जब कोई फ़ाइल आखिरी बार पढ़ी गई या विंडोज पर एक्सेस की गई है तो मुझे कैसे पता चलेगा?

13

मुझे यह निर्धारित करने की आवश्यकता है कि क्या किसी विशेष फ़ाइल को अंतिम, 2 दिनों में एक्सेस किया गया था।

क्या यह Windows Server 2008 R2 पर संभव है?

windows security

7

उस तथ्य के बाद? नहीं, मुझे विश्वास नहीं है कि जब तक एक ऑडिटिंग एसीएल को माता-पिता से विरासत में नहीं मिला या सीधे "फाइल पढ़ें" अनुमति के लिए फाइल पर सेट नहीं किया गया। यदि आप फ़ाइल सिस्टम ऑडिटिंग को सक्षम करते हैं, तो आप इस जानकारी को खोजने के लिए सुरक्षा लॉग को देख सकते हैं, जो कि अधिकांश लोग पार्सिंग के लिए किसी प्रकार के टूल को पाइप या ट्रांसफर करेंगे।

यदि आप एक लक्ष्य बन जाता है, तो फ़ाइल अखंडता को बनाए रखने के लिए Tripwire जैसी किसी चीज़ का उपयोग करके भी देख सकते हैं।

— SpacemanSpiff
स्रोत

क्या तृतीय-पक्ष उपयोगिताओं के उपयोग के बिना बनाना संभव है? विंडोज़ निर्माण समय, संशोधन समय को ट्रैक करता है, यह "रीड टाइम" को ट्रैक क्यों नहीं कर सकता है?

— javapowered

@ जजपॉवर किया हुआ है। जैसा कि स्पेसमैनस्पीफ ने उल्लेख किया है। ऑडिटिंग में निर्मित का उपयोग करें। इसे पढ़ें: Technet.microsoft.com/en-us/library/dd560628%28v=ws.10%29.aspx

— टॉम

1

@javapowered - यह फ़ाइल अनुमतियों को सेट करने की तुलना में वास्तव में बहुत कठिन नहीं है। यदि आप ऐसा केवल एक फ़ाइल या निर्देशिका के लिए करना चाहते हैं, तो उस निर्देशिका पर जाएँ। फ़ाइल / फ़ोल्डर के गुण संवाद खोलें, ऑडिटिंग टैब पर जाएं। यदि आप एक डोमेन पर हैं, तो "सभी" समूह या "डोमेन उपयोगकर्ता" जोड़ें और "रीड" अनुमति के लिए बॉक्स की जांच करें। यह हर बार किसी को फ़ाइल तक पहुँचने के लिए एक सुरक्षा ईवेंट लॉग प्रविष्टि बनाएगा। तो फिर लॉग की समीक्षा करना शुरू करें या उन्हें उस फ़ाइल / फ़ोल्डर की तलाश में लॉग रीडर पर डंप करें जिसका उल्लेख किया जाना है।

— स्पेसमैनस्पीफ

1

और .... सावधान एक ड्राइव के रूट पर ऑडिटिंग सेट करें, यह संभवतः नीचे कैस्केड हो जाएगा और आपका लॉग पागल हो जाएगा। FYI करें।

— SpacemanSpiff

1

प्रशासनिक उपकरण खोलें, इवेंट व्यूअर, और सुरक्षा लॉग को देखें

— SpacemanSpiff

8

वास्तव में एक तरीका है, लेकिन यह विस्टा / 2008 के बाद से डिफ़ॉल्ट रूप से अक्षम हो गया है और मैंने अभी सत्यापित किया है कि यह डिफ़ॉल्ट रूप से Win7 / 2008R2 में अक्षम है।

अब NtfsDisableLastAccessUpdateस्थित रजिस्ट्री सेटिंग HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemप्रदर्शन उद्देश्यों के लिए 1 में चूक कर देती है। यदि आप उसे 0 में बदलते हैं, तो NTFS फाइल / फोल्डर के लास्ट असेट टाइम को अपडेट करेगा।

आप फ़ाइल / फ़ोल्डर के गुणों को देखकर इस मान को देख सकते हैं या पॉवरशेल स्क्रिप्ट के साथ जानकारी खींच सकते हैं। सुनिश्चित करें कि आपने पहले परीक्षण किया है, हालांकि यह सुनिश्चित करने के लिए कि प्रदर्शन हिट बहुत बुरा नहीं है।

इसके अलावा NTFS हमेशा सूचना को तुरंत अपडेट नहीं करेगा। Microsoft के अनुसार :

NTFS फ़ाइल सिस्टम एक फ़ाइल के लिए अंतिम पहुँच समय के अपडेट को अंतिम पहुँच के 1 घंटे बाद तक विलंबित करता है।

— murisonc
स्रोत

1

यह जानना बहुत अच्छा है, क्या यह स्टोर करता है जिसने इसे एक्सेस किया है?

— स्पेसमैनस्पीफ

1

नहीं, बस जब पहुँचा था। अगर आपको यह जानने की जरूरत है कि आपको दूसरे उत्तर में बताए अनुसार ऑडिटिंग को सक्षम करने की आवश्यकता होगी।

— murisonc

@murisonc, दुर्भावनापूर्ण उपयोगकर्ता केवल एक प्रोग्राम का उपयोग नहीं कर सकता है, जो फ़ाइलों तक पहुंचने के बाद अंतिम एक्सेस की तारीख को मूल मूल्य पर पुनर्स्थापित करता है?

— पचेरियर

@Pacerier, मुझे यकीन है कि एक दुर्भावनापूर्ण उपयोगकर्ता को इसे बनाने का एक तरीका मिल सकता है। यह देखने के लिए कि आपको ऑडिटिंग को सक्षम करना होगा और सुनिश्चित करना होगा कि उन ऑडिट प्रविष्टियों को ऑडिट संग्रह में आगे भेजा जा रहा है।

— murisonc

प्रदर्शन प्रभाव का कितना प्रभाव पड़ता है NtfsDisableLastAccessUpdate?

— Stevoisiak

4

जैसा कि @murisonc ने बताया , Windows पर NTFS वॉल्यूम अंतिम एक्सेस समय को ट्रैक कर सकते हैं , वे बस डिफ़ॉल्ट रूप से नहीं करते हैं, और यह आसानी से रजिस्ट्री कुंजी सेट करके सक्षम है।

आप इसे फ़ाइल अखंडता निगरानी उपकरण जैसे कि Verisys या Tripwire के साथ जोड़ सकते हैं, जो स्वचालित अलर्टिंग और रिपोर्टिंग प्रदान कर सकता है।

फाइलसिस्टम ऑडिटिंग टूल भी एक विकल्प हो सकता है, हालांकि कई ऑब्जेक्ट ऑडिटिंग को सक्षम करने पर भरोसा करते हैं, जो प्रदर्शन को मार सकते हैं। कुछ अन्य इसके बजाय फाइलसिस्टम फ़िल्टर ड्राइवरों पर भरोसा करते हैं, लेकिन ये ड्राइवर थोड़े परतदार हो सकते हैं।

— Cocowalla
स्रोत

0

इस गाइड को किसी फ़ाइल पर ऑडिट को सक्षम करने के लिए ट्रिक करना चाहिए: http://www.discoveryourpc.net.net/01/auditing-access-to-files-on-windows-7.html

यह विंडोज 7 के लिए है, लेकिन लगभग 2008 के समान है।

आप इसके लिए समूह नीतियों का भी उपयोग कर सकते हैं। लेकिन जैसा कि आपने कहा कि आप एक पेशेवर व्यवस्थापक नहीं हैं, यह आपके लिए रास्ता नहीं होगा।

ऑडिट के लिए आपको एक उपयोगकर्ता या समूह जोड़ना होगा। मैं उसी समूह को जोड़ने की सलाह देता हूं, जिसकी मूल फ़ोल्डर में पहुंच है।

आपको उपयोगकर्ताओं को सूचित करना होगा कि आप क्या ऑडिट करते हैं। आपके मामले में "फ़ाइल एक्सेस"। यदि आप उन्हें सूचित नहीं करते हैं तो ऑडिटिंग अवैध हो सकती है।

— टॉम
स्रोत

धन्यवाद। जैसा आपने पूछा मैंने वैसा ही किया और यह पूरी तरह से काम कर गया! केवल समस्या यह है कि ऑडिट एक्सेस को सक्षम करने से पहले यह लॉग नहीं दिखाता है। मैं इसे कैसे प्राप्त करूं?

Searchourpc.net डोमेन अब मौजूद नहीं है (जिसमें कोई DNS प्रविष्टियाँ नहीं हैं)। उत्तर में लिंक मृत है।

— पीटर हैनसेन