Tôi cần xác định xem một tập tin cụ thể đã được truy cập cuối cùng, giả sử, 2 ngày.
Điều này có khả thi trên Windows Server 2008 R2 không?
Tôi cần xác định xem một tập tin cụ thể đã được truy cập cuối cùng, giả sử, 2 ngày.
Điều này có khả thi trên Windows Server 2008 R2 không?
Câu trả lời:
Sau thực tế đó? Không, tôi không tin như vậy trừ khi ACL kiểm toán được kế thừa từ cha mẹ hoặc được đặt trực tiếp trên tệp cho phép "đọc tệp". Nếu bạn cho phép kiểm tra hệ thống tệp, thì bạn có thể xem nhật ký bảo mật để tìm thông tin này mà hầu hết mọi người sẽ chuyển hoặc chuyển sang một loại công cụ nào đó để phân tích cú pháp.
Bạn cũng có thể xem qua việc sử dụng một cái gì đó như Tripwire để duy trì tính toàn vẹn của tệp nếu điều đó trở thành mục tiêu.
Trên thực tế có một cách nhưng nó đã bị tắt theo mặc định kể từ Vista / 2008 và tôi chỉ xác minh nó bị tắt theo mặc định trong Win7 / 2008R2.
Cài đặt đăng ký NtfsDisableLastAccessUpdatenằm ở HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystemmặc định là 1 cho mục đích hiệu suất. Nếu bạn thay đổi thành 0 thì NTFS sẽ cập nhật thuộc tính LastAccessTime của tệp / thư mục.
Bạn có thể thấy giá trị này bằng cách xem các thuộc tính của tệp / thư mục hoặc bạn có thể kéo thông tin bằng tập lệnh PowerShell. Hãy chắc chắn rằng bạn kiểm tra trước mặc dù để đảm bảo hiệu suất đạt được không quá tệ.
Ngoài ra NTFS sẽ không luôn cập nhật thông tin ngay lập tức. Theo Microsoft :
Hệ thống tệp NTFS trì hoãn cập nhật đến thời gian truy cập cuối cùng cho một tệp sau tối đa 1 giờ sau lần truy cập cuối cùng.
NtfsDisableLastAccessUpdatecó?
Như @murisonc đã chỉ ra , khối lượng NTFS trên Windows có thể theo dõi thời gian truy cập cuối cùng, chúng chỉ không mặc định và nó có thể dễ dàng được kích hoạt bằng cách đặt khóa đăng ký.
Bạn có thể kết hợp điều này với một công cụ giám sát toàn vẹn tệp, chẳng hạn như Verisys hoặc Tripwire , có thể cung cấp cảnh báo và báo cáo tự động.
Các công cụ kiểm toán hệ thống tập tin cũng có thể là một tùy chọn, mặc dù nhiều người dựa vào việc cho phép kiểm tra đối tượng, có thể giết chết hiệu suất. Một số người khác dựa vào trình điều khiển bộ lọc hệ thống tập tin thay vào đó, nhưng những trình điều khiển này có thể hơi flake.
Hướng dẫn này nên thực hiện thủ thuật để kích hoạt kiểm toán trên một tệp: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
Nó dành cho Windows 7 nhưng gần giống với năm 2008.
Bạn cũng có thể sử dụng các chính sách nhóm cho việc này. Nhưng như bạn đã nói, bạn không phải là một quản trị viên chuyên nghiệp, điều này sẽ không phải là cách dành cho bạn.
Bạn cần thêm một người dùng hoặc nhóm để kiểm toán. Tôi khuyên bạn nên thêm cùng một nhóm có quyền truy cập vào thư mục cha.
Bạn phải thông báo cho người dùng những gì bạn kiểm toán. Trong trường hợp của bạn "truy cập tập tin". Nếu bạn không thông báo cho họ thì việc kiểm toán có thể là bất hợp pháp.