิ่มกลุ่ม "ทุกคน" หรือ "ผู้ใช้โดเมน" หากคุณอยู่ในโดเมนและทำเครื่องหมายที่ช่องเพื่อขออนุญาต "อ่าน" นี่จะสร้างรายการบันทึกเหตุการณ์ความปลอดภัยทุกครั้งที่มีคนเข้าถึงไฟล์ ดังนั้นจากนั้นเริ่มตรวจสอบบันทึกหรือถ่ายโอนไปยังเครื่องอ่านบันทึกการค้นหาไฟล์ / โฟลเดอร์ที่จะกล่าวถึง

— SpacemanSpiff

1

และ .... ระวังการตั้งค่าการตรวจสอบที่รูทของไดรฟ์มันอาจจะล้มลงและบันทึกของคุณจะเสียสติ FYI

— SpacemanSpiff

1

เปิดเครื่องมือการจัดการตัวแสดงเหตุการณ์และดูล็อกการรักษาความปลอดภัย

— SpacemanSpiff

8

จริงๆแล้วมันมีวิธี แต่มันถูกปิดการใช้งานโดยค่าเริ่มต้นตั้งแต่ Vista / 2008 และฉันเพิ่งตรวจสอบว่ามันถูกปิดการใช้งานโดยค่าเริ่มต้นใน Win7 / 2008R2

การตั้งค่ารีจิสทรีที่NtfsDisableLastAccessUpdateอยู่ในHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemค่าเริ่มต้นเป็น 1 เพื่อวัตถุประสงค์ด้านประสิทธิภาพ หากคุณเปลี่ยนเป็น 0 จากนั้น NTFS จะอัปเดตคุณสมบัติ LastAccessTime ของไฟล์ / โฟลเดอร์

คุณสามารถดูค่านี้ได้โดยดูที่คุณสมบัติของไฟล์ / โฟลเดอร์หรือคุณสามารถดึงข้อมูลด้วยสคริปต์ PowerShell ตรวจสอบให้แน่ใจว่าคุณทดสอบก่อนเพื่อให้แน่ใจว่าการเข้าชมที่ได้นั้นไม่เลวร้ายนัก

นอกจากนี้ระบบไฟล์ NTFS จะไม่อัพเดทข้อมูลทันที ตามที่ Microsoft :

ระบบไฟล์ NTFS จะเลื่อนการอัปเดตเป็นเวลาเข้าถึงล่าสุดสำหรับไฟล์นานถึง 1 ชั่วโมงหลังจากการเข้าถึงครั้งล่าสุด

— murisonc
แหล่งที่มา

1

เยี่ยมมากที่รู้ว่ามีร้านค้าที่เข้าถึงด้วยหรือไม่

— SpacemanSpiff

1

ไม่เพียงเมื่อมีการเข้าถึง หากคุณต้องการรู้ว่าใครเป็นใครคุณจะต้องเปิดใช้งานการตรวจสอบตามที่กล่าวไว้ในคำตอบอื่น

— murisonc

@murisonc ผู้ใช้ที่ประสงค์ร้ายไม่สามารถใช้โปรแกรมที่กู้คืนวันที่ที่เข้าถึงล่าสุดกลับสู่ค่าดั้งเดิมหลังจากที่เข้าถึงไฟล์ได้หรือไม่

— Pacerier

@Pacerier ฉันมั่นใจว่าผู้ใช้ที่ประสงค์ร้ายสามารถหาวิธีปลอมแปลงได้ เพื่อให้ทราบว่าคุณจะต้องเปิดใช้งานการตรวจสอบและให้แน่ใจว่ารายการการตรวจสอบเหล่านั้นถูกส่งต่อไปยังการรวบรวมการตรวจสอบ

— murisonc

การเปิดใช้งานNtfsDisableLastAccessUpdateมีผลกระทบต่อประสิทธิภาพเท่าใด

— Stevoisiak

4

ตามที่@murisonc ชี้ให้เห็นว่าวอลุ่มของ NTFS บน Windows สามารถติดตามเวลาเข้าถึงล่าสุดได้โดยค่าเริ่มต้นจะไม่เปิดใช้งานและจะเปิดใช้งานได้ง่ายโดยการตั้งค่ารีจิสตรีคีย์

คุณสามารถรวมสิ่งนี้เข้ากับเครื่องมือตรวจสอบความสมบูรณ์ของไฟล์เช่นVerisysหรือTripwireซึ่งสามารถให้การแจ้งเตือนและการรายงานอัตโนมัติ

เครื่องมือการตรวจสอบระบบไฟล์อาจเป็นตัวเลือกด้วยเช่นกันแม้ว่าหลายคนจะพึ่งพาการเปิดใช้งานการตรวจสอบวัตถุซึ่งอาจทำให้ประสิทธิภาพลดลง บางคนใช้โปรแกรมควบคุมตัวกรองระบบแฟ้มแทน แต่โปรแกรมควบคุมเหล่านี้อาจมีบิต

— Cocowalla
แหล่งที่มา

0

คู่มือนี้ควรใช้เคล็ดลับในการเปิดใช้งานการตรวจสอบไฟล์: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

สำหรับ Windows 7 แต่เกือบจะเหมือนกับปี 2008

คุณสามารถใช้นโยบายกลุ่มสำหรับสิ่งนี้ได้ แต่ตามที่คุณระบุว่าคุณไม่ใช่ผู้ดูแลระบบมืออาชีพนี่จะไม่ใช่วิธีสำหรับคุณ

คุณต้องเพิ่มผู้ใช้หรือกลุ่มเพื่อตรวจสอบ ฉันขอแนะนำให้เพิ่มกลุ่มเดียวกันซึ่งมีการเข้าถึงในโฟลเดอร์หลัก

คุณต้องแจ้งให้ผู้ใช้ทราบถึงสิ่งที่คุณตรวจสอบ ในกรณีของคุณ "การเข้าถึงไฟล์" หากคุณไม่ได้แจ้งให้พวกเขาทราบการตรวจสอบอาจผิดกฎหมาย

— ทอม
แหล่งที่มา

ขอบคุณ ฉันทำตามที่คุณถามทุกประการและทำงานได้อย่างสมบูรณ์แบบ! ปัญหาเดียวคือมันไม่แสดงบันทึกสำหรับก่อนที่ฉันจะเปิดใช้งานการเข้าถึงการตรวจสอบ ฉันจะทำให้มันเป็นแบบนั้นได้อย่างไร

โดเมน Discoveryourpc.net ไม่มีอยู่อีกต่อไป (ไม่มีรายการ DNS) ลิงก์ในคำตอบนั้นตาย

— ปีเตอร์แฮนเซน