Preciso determinar se um arquivo específico foi acessado nos últimos, digamos, 2 dias.
Isso é possível no Windows Server 2008 R2?
Depois desse fato? Não, acredito que não, a menos que uma ACL de auditoria tenha sido herdada de um pai ou definida diretamente no arquivo para a permissão "ler arquivo". Se você habilitar a auditoria do sistema de arquivos, poderá procurar nos logs de segurança para encontrar essas informações que a maioria das pessoas canalizará ou transferirá para algum tipo de ferramenta de análise.
Você também pode usar algo como o Tripwire para manter a integridade dos arquivos, se isso se tornar um objetivo.
Na verdade, existe uma maneira, mas ele foi desativado por padrão desde o Vista / 2008 e acabei de verificar que ele foi desativado por padrão no Win7 / 2008R2.
A configuração do registro
NtfsDisableLastAccessUpdate
localizadaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
agora agora é 1 para fins de desempenho. Se você alterar para 0, o NTFS atualizará a propriedade LastAccessTime do arquivo / pasta.Você pode ver esse valor observando as propriedades do arquivo / pasta ou pode extrair as informações com um script do PowerShell. Porém, certifique-se de testar primeiro para garantir que o desempenho não seja ruim.
Além disso, o NTFS nem sempre atualiza as informações imediatamente. De acordo com a Microsoft :
fonte
NtfsDisableLastAccessUpdate
?Como o @murisonc apontou , os volumes NTFS no Windows podem rastrear o último horário de acesso, mas não o fazem por padrão, e é facilmente ativado pela configuração de uma chave do Registro.
Você pode combinar isso com uma ferramenta de monitoramento de integridade de arquivos, como Verisys ou Tripwire , que pode fornecer alertas e relatórios automatizados.
As ferramentas de auditoria do sistema de arquivos também podem ser uma opção, embora muitas dependam da ativação da auditoria de objetos, o que pode prejudicar o desempenho. Alguns outros contam com drivers de filtro do sistema de arquivos, mas esses drivers podem ser um pouco confusos.
fonte
Este guia deve executar o truque para ativar a auditoria em um arquivo: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
É para o Windows 7, mas é quase idêntico a 2008.
Você também pode usar diretivas de grupo para isso. Mas como você declarou que não é um administrador profissional, esse não seria o caminho para você.
Você precisa adicionar um usuário ou grupo para auditar. Eu recomendo adicionar o mesmo grupo que tem acesso na pasta pai.
Você deve informar aos usuários o que auditar. No seu caso, "acesso a arquivos". Se você não os informar, a auditoria poderá ser ilegal.
fonte