Welcher Dateisystemtreiber?

[warbird001 10]

Hallo Alle

 

Ist es moeglich rauszufinden mit welchem Dateisystemtreiber auf ein ntfs

zugegriffen wurde?

 

Es geht um einen Rechner der in exponierter Lage steht.

 

Als ich mir den Rechner Ansah fand ich ihn mit offenem Bios vor,

die Einstellungen waren, naja etwas eigenartig.

 

Ich weiss genau das ich das Bios mit einem Passwort versehen habe als

ich den Rechner aufgestellt habe.

 

Nun waere es gut zu wissen ob man irgendwie nachsehen kann ob da

jemand mit Dos oder Linux Treibern auf das ntfs Zugegriffen hatt.

 

 

mfg

Stefan

[Lian 2.424]

Hallo,

 

ist das ein XP Rechner oder ein Windows Server?

XP: How to audit user access of files, folders, and printers in Windows XP

2K3: Operation-based auditing on files or folders: Auditing

Auditing funktioniert erst ab Aktivierung des Features.

 

Das BIOS Passwort liegt nicht im NTFS Teil der Festplatte. In manchen Fällen im NVRAM des BIOS - sprich: Gar nicht auf Platte.

[guybrush 19]

Ist es moeglich rauszufinden mit welchem Dateisystemtreiber auf ein ntfs

zugegriffen wurde?

 

ich würde mal pauschal sagen: nein.

 

es wird halt einfach auf das dateisystem zugegriffen, jedoch wird nirgends gespeichert, mit welchem treiber das geschieht. wenns eine linux-live cd ist, dann schreibt der treiber (höchstwahrscheinlich ntfs-3g) ja auch nicht irgendwo rein, dass diese oder jene datei mit dem linuxtreiber gelesen/geändert wurde.

 

ich lasse mich gerne korrigieren, aber ich wüsste jetzt spontan keine möglichkeit, sowas im nachhinein zu klären.

 

 

lg

johannes

[RanCyyD 10]

Bios-Passwort vergisst der PC, wenn man die Batterie rausnimmt

[Lian 2.424]

Nicht alle Geräte, Toshiba Notebooks definitiv nicht.

[RanCyyD 10]

Aber viele... :) Z.B. das vom Threadersteller.

[Lian 2.424]

...und das weiß Du woher?

 

Aber ich gebe Dir Recht: Das ist eine Möglichkeit - nur das kann man nicht tracken.

[RanCyyD 10]

Weiß ich nicht, bloß wenn er ein Passwort vegeben und nun die Abfrage weg ist, gebe ich mal den Sherlock... :D

 

BTW: Mein Dad hatte früher ein Toshiba-Firmenlaptop und da ging das mit der Batterie. Ist allerdings schon sechs Jahre her.

[Lian 2.424]

Off-Topic:
Mein 10 jahre alter Tecra 8000 war da sehr zugeknöpft. Keine Chance ohne den Toshiba Service. Komplett zerlegt, alle Akkus/Batterien 'raus.

Wie auch immer: Kern der Aussage ist, daß es im Nachhinein ohne Auditing nicht möglich ist. Wenn mit einem alternativen NTFS Treiber bzw. einem anderen OS darauf zugegriffen wird erst recht nicht.

[schotte 10]

Hallo,

Bios-Passwort vergisst der PC, wenn man die Batterie rausnimmt

 

das ist leider nicht mehr so. Bei neuern NB´s bleibt das Passwort bis zu bitteren Ende.

Das geht sogar soweit das das ganze Mainboard getauscht werden muß wenn man das Passwort vergessen hat.

 

MfG Schotte

[warbird001 10]

Hallo

 

Hallo,

 

ist das ein XP Rechner oder ein Windows Server?

XP: How to audit user access of files, folders, and printers in Windows XP

2K3: Operation-based auditing on files or folders: Auditing

Auditing funktioniert erst ab Aktivierung des Features.

Danke.

Es ist ein XP das in einer w2k3 Domaene laeuft.

Ich werde mir das am Wochende nochmal genau ansehen.

 

Ich verstehe das richtig das aktiviertes Auditing nichts bringt wenn ich z.b mittels

einer Linux Boot CD auf die Platte zugreife?

 

Gibt es Moeglickeiten bzw zusaetzliche Software sowas zu realisieren?

 

ciao

Stefan:wq

[Lian 2.424]

Es gibt bei NTFS noch die Last Access Time (Time Stamp):

How NTFS Works: Local File Systems

Last Access Time

 

Each file and folder on an NTFS volume contains an attribute called Last Access Time. This attribute shows when the file or folder was last accessed, such as when a user performs a folder listing, adds files to a folder, reads a file, or makes changes to a file. The most up-to-date Last Access Time is always stored in memory and is eventually written to disk within two places:

 

* The file’s attribute, which is part of its MFT record.

* A directory entry for the file. The directory entry is stored in the folder that contains the file. Files with multiple hard links have multiple directory entries.

 

The Last Access Time on disk is not always current because NTFS looks for a one-hour interval before forcing the Last Access Time updates to disk. NTFS also delays writing the Last Access Time to disk when users or programs perform read-only operations on a file or folder, such as listing the folder’s contents or reading (but not changing) a file in the folder. If the Last Access Time is kept current on disk for read operations, all read operations become write operations, which impacts NTFS performance.

 

Note

 

* File-based queries of Last Access Time are accurate even if all on-disk values are not current. NTFS returns the correct value on queries because the accurate value is stored in memory.

 

NTFS eventually writes the in-memory Last Access Time to disk as follows.

(...)

 

Zu Deiner Frage: Richtig, bringt nichts bzw. wenig.

 

Auf Anhieb fällt mir da nichts ein. Zukünftig könntest Du aber die Platte mittels BitLocker (Boardmittel Vista/2K8) oder TrueCrypt (Freeware für XP/Vista/...) verschlüsseln.

[DAUjones 10]

das ist leider nicht mehr so.

Warum "leider"? Das ist ein Sicherheitsfeature, das Dieben den Spaß verderben soll.

 

@topic

In Zukunft sollte vielleicht ein verschlüsseltes Dateisystem zum Einsatz kommen.

 

edit: Siehe Lian's letzter Satz.

[schotte 10]

Hallo,

Warum "leider"?

Bring mal einem Kunden bei das er sich "quasi" ein neues NB kaufen kann, nur weil er ein Passwort vergessen hat.

 

MfG Schotte

[Lian 2.424]

Es bleibt immer noch der Service des Herstellers, die Variante mit neu kaufen ist wohl ein bisschen übertrieben...