Bagaimana saya bisa tahu kapan file terakhir dibaca atau diakses di Windows?

13

Saya perlu menentukan apakah file tertentu diakses dalam, katakanlah terakhir, 2 hari.

Apakah ini mungkin pada Windows Server 2008 R2?

windows  security 
javapowered
sumber

Jawaban:

7

Setelah fakta itu? Tidak, saya tidak percaya demikian kecuali ACL audit diwarisi dari orang tua atau disetel langsung pada file untuk izin "baca file". Jika Anda DO mengaktifkan audit sistem file, Anda kemudian dapat melihat log keamanan untuk menemukan informasi ini yang kebanyakan orang akan pipa atau transfer ke beberapa jenis alat untuk parsing.

Anda juga dapat melihat menggunakan sesuatu seperti Tripwire untuk menjaga integritas file jika itu menjadi tujuan.

SpacemanSpiff
sumber
apakah mungkin membuat tanpa menggunakan utilitas pihak ketiga? windows melacak waktu pembuatan, waktu modifikasi, mengapa tidak dapat melacak "waktu membaca"?
javapowered
@javapowered Ya itu. Seperti yang disebutkan SpacemanSpiff. Gunakan audit bawaan. Baca ini: technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx
Tom
1
@javapowered - benar-benar tidak terlalu sulit daripada mengatur izin file. Jika Anda ingin melakukan ini hanya untuk satu file atau direktori, buka direktori itu. Buka dialog properti file / folder, buka tab audit. Tambahkan grup "semua orang" atau "pengguna domain" jika Anda menggunakan domain, dan centang kotak untuk izin "baca". Ini akan membuat entri log peristiwa keamanan setiap kali seseorang mengakses file. Jadi, mulailah meninjau log atau membuangnya ke pembaca log yang mencari file / folder tersebut untuk disebutkan.
SpacemanSpiff
1
dan .... hati-hati mengatur audit di root drive, itu kemungkinan akan mengalir turun dan log Anda akan menjadi gila. fyi.
SpacemanSpiff
1
Buka alat administratif, Peraga Peristiwa, dan lihat log keamanan
SpacemanSpiff
8

Sebenarnya ada cara tetapi sudah dinonaktifkan secara default sejak Vista / 2008 dan saya baru saja memverifikasi itu dinonaktifkan secara default di Win7 / 2008R2.

Pengaturan registri yang NtfsDisableLastAccessUpdateterletak di HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemsekarang default ke 1 untuk tujuan kinerja. Jika Anda mengubahnya ke 0 maka NTFS akan memperbarui properti LastAccessTime dari file / folder.

Anda dapat melihat nilai ini dengan melihat properti file / folder atau Anda dapat menarik informasi dengan skrip PowerShell. Pastikan Anda menguji terlebih dahulu untuk memastikan kinerja tidak terlalu buruk.

Juga NTFS tidak akan selalu memperbarui informasi dengan segera. Menurut Microsoft :

Sistem file NTFS menunda pembaruan ke waktu akses terakhir untuk file hingga 1 jam setelah akses terakhir.

murisonc
sumber
1
Itu bagus untuk diketahui, apakah toko yang mengaksesnya juga?
SpacemanSpiff
1
Tidak, tepat ketika diakses. Jika Anda perlu tahu siapa maka Anda harus mengaktifkan audit seperti yang disebutkan dalam jawaban lain.
murisonc
@murisonc, Tidak bisakah pengguna jahat hanya menggunakan program yang mengembalikan tanggal terakhir diakses kembali ke nilai asli setelah mengakses file?
Pacerier
@ Peracerier, saya yakin pengguna jahat dapat menemukan cara untuk memalsunya. Untuk mengetahui bahwa Anda harus mengaktifkan audit dan memastikan entri audit tersebut diteruskan ke bagian penagihan audit.
murisonc
Seberapa besar dampak kinerja yang dimiliki oleh pengaktifan NtfsDisableLastAccessUpdate?
Stevoisiak
4

Seperti yang ditunjukkan @murisonc , volume NTFS pada Windows dapat melacak waktu akses terakhir, mereka tidak secara default, dan itu mudah diaktifkan dengan menetapkan kunci registri.

Anda dapat menggabungkan ini dengan alat pemantauan integritas file, seperti Verisys atau Tripwire , yang dapat memberikan peringatan dan pelaporan otomatis.

Alat audit sistem file juga bisa menjadi pilihan, meskipun banyak yang bergantung pada mengaktifkan audit objek, yang dapat mematikan kinerja. Beberapa yang lain hanya mengandalkan driver filter sistem file, tetapi driver ini bisa agak flakey.

Cocowalla
sumber
0

Panduan ini harus melakukan trik untuk mengaktifkan audit pada file: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html

Ini untuk Windows 7 tetapi hampir identik dengan 2008.

Anda juga dapat menggunakan kebijakan grup untuk ini. Tetapi ketika Anda menyatakan bahwa Anda bukan admin profesional, ini tidak akan menjadi jalan bagi Anda.

Anda perlu menambahkan pengguna atau grup untuk diaudit. Saya sarankan menambahkan grup yang sama yang memiliki akses pada folder induk.

Anda harus memberi tahu pengguna apa yang Anda audit. Dalam kasus Anda "akses file". Jika Anda tidak memberi tahu mereka, audit itu mungkin ilegal.

Tom
sumber
Terima kasih. saya melakukan persis seperti yang Anda minta dan itu bekerja dengan sempurna! Satu-satunya masalah adalah, itu tidak menunjukkan log untuk sebelum saya mengaktifkan akses audit. Bagaimana cara saya melakukannya?
Domain discoveryourpc.net tidak ada lagi (tidak memiliki entri DNS). Tautan dalam jawabannya sudah mati.
Peter Hansen
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.