Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: Luma 26. 07. 2018, 17:56:04
-
Ahoj všem, nikdy se mi nestalo že bych si smazal něco co bych nechtěl, dnes se mi ale doslova ztratili video data z jedné složky na notebooku.
Přísahal bych že já to nebyl.
Jedná se o Windows 10 Enterprise a fyzický přistup k NB mám pouze já.
(historii souborů z bodu obnovení mám vypnuté)
Dá se nějak zjistit co soubory nebo jaká akce smazala?
-
No, možno sa M$ rozhodol že tieto súbory sú závadné alebo licenčne nie v poriadku a proste ich zmazal. Zachoval sa presne podľa licenčných podmienok pre wydlu10, ktoré si odsúhlasil. Že si ich nečítal je tvoj problém.
-
@Vladimír Drgoňa Byt kreten te nic nestoji, ale me to stoji cas a chut cist dalsi veci zde na fore.
Co kompromis ?
Bud jsi za kretena, ale nedavej nam to najevo dekujeme!
-
Hledej v Event Logu eventy 4660 = object was deleted
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4660
-
Donalde vidím tě! slez z toho lustru s tou složkou na rameni.
(tohle byl komix, kdy byla volba mezi švejnarem a klause, kdy byl byl klaus v sálu vcházíc a na lustru Visel svejnar)
(https://1gr.cz/fotky/idnes/11/062/cl5/MBB3bd7b6_klaus.jpg)
-
Mrknul bych i do viroveho trezoru v antiviru, obcas se ty softy zblaznej.....
-
mozes to skusit obnovit foremostom, alebo sa mozes hrat so super timeline / log2timeline.
-
Cek: považuji to za skoro nemožné ale taky mě to napadlo ale nic tam nemám.
snuff1987: foremostom neznám jedná se o toto?: http://foremost.sourceforge.net/
log2timeline je něco podobného jako je:
https://www.nirsoft.net/utils/computer_activity_view.html
Ale tyto údaje jsou často nekompletní a nepřesné.
Takže neexistuje nějaký log v systému Windows 10 podle kterého by se dalo poznat jaké soubory a kdy byly smazány?
-
Takže neexistuje nějaký log v systému Windows 10 podle kterého by se dalo poznat jaké soubory a kdy byly smazány?
U Home verzí netuším, navíc nelze zpětně, ale m.j. se musí napřed povolit audit (pro soubory je to tuším "object access policy").
-
To je zase komentar za vsechny prachy. To rovnou muzes napsat 10x Nevim a vyjde to nastejno.
Jinak psal ze ma Windows 10 Enterprise.
Ale cteni je tak namahava vec ze ?
-
@Vladimír Drgoňa Byt kreten te nic nestoji, ale me to stoji cas a chut cist dalsi veci zde na fore.
Co kompromis ?
Bud jsi za kretena, ale nedavej nam to najevo dekujeme!
Co jinej kompromis? On tě nikdo nenutí to tady číst...
-
To rovnou muzes napsat 10x Nevim a vyjde to nastejno.
Jinak psal ze ma Windows 10 Enterprise.
Omlouvám se, to Enterprise jsem přehlédl. Nicméně, právě pro ten případ jsem psal, že musí být _předem_ povolen audit (via gpedit.msc).
Teď o víkendu nemám přístup k Enterprise, tak jen opíši text z prvního hledání na google (windows 10 object access policy) pro win 10:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-object-access
" ... by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy "
BTW, u sedmiček mi to sedí také, přestože se text zmiňuje jako nastavení pro w10.
Navíc je třeba, u sledované složky (příp. konktétního souboru, či naopak celého disku) nastavit autit ve vlastnostech (tam poblíž, kde je zabezpečení složky). Že tato se má logovat a pro koho to platí a že jen delete či read a podobně (protože kdyby se logovalo u všeho vše, každý přístup všeho, tak je za půl dne plný disk jen logů). A log pak najde v protokolech systému windows, zabezpečení.
V logu se pak ukáže https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4660 (tedy, m.j. i kdy, které konto a jaký proces akci provedl)
Takže kompletní odpověď na původní otázku zní "dá se zjistit, ale jen pokud si předem zapne logování a nastaví který adresář/soubor se má sledovat a pro koho").
Ale to vše bylo zbytečné psát, pokud logování nebylo ani předem globálně povoleno. A protože defaultně není a protože OP netuší a chtěl to jen zjistit zpětně, tak jsem tu podrobnou nepsal (ať zase nepíši slohovku pokud zbytečné). Rozepsal bych se, až kdyby se někdo ozval, že potřebuje i do budoucna (nebo hulvát co píše, že raději nemám psát vůbec). Plus znovu varování, že logovat vše, bez výběru, pro každého a celý disk, je extrémně náročné na (každý) systém a že to silně nedoporučuji.