[Kricko]

Hej,

Jag är otroligt tacksam om någon kan hjälpa mig i mitt lilla detektivarbete.
Det är så att jag behöver ta reda på om en person har kopierat eller öppnat filer på en filserver.
Jag har tillgång till både filservern och den misstänkta datorn som har använts.
Kan man via loggar eller något annat se om någon via sin dator har kopierat filer, från filservern till ett usb-minne eller till datorn.
Lagras filerna temporärt på datorn innan dom överförs till stickan osv?

All hjälp är verkligen guld värd!

Windows server 2003 och Xp är operativsystemen.

[jomper]

Nej, inte utan att auditing av sådant varit påslaget redan innan.

[allstars]

kan man inte jämföra "skapatdatum" för filerna i fråga? Den kopierade filen får nytt ändratdatum, har jag för mig... fast du kanske inte hade tillgång till någon filkopia...

[Westman]

Citat:

Originally posted by allstars@May 20 2009, 08:07
kan man inte jämföra "skapatdatum" för filerna i fråga? Den kopierade filen får nytt ändratdatum, har jag för mig...

Ja och nej, det beror på hur man kopierar.

[Kricko]

Citat:

Originally posted by allstars@May 20 2009, 08:07
kan man inte jämföra "skapatdatum" för filerna i fråga? Den kopierade filen får nytt ändratdatum, har jag för mig... fast du kanske inte hade tillgång till någon filkopia...

Precis, jag har inte tillgång till någon filkopia. Har bara personens dator och servern där filerna finns.
Om personen först har sparat filerna lokalt,sedan raderat dom, kan man då på något sätt återkskapa raderade filer eller se vilka filer som har raderats?

[EternalSunshine]

Citat:

Om personen först har sparat filerna lokalt,sedan raderat dom, kan man då på något sätt återkskapa raderade filer eller se vilka filer som har raderats?

Kommer ihåg att det fanns ett program som kunde "ta fram" raderade filer. Kommer dock inte på vad det hette, det finns säkert en bunte på nätet. ....

Snabb sökning på Google gav; File Recovery
http://www.pctools.com/file-recover/

[wedge]

Om filerna öppnats i någon applikation kan denna applikation ha sparat filnamnet. "Recent files" hittar man i många applikationers menyer. Under startknappen i XP finns också "Recent files" eller nåt liknande.

[gummianka]

Windows register är ju en hel ocean av information, på gott och ont, så delvis beroende på hur man isf har kommit åt servern/filerna så bör det finnas information där (enligt samma princip som recent files så lagras ju information om senast anslutna nätverksenheter osv osv)

Sök i registret, logfiler och "temporary internet files" på ett eller flera av filnamnen OCH mapp/servernamnen, hittar den inget av intresse skulle jag säga att personen är oskyldig, eller har vetat vad han gjort och sett till att hålla rent efter sig.

edit: och som redan sagts, testa med ett program som letar efter borttagna filer för att se om dessa har lagrats på datorn, en direktkopiering till ett USB minne lämnar inga såna spår iofs, har man däremot gjort en zipfil av det så kan det programmet ha lämnat spår.

men alltså, har du Windows 2003 Server och ansluter (igen, såklart beroende på hur du ansluter) med XP som "klient" är jag ganska övertygad om att detta loggas av servern, så är det filer som användaren aldrig bör ha haft tillgång till, så borde detta gå att spåra..

[jomper]

Med default auditing-inställningar på servern så loggas som sagt inget sådant.

Om filerna kopierats direkt från servern till ett USB-minne anslutet på klienten så är det nog väldigt svårt att hitta någon information i registret, bland temp-filer osv.

Om filerna däremot öppnats så är det helt klart värt ett försök, kika isåfall under användarens HKCU-nyckel och i hans %temp%-katalog i användarprofilen. Kolla recycle bin osv också utöver tips ovan.

Ytterligare ett tips är att sökfunktionen i XP är riktigt dålig, det är många ställen den inte söker på. Jag brukar köra dir /s filnamn.fil från roten på disken istället.

[KristianE]

Security-loggen visar inloggningar mot servern. Fast
eftersom det normalt loggas en hel hög här varje
sekund så kan jag lova dig att loggen är bortsopad
om du inte exporterat den.

Jag kan rekommendera DriveLock för att övervaka
och/eller stoppa t.ex. USB-minnen.