特定のファイルが過去2日間にアクセスされたかどうかを判断する必要があります。
これはWindows Server 2008 R2で可能ですか?
特定のファイルが過去2日間にアクセスされたかどうかを判断する必要があります。
これはWindows Server 2008 R2で可能ですか?
回答:
その事実の後?いいえ、監査ACLが親から継承されたか、「ファイルの読み取り」許可のためにファイルに直接設定されていない限り、そうは思いません。ファイルシステムの監査を有効にすると、セキュリティログを調べて、この情報を見つけることができます。ほとんどの人は、この情報をパイプ処理するか、何らかの解析ツールに転送します。
また、Tripwireのようなものを使用して、ファイルの整合性を維持することが目標になった場合に見てみることができます。
実際には方法がありますが、Vista / 2008以降デフォルトで無効になっています。Win7/ 2008R2ではデフォルトで無効になっていることを確認しました。
パフォーマンス上の理由からNtfsDisableLastAccessUpdate、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem現在のレジストリ設定はデフォルトで1に設定されています。これを0に変更すると、NTFSはファイル/フォルダーのLastAccessTimeプロパティを更新します。
この値を確認するには、ファイル/フォルダーのプロパティを確認するか、PowerShellスクリプトを使用して情報を取得します。ただし、最初にテストして、パフォーマンスヒットがそれほど悪くないことを確認してください。
また、NTFSは常に情報をすぐに更新するとは限りません。Microsoftによると:
NTFSファイルシステムは、ファイルの最終アクセス時刻への更新を、最終アクセスから最大1時間遅らせます。
NtfsDisableLastAccessUpdateはパフォーマンスにどの程度影響しますか?
以下のよう@murisoncが指摘し、Windows上のNTFSボリュームができ、彼らはただ、デフォルトではない、最終アクセス時間を追跡し、それが簡単にレジストリキーを設定することで有効になります。
これは、自動化されたアラートとレポートを提供できるVerisysやTripwireなどのファイル整合性監視ツールと組み合わせることができます。
ファイルシステム監査ツールもオプションの可能性がありますが、多くはパフォーマンスを低下させる可能性があるオブジェクト監査の有効化に依存しています。他のいくつかは、代わりにファイルシステムフィルタードライバーに依存していますが、これらのドライバーは少々不安定です。
このガイドでは、ファイルの監査を有効にするためのトリックを実行する必要があります。http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
Windows 7用ですが、2008年とほとんど同じです。
これにはグループポリシーを使用することもできます。しかし、あなたがプロの管理者ではないと述べたように、これはあなたにとって道ではないでしょう。
監査するユーザーまたはグループを追加する必要があります。親フォルダにアクセスできる同じグループを追加することをお勧めします。
監査対象をユーザーに通知する必要があります。あなたのケースでは「ファイルアクセス」。通知しないと、監査は違法になる可能性があります。