Мне нужно определить, был ли доступ к определенному файлу за последние, скажем, 2 дня.
Это возможно на Windows Server 2008 R2?
Мне нужно определить, был ли доступ к определенному файлу за последние, скажем, 2 дня.
Это возможно на Windows Server 2008 R2?
Ответы:
После этого факта? Нет, я не верю в это, если контрольный список ACL не был унаследован от родителя или не задан непосредственно в файле для разрешения «чтение файла». Если вы ДЕЙСТВИТЕЛЬНО включаете аудит файловой системы, вы можете просмотреть журналы безопасности, чтобы найти эту информацию, которую большинство людей передадут или передадут в какой-то инструмент для анализа.
Вы также можете взглянуть на использование чего-то вроде Tripwire для поддержания целостности файлов, если это станет целью.
На самом деле есть способ, но он был отключен по умолчанию с Vista / 2008, и я только что проверил, что он отключен по умолчанию в Win7 / 2008R2.
Параметр реестра, NtfsDisableLastAccessUpdate
расположенный в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
настоящее время, по умолчанию равен 1 для повышения производительности. Если вы измените это значение на 0, NTFS обновит свойство LastAccessTime файла / папки.
Вы можете увидеть это значение, посмотрев на свойства файла / папки или вы можете получить информацию с помощью скрипта PowerShell. Сначала убедитесь, что вы тестируете, чтобы убедиться, что производительность не так уж плоха.
Также NTFS не всегда обновляет информацию немедленно. По словам Microsoft :
Файловая система NTFS задерживает обновление до последнего времени доступа к файлу до 1 часа после последнего доступа.
NtfsDisableLastAccessUpdate
?
Как указал @murisonc , тома NTFS в Windows могут отслеживать время последнего доступа, по умолчанию они не отслеживаются, и его легко включить, установив ключ реестра.
Вы можете комбинировать это с инструментом мониторинга целостности файлов, таким как Verisys или Tripwire , который может обеспечивать автоматическое оповещение и отчетность.
Инструменты аудита файловой системы также могут быть опцией, хотя многие полагаются на включение аудита объектов, что может снизить производительность. Некоторые другие полагаются на драйверы фильтров файловой системы, но эти драйверы могут быть немного ненадежными.
В этом руководстве необходимо выполнить аудит для включения файла: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
Это для Windows 7, но почти идентично 2008 году.
Вы также можете использовать групповые политики для этого. Но, как вы заявили, что вы не профессиональный администратор, это не будет путь для вас.
Вам необходимо добавить пользователя или группу для аудита. Я рекомендую добавить ту же группу, которая имеет доступ к родительской папке.
Вы должны сообщить пользователям, что вы проверяете. В вашем случае «доступ к файлу». Если вы не сообщите им, аудит может быть незаконным.