Как проверить время удаления файла

Обновлено: 06.07.2024

Вы можете использовать аудит событий доступа к объектам файловой системы, чтобы идентифицировать конкретного пользователя, который создал, удалил или изменил определенный файл. В этой статье мы покажем вам, как настроить аудит событий для файлов в общей сетевой папке в Windows Server 2016. После настройки аудита вы можете использовать информацию из средства просмотра событий, чтобы найти пользователя, который удалил определенный файл в файле. сервер.

Когда вы удаляете файл из общей сетевой папки, он удаляется немедленно, а не отправляется в корзину пользователя. Список файлов, открытых в общей папке, можно получить следующим образом.

Как включить политику аудита доступа к файлам и папкам в Windows?

По умолчанию аудит доступа к объектам файловой системы не включен в Windows Server. Вы можете включить и настроить параметры аудита с помощью групповой политики. Если вам нужно включить политики аудита на нескольких серверах или компьютерах, вы можете использовать объекты групповой политики домена (настраиваемые с помощью консоли gpmc.msc mmc). Если вы хотите настроить аудит только на одном сервере, вы можете использовать редактор локальной групповой политики.

  1. Откройте консоль редактора локальной групповой политики — gpedit.msc ;
  2. Перейдите в раздел GPO с расширенными политиками аудита: Параметры Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Доступ к объектам;
  3. Откройте политику аудита файловой системы и укажите, что вы хотите регистрировать только успешные события доступа к объектам файловой системы (настройте следующие события аудита -> Успех);

Вы также можете включить аудит доступа к локальным объектам с помощью политики аудита доступа к объектам в разделе «Параметры Windows» -> «Параметры безопасности» -> «Локальная политика» -> «Политика аудита». Однако предпочтительнее использовать политику аудита файловой системы, поскольку она отслеживает только события доступа к NTFS.

Настройка параметров аудита удаленных файлов в общей папке

Теперь вам нужно настроить аудит в свойствах общей сетевой папки, доступ к которой вы хотите отслеживать. Запустите проводник и откройте свойства папки. Перейдите на вкладку «Безопасность». Нажмите кнопку «Дополнительно» -> перейдите на вкладку «Аудит».

Если появится сообщение «Вы должны быть администратором или иметь соответствующие права для просмотра свойств аудита этого объекта», нажмите кнопку «Продолжить».

настроить параметры аудита для общей папки

Затем нажмите кнопку "Добавить", чтобы указать пользователя или группу, для которых вы хотите фиксировать события аудита. Если вы хотите отслеживать события доступа для всех пользователей, укажите группу «Все».

Затем вам нужно указать, какие разрешения, используемые для доступа к объекту, должны регистрироваться. Чтобы сохранить в журнале событий только события удаления файлов, нажмите кнопку Показать дополнительные разрешения. В списке событий оставьте аудит только для событий удаления папок и файлов — Удалить и Удалить вложенные папки и файлы.

настроить аудит действий по удалению файлов в общей папке в Windows Server 2016folder

Совет. Помните, что политика аудита для объектов Windows требует дополнительных вычислительных ресурсов. Используйте его осторожно, всегда старайтесь свести к минимуму количество объектов аудита и событий для регистрации.

$Path = "E:\Public"
$AuditChangesRules = New-Object System.Security.AccessControl.FileSystemAuditRule('Все', 'Удалить,Удалить подкаталоги и файлы', 'нет', 'нет', 'Успех ')
$Acl = Get-Acl -Path $Path
$Acl.AddAuditRule($AuditChangesRules)
Set-Acl -Path $Path -AclObject $Acl

Теперь, если пользователь удаляет какой-либо файл или папку в общей сетевой папке, в журнале безопасности появляется событие Файловая система -> Аудит успешного удаления файла с идентификатором события 4663 из источника аудита безопасности Microsoft Windows.

Откройте консоль mmc средства просмотра событий ( ​​eventvwr.msc ), разверните раздел Журналы Windows -> Безопасность. Включить фильтр журнала событий по EventID 4663.

удаление файла идентификатор события 4663 в журнале безопасности средства просмотра событий Windows

Откройте любое из оставшихся событий в средстве просмотра событий. Как видите, он содержит информацию об имени удаляемого файла, учетной записи пользователя, удалившего файл, и имени процесса.

событие аудита удаления файла 4663 с именем пользователя в журнале безопасности

После включения политики аудита доступа к файлам вы можете найти в журнале безопасности:

  • Кто и когда удалил файл из общей сетевой папки;
  • Какое приложение (процесс) использовалось для удаления файла;
  • Какая дата резервной копии для восстановления.

Как записать события удаления файла в базу данных SQL (MySQL/MSSQL)?

Однако, даже если включен аудит удаленных файлов, найти что-то в журналах может быть проблематично. Во-первых, найти конкретную запись среди тысяч событий довольно сложно (в Windows нет удобного инструмента для поиска события с гибким фильтром). Во-вторых, если файл был удален давно, то это событие может отсутствовать в логах, так как оно было перезаписано новыми событиями.

Вы можете сохранить все события удаления файлов в базе данных SQL. Для хранения событий можно использовать базы данных Microsoft SQL Server, Elasticsearch или MySQL/MariaDB.

В этом примере мы покажем вам, как регистрировать события аудита в отдельной таблице базы данных в MySQL. Я буду использовать следующий формат таблицы:

  • Имя сервера;
  • Имя удаленного файла;
  • Дата и время;
  • Имя пользователя, который удалил файл.

Запрос MySQL для создания этой таблицы выглядит следующим образом:

CREATE TABLE delete_items (id INT NOT NULL AUTO_INCREMENT, server VARCHAR(100), file_name VARCHAR(255), dt_time DATETIME, user_name VARCHAR(100), PRIMARY KEY (ID));

Примечание. Пример того, как получить доступ к базе данных MySQL из PowerShell, рассматривался ранее в статье Запрос базы данных MySQL с помощью PowerShell.

Если вы хотите использовать базу данных Microsoft SQL Server, ознакомьтесь со статьей «Как запустить запрос MSSQL Server из PowerShell?»

Чтобы получить события с EventID 4663 из журнала безопасности за текущий день, вы можете использовать следующий скрипт PowerShell:

Аудит безопасности Windows — свойства события 4663

Следующий сценарий PowerShell запишет полученные данные в базу данных MySQL на удаленном сервере (с IP-адресом 10.1.1.13):

Теперь, чтобы узнать, кто удалил файл «AnnualReport.DOC», достаточно запустить в консоли PowerShell следующий скрипт:
$DeletedFile = «%AnnualReport.DOC%»
Set-ExecutionPolicy RemoteSigned
Add-Type –Path 'C:\Program Files (x86)\MySQL\MySQL Connector Net 6.9.8\Assemblies\v4.5\MySql.Data.dll'
$Connection = [MySql.Data.MySqlClient.MySqlConnection]@
$Connection.Open()
$MYSQLCommand = New-Object MySql.Data.MySqlClient.MySqlCommand
$MYSQLDataAdapter = New-Object MySql. Data.MySqlClient.MySqlDataAdapter
$MYSQLDataSet = New-Object System.Data.DataSet
$MYSQLCommand.Connection=$Connection
$MYSQLCommand.CommandText="ВЫБЕРИТЕ имя_пользователя, время_времени из удаленных_элементов, где имя_файла LIKE '$DeletedFile'"
$MYSQLDataAdapter.SelectCommand=$MYSQLCommand
$NumberOfDataSets=$MYSQLDataAdapter.Fill($MYSQLDataSet, "данные")
foreach($DataSet в $MYSQLDataSet.tables[0 ])
write-host "Пользователь:" $DataSet.user_name "at:" $DataSet.d t_time
>
$Connection.Close()

Теперь вы можете увидеть имя пользователя и время удаления файла в консоли PS.

выберите событие удаления файла из базы данных mysql

Примечание. Поскольку была обнаружена проблема, заключающаяся в том, что символ « \ » не записывается в базу данных, мы заменили его на « | ». Поэтому, если вам нужно отобразить полный путь к файлу, вы можете выполнить обратную замену при выборе из базы данных:

Скрипт записи информации из журнала событий в базу данных можно запустить в конце дня с помощью планировщика заданий или прикрепить к EventID удаления файла (On Event), что является более ресурсоемким. Это зависит от требований к системе.

Совет. Убедитесь, что максимальный размер файла журнала событий безопасности установлен достаточно большим для регистрации всех событий за день. В противном случае вам придется запускать задачу экспорта данных в базу данных чаще, чем раз в день или даже по триггеру. Как правило, максимальный размер журнала на рабочих станциях должен быть не менее 64 МБ, а на файловых серверах Windows — 262 МБ. Опция перезаписи старых событий должна быть включена (перезаписывать события по мере необходимости).

При необходимости вы можете создать простую веб-страницу PHP, чтобы получить информацию о пользователях, которые удалили файлы, в более удобной форме.

Важный совет. Если в журнале есть запись о том, что файл был удален пользователем, не спешите интерпретировать это как преднамеренное или злонамеренное действие. Многие программы (особенно приложения MS Office) создают временный файл при сохранении изменений, а затем удаляют старую версию файла.В этом случае включите логирование имени процесса (ProcessName fileld), из которого файл был удален, и вы сможете на его основе парсить события удаления файла. Или вы можете отфильтровать события от таких процессов, как winword.exe, excel.exe и т. д.

Запись событий аудита удаления файла в текстовый файл

сохранить историю событий удаления файлов в текстовый файл с помощью powershell

Итак, мы предложили идею и общую модель системы для аудита и хранения информации об удаленных файлах в общих сетевых папках. При необходимости его можно легко изменить в соответствии с вашими требованиями.

Отслеживание создания и удаления файлов/папок является обязательным для обеспечения безопасности данных и соблюдения требований нормативно-правового соответствия. Это также помогает администраторам следить за файлами/папками, присутствующими на файловом сервере. В случае атаки на систему безопасности, если хакер удалит файлы/папки на вашем файловом сервере, их будет легче отследить во время расследования.

Загрузить БЕСПЛАТНО Бесплатная полнофункциональная 30-дневная пробная версия

С собственным аудитом AD

С ADAudit Plus

Отчет в один клик для отслеживания создания и удаления файлов/папок с помощью ADAudit Plus

ADAudit Plus предоставляет исчерпывающие отчеты для объединения всей необходимой информации о файлах/папках, создаваемых или удаляемых на ваших серверах. Эти отчеты можно экспортировать, а также запланировать автоматическое создание в указанное время и доставку в ваш почтовый ящик. Вы также можете настроить оповещения, чтобы уведомлять вас об удалении прав доступа к важным файлам/папкам. Таким образом, вы сможете действовать немедленно.

Войдите в ADAudit Plus → перейдите на вкладку «Аудит файлов» → в разделе «Отчеты об аудите файлов» → перейдите к отчету «Созданные файлы», чтобы просмотреть созданные файлы/папки.

    1. Имя созданного файла/папки
    2. На каком сервере он был создан
    3. Кто его создал
    4. Когда он был создан
    5. Свойства объектов, включая ACL
    6. Клиентский компьютер, на котором был создан файл/папка

отчет о создании файла

  1. Имя удаленного файла/папки
  2. С какого сервера он был удален
  3. Кто удалил его
  4. Когда он был удален
  5. Клиентский компьютер, с которого был удален файл/папка

Вот как вы можете контролировать создание и удаление файлов/папок:

Шаг 1. Включите политику аудита доступа к объектам:

Откройте локальную политику безопасности. Перейдите в «Настройки безопасности» и выберите «Локальные политики».

В разделе "Политика аудита" выберите "Аудит доступа к объектам" и включите аудит как для успешных, так и для неудачных попыток.

Шаг 2. Отредактируйте запись аудита в соответствующем файле/папке

Найдите родительский каталог или папку, в которой вы хотите отслеживать создание и удаление файлов/вложенных папок. Щелкните по нему правой кнопкой мыши и перейдите в «Свойства». На вкладке "Безопасность" нажмите "Дополнительно".

В разделе «Дополнительные параметры безопасности» перейдите на вкладку «Аудит» и нажмите «Добавить», чтобы добавить новую запись аудита.

В диалоговом окне "Запись аудита для Active Directory" введите следующие данные:

  1. Основной: введите имена пользователей, доступ которых вы хотите проверить.
  2. Тип: выберите тип доступа, который вы хотите проверить. Предпочтительно проверять все изменения.
  3. Применяется к: выберите, хотите ли вы проверять создание и удаление файлов/папок только в этой папке или во всех вложенных папках.
  4. Основные разрешения. Выберите типы разрешений, которые вы хотите проверить. Нажмите кнопку Дополнительные разрешения справа и выберите следующее:
    1. Создание файлов/запись данных
    2. Создавать папки/добавлять данные
    3. Удалить вложенные папки и файлы
    Шаг 3. Просмотрите журналы аудита в средстве просмотра событий

    Каждый раз, когда пользователь получает доступ к выбранному файлу/папке и меняет права доступа к нему, журнал событий будет записываться в средстве просмотра событий. В разделе «Журналы Windows» выберите «Безопасность». Вы можете найти все журналы аудита на средней панели, как показано ниже.

    Чтобы отфильтровать журналы событий и просмотреть только журналы о созданных и удаленных файлах/папках, выберите «Фильтровать текущий журнал» на правой панели. Просто найдите событие с идентификатором 4656, указывающее на то, что был запрошен дескриптор доступа к объекту.

    К сожалению, эти фильтры не просто дают вам список созданных файлов/папок. Они должны быть связаны с масками доступа, чтобы точно понять, какие файлы/папки были созданы или удалены.

    Можно ли узнать, когда файл в файловой системе NTFS был удален?Например, если у вас есть файл в корзине, у вас есть файл метаданных, в котором хранится информация о том, когда файл был отправлен в корзину. Однако, если файл никогда не был в корзине или корзина была очищена, как можно узнать отметку времени удаления файла?

    Хотя невозможно было узнать точную дату и время, возможен ли интервал дат?

    EDIT: я знаю, что существует несколько решений, которые можно установить или настроить для отслеживания удаления файлов, но я говорю о случае, когда вы получаете HD и вам необходимо провести его криминалистическую экспертизу. В таком случае у вас, вероятно, будет только то, что установлено по умолчанию.

    Я не эксперт в области криминалистики, но однажды затронул эти области в своем проекте iOS. Я не уверен, как именно выполняется процесс удаления в Windows, но я рекомендую вам ознакомиться с этим документом [fbi.h-da.de/fileadmin/personal/h.baier/Lectures-winter-11/… ]. уверен, что вы найдете там свой ответ.

    2 ответа 2

    В криминалистике не всегда можно получить точный ответ. Иногда результатом является временной диапазон возможности. Тем не менее, иногда вы можете получить точные ответы.

    Для вашего сценария это зависит от того, какая версия Windows использовалась для создания и обслуживания этого тома.

    NTFS уже давно поддерживает ведение журнала (краткосрочное ведение журнала) в файле с именем $LogFile в корне тома. Здесь вы не найдете большого количества записей, поскольку он разработан как механизм восстановления, но если вы получите диск в течение определенного периода времени после действия удаления, у вас есть шанс найти его там. Многие аналитические инструменты (такие как EnCase) могут анализировать этот журнал, но вот инструмент с открытым исходным кодом, содержащий дополнительную информацию.

    Если вы изучаете систему Vista или новее, вы можете обнаружить, что на диске есть более длинный журнал. Это ведение журнала было возможно в более ранних версиях NTFS, но оно не было включено по умолчанию до Vista. Файл называется $UsnJrnl и находится в папке $Extend. В этом файле регистрируется каждое действие, которое происходит с файлом: переименование, перемещение, создание, удаление и т. д. Опять же, многие криминалистические инструменты анализируют это, но вот ссылка с открытым исходным кодом для использования.

    Вы случайно удалили важный файл? Вы также очистили корзину? Не волнуйтесь. У Microsoft есть собственный инструмент для восстановления файлов, доступный для Windows 10 и Windows 11.


    (Павел Игнатов/Shutterstock)

    Удалите файл в Windows, и вы часто сможете восстановить его, даже если его больше нет в корзине. Сторонние инструменты восстановления данных доступны, но они могут быть дорогими. В качестве альтернативы Microsoft предлагает утилиту командной строки под названием Windows File Recovery, которая восстанавливает удаленные файлы. Доступное в Microsoft Store приложение поддерживает Windows 10 с обновлением от мая 2020 г. или более поздней версии, а также Windows 11.

    Windows File Recovery может восстановить фотографии, документы, видео и другие типы файлов на механическом жестком диске, SSD, USB-накопителе или карте памяти. Программа поддерживает файловые системы FAT, NTFS и exFAT. FAT и exFAT используются для SD-карт, флэш-накопителей и USB-накопителей с объемом памяти менее 4 ГБ. NTFS обычно используется на механических дисках, твердотельных накопителях, внешних жестких дисках, флэш-накопителях и USB-накопителях емкостью более 4 ГБ.

    Рекомендуемые PCMag аксессуары для Windows

    Личный обзор Microsoft 365

    Обзор эргономичной клавиатуры Microsoft

    Обзор мыши Microsoft Precision

    Обзор BenQ EX2780Q

    Современная клавиатура Microsoft с идентификацией отпечатков пальцев

    Обзор эргономичной беспроводной мыши Microsoft Bluetooth

    Обзор компактной клавиатуры Microsoft Designer

    Обзор мобильной мыши Microsoft Surface

    Режимы восстановления файлов

    Первоначальная версия Windows File Recovery, выпущенная летом 2020 г., предлагала три различных режима восстановления: «По умолчанию», «Сегмент» и «Сигнатура», каждый из которых предназначен для определенных обстоятельств. Версия, выпущенная зимой 2021 года, сузила ваши возможности до двух режимов, чтобы упростить программу:

    Обычный режим предназначен для восстановления недавно удаленных файлов. Он поддерживает диски, отформатированные с разделами NTFS, — обычно это жесткие диски, твердотельные накопители, внешние жесткие диски, USB-накопители и флэш-накопители объемом более 4 ГБ. Этот режим работает быстро, но может не найти нужный файл.

    Расширенный режим предназначен для восстановления файлов, которые были удалены некоторое время назад, после переформатирования диска или в случае повреждения самого диска. Расширенный режим поддерживает разделы NTFS, FAT и exFAT. В этом режиме сканирование диска занимает больше времени, но у него больше шансов найти удаленный файл.

    Если вы не знаете, какой режим использовать, Microsoft рекомендует начать с обычного режима. Следующая таблица также может помочь вам принять решение:

    В качестве инструмента командной строки Windows File Recovery, безусловно, сложнее в использовании, чем традиционное приложение с графическим интерфейсом. Но если вы знаете шаги и умеете работать в командной строке, вы можете использовать эту утилиту для восстановления файла, который, кажется, исчез навсегда.

    Установить и открыть Windows File Recovery

    Если вы используете Windows 10, убедитесь, что у вас установлена ​​версия May 2020 Update (Windows 10 2004) или более поздней версии. Чтобы проверить, перейдите в «Настройки»> «Система»> «О программе» и прокрутите вниз до раздела «Технические характеристики Windows». Если в номере версии указано 2004 или выше, все готово.

    В противном случае перейдите в «Настройки» > «Обновление и безопасность» и нажмите «Проверить наличие обновлений», чтобы получить последнее обновление. Если вы используете Windows 11, вы уже настроены на использование этого инструмента.

    Откройте Microsoft Store и перейдите на страницу восстановления файлов Windows. Нажмите кнопку «Получить», чтобы загрузить программу.

    Чтобы восстановить удаленный файл, откройте Windows File Recovery с помощью ярлыка в меню «Пуск». В Windows 11 вам может потребоваться щелкнуть ссылку «Все приложения» в меню «Пуск», чтобы найти ярлык.

    Откроется окно командной строки, в котором будет показан правильный синтаксис для использования с командой, а также несколько примеров. Основной синтаксис команды следующий:

    исходный диск winfr: целевой диск: [/mode] [/switches]

    Выполнить поиск в обычном режиме

    В качестве примера предположим, что вы хотите найти недавно удаленный файл с именем myresume.docx, хранящийся в папке «Документы» на диске C, и сохранить восстановленную версию на USB-накопителе, настроенном как диск E. Если вы использовали обычный режим, введите следующую команду, заменив ее своим фактическим именем пользователя:

    winfr C: E: /regular /n users\ \documents\myresume.docx

    Прежде чем запускать такую ​​команду, выполните несколько условий. Исходный и конечный диски должны быть разными. Если ваш компьютер не оснащен двумя дисками, просто подключите USB-накопитель и используйте его в качестве места назначения. Инструмент автоматически создает папку с именем Recovery_ на целевом диске и использует ее для хранения восстановленного файла.

    Вы можете указать другую папку для файла, но давайте придерживаться варианта по умолчанию. Кроме того, если имя папки или файла содержит пробелы, вам нужно будет заключить весь путь в кавычки, например:

    winfr C: E: /regular /n "\users\ \documents\my резюме.docx."

    После того, как вы введете команду, инструмент предложит вам продолжить. Введите Y, и Windows File Recovery просканирует ваш диск в поисках удаленного файла. Если файл найден, приложение пытается его восстановить. В случае успеха приложение помещает его в папку Recovery_ на целевом диске. Команда заканчивается вопросом, хотите ли вы просмотреть восстановленные файлы. Введите Y.

    После этого вы увидите папку Recovery и файл RecoveryLog.txt на целевом диске. Просматривайте папки в разделе «Восстановление», пока не найдете восстановленный файл. Откройте файл, чтобы убедиться, что он не поврежден и читаем.

    Если файл не появляется в папке восстановления, у вас есть несколько вариантов. Вы можете попробовать еще раз, но на этот раз указать расположение без имени файла, например:

    winfr C: E: /regular /n пользователей\ \documents\

    Эта опция также отобразит любые другие удаленные файлы в этой папке. Просто не забудьте добавить обратную косую черту в конце имени папки.

    Вы также можете указать имя файла без местоположения, набрав:

    winfr C: E: /regular /n myresume.docx

    Эта опция будет искать файл на всем жестком диске. Другой вариант — добавить подстановочный знак для замены имени файла или расширения, например:

    winfr C: E: /regular /n users\ \documents\myresume.*

    winfr C: E: /regular /n users\ \documents\*.docx

    Выполнить поиск в расширенном режиме

    Если вам по-прежнему не удается найти или восстановить файл, самое время попробовать расширенный режим. Здесь вы просто заменяете переключатель /regular на /extensive, но по-прежнему используете другие параметры для местоположения и имени файла, например:

    winfr C: E: /extensive /n users\ \documents\myresume.docx

    После ввода команды выполните те же действия, что и в обычном режиме, чтобы восстановить файл. Для получения дополнительной информации и сведений об использовании приложения и его различных переключателей см. страницу поддержки Microsoft по восстановлению потерянных файлов с помощью Windows.

    информационный бюллетень с советами экспертов по максимально эффективному использованию вашей технологии.","first_published_at":"2021-09-30T21:23:24.000000Z","published_at":"2021-09-30T21:23:24.000000Z ","last_published_at":"2021-09-30T21:23:13.000000Z","created_at":null,"updated_at":"2021-09-30T21:23:24.000000Z">)" x-show="showEmailSignUp ()">

    Нравится то, что вы читаете?

    Подпишитесь на информационный бюллетень с советами и рекомендациями, чтобы получить советы экспертов, чтобы максимально эффективно использовать свои технологии.

    Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки.Подписка на информационный бюллетень означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.

    Читайте также: