Мне нужно определить, обращались ли к конкретному файлу в последние, скажем, 2 дня.
Возможно ли это в Windows Server 2008 R2?
На самом деле способ есть, но он отключен по умолчанию с Vista / 2008, и я только что проверил, что он отключен по умолчанию в Win7 / 2008R2.
Параметр реестра NtfsDisableLastAccessUpdate находится в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem теперь по умолчанию 1 для повышения производительности. Если вы измените это значение на 0, NTFS обновит свойство LastAccessTime файла / папки.
Вы можете увидеть это значение, просмотрев свойства файла / папки, или вы можете получить информацию с помощью сценария PowerShell. Убедитесь, что вы сначала протестируете, чтобы убедиться, что производительность не так уж плоха.
Кроме того, NTFS не всегда обновляет информацию сразу. По данным Microsoft:
Файловая система NTFS задерживает обновление времени последнего доступа к файлу на срок до 1 часа после последнего доступа.
После этого факта? Нет, я так не считаю, если ACL аудита не был унаследован от родителя или установлен непосредственно в файле для разрешения «читать файл». Если вы ДЕЙСТВИТЕЛЬНО включите аудит файловой системы, вы можете просмотреть журналы безопасности, чтобы найти эту информацию, которую большинство людей будет передавать или передавать в какой-либо инструмент для анализа.
Вы также можете попробовать использовать что-то вроде Tripwire для поддержания целостности файлов, если это станет целью.
Так как @murisonc указал, NTFS-тома в Windows жестяная банка отслеживать время последнего доступа, они этого не делают по умолчанию, и его легко включить, установив ключ реестра.
Вы можете комбинировать это с инструментом контроля целостности файлов, таким как Verisys или Tripwire, который может предоставлять автоматические предупреждения и отчеты.
Инструменты аудита файловой системы также могут быть вариантом, хотя многие полагаются на включение аудита объектов, что может снизить производительность. Некоторые другие вместо этого полагаются на драйверы фильтров файловой системы, но эти драйверы могут быть немного нестабильными.
Это руководство должно помочь в включении аудита файла: http://www.discoveryourpc.net/2010/01/auditing-access-to-files-on-windows-7.html
Это для Windows 7, но почти идентично 2008.
Вы также можете использовать для этого групповые политики. Но, как вы заявили, вы не профессиональный администратор, это не для вас.
Вам необходимо добавить пользователя или группу для аудита. Я рекомендую добавить ту же группу, у которой есть доступ к родительской папке.
Вы должны сообщить пользователям, что вы проверяете. В вашем случае "файловый доступ". Если вы не сообщите им, аудит может быть незаконным.