Zugriff auf externen Festplatte protokollieren

[oidafoda]

Hallo,

habe eine externe Festplatte mit diversesten Daten. Nichts heikles, muss diese aber herborgen.
Gibt es eine Möglichkeit, wie ich sehen kann, welche Dateien/ Ordner aufgerufen wurden/kopiert wurden?

Auf ner externen alleine rennen ja keine Programme und eine batch oder wie die heißt die sich automatisch lädt ist keine gute Idee....

Gibt es eine Möglichkeit? Ich meine, einen Ordner erstellen wo ich einstellen kann dass alles mitprotokolliert wird oder irgendwo in den Einstellungen irgendwas machen?

Hab ich mein Problem verständlich ausgedrückt?

e/ Ein kleines portables Tool welches, aufgerufen, im Hintergrund agierend, Dateizugriffe auf diesem Laufwerk mitprotokolliert wäre auch interessant

Danke
lg
Markus

 

[Alchemist]

Hallo,

wäre es eventuell eine Möglichkeit die Daten mit Winrar oder 7Zip zu packen und mit einem Passwort zu versehen? Klar können die Daten dann noch kopiert werden aber der andere kann damit nichts anfangen.

 

[Ost-Ösi]

Glüchwunsch zum Start hier im Forum.

Ich scheine verstanden zu haben, du hättest gerne gewußt, was mit deiner hergeliehenen Platte so passiert ist. Dabei kann ich leider nicht helfen, weli mir solch eine Möglichkeit nicht bekannt ist und ich mir auch nicht vorstellen kann. Vielleicht findet sich noch jemand anders.

 

[Ic3HanDs]

Wüsste so auch keine Möglichkeit. Aber aus diesem Grund verleihe ich keine Platten mit persönlichen Daten, auch nicht wenn ich die Daten gelöscht habe, kann man ja teilweise wiederherstellen...

Habe persönlich für sowas einen großen "Verleih-USB-Stick" mit USB 3.0 und 256GB. Wäre so etwas nicht eine einfachere Lösung? Den kann man ja danach noch weiter verwenden. Oder eben wirklich Daten runter, formatieren und alles einmal überschreiben und dann die Daten für den anderen nochmal drauf. Wäre aber ein erheblicher Zeitaufwand..

 

[oidafoda]

Hallo zusammen,

danke euch schon mal.
An Zippen mit PW-Schutz habe ich auch gedacht, aber ich will eigentlich nicht dass die Dateien nicht aufrufbar sind, sondern dass sie aufrufbar sind, ich aber sehen möchte, welche aller geöffnet worden sind.
Ich möchte den Zugriff nicht einschränken, sondern aktiv sehen, welche Daten mein Kollege braucht...
Ich denke auch, dass es schwer wird, da eine Lösung zu finden, leider -.-

Danke
lg
Markus

 

[engine]

Hallo,
habe eine externe Festplatte mit diversesten Daten. Nichts heikles, muss diese aber herborgen.
Gibt es eine Möglichkeit, wie ich sehen kann, welche Dateien/ Ordner aufgerufen wurden/kopiert wurden?
...
Ein kleines portables Tool welches, aufgerufen, im Hintergrund agierend, Dateizugriffe auf diesem Laufwerk mitprotokolliert wäre auch interessant ...

Auffälliger kann man nicht formulieren oder ich lese zu viel zwischen den Zeilen.
Statt jemanden zu kontrollieren, würde ich erst gar keine Gelegenheit zum Schnüffeln geben.

 

[DeusoftheWired]

In manchen Dateisystemen wird der letzte lesende Zugriff festgehalten. Beispiel atime. Unter Windows: https://web.archive.org/web/20180416041617/http://www.forensicswiki.org/wiki/MAC_times

Damit hast du Stichworte für weitere Suchen.

Wie die anderen aber schon geschrieben haben, ist es zielführender, Daten am besten gar nicht auf dem auszuleihenden Medium vorzuhalten oder sie zu verschlüsseln.

 

[BlackWidowmaker]

Hallo oidafoda,

wenn es so ein Programm/Tool gäbe, würde es alle Merkmale eines Virus/Trojaners erfüllen, und wäre wahrscheinlich sogar aus datenschutzrechtlicher Sicht problematisch, zumindest wenn der Benutzer über dieses Protokollieren nicht aufgeklärt wird.

Ich schätze aber, daß es sich hierbei nicht um ein technisches Problem geht, sondern um ein Zwischenmenschliches handelt. Wenn Du das, was sich auf dem Datenträger befindet, verschlüsselst oder mit Paßwort schützt, dann sagt das dem anderen, daß Du ihm nicht traust. Und genau das möchtest Du gerne vermeiden. Andererseits ist Dir nicht wohl zumute, wenn Du ihm vertraust, daß er den Datenträger wirklich nur zum vorgesehenen Zweck benutzt, und nicht etwa dein Vertrauen mißbraucht.

Das Problem bei so einem Dilemma: Es gibt keine "gute" Lösung. Egal was Du machst, Du kannst etwas verlieren. Wenn Du den anderen bemerkbar überwachst, verlierst Du sein Vertrauen, denn er muß davon ausgehen, daß er bei Dir keines mehr genießt. Überwachst Du ihn, ohne daß er es merkt, verlierst Du deinen Seelenfrieden, deine Fähigkeit Vertrauen zu können. Diese Fähigkeit ist weit wertvoller als man allgemein annimmt. Überwachst Du ihn nicht, ist er in der Lage dein Vertrauen zu mißbrauchen, und dich dadurch zu schädigen.

Meiner persönliche Erfahrung nach würde ich letztere Option wählen. Aber diese Entscheidung kann Dir keiner abnehmen.

 

[engine]

Wenn ich auf ntfs-Datenträgern schnüffeln würde, dann bestimmt nicht von Windows aus, denn ich müsste befürchten auf Ordner zu stoßen, die ich mit Administrator-Rechten besuchen müsste. Ich würde also Spuren hinterlassen.
Linux wäre meine erste Wahl zum Schnüffeln.

Ich glaube das Protokollieren ist nicht so einfach, bis unmöglich, weiß es aber nicht genau, da nicht getestet.

Ein Tool automatisch Starten geht nur unter bestimmten Voraussetzungen, die ich bestimmt nicht verrate, wäre kriminell.

Was der TE vor hat ist eh besch... !

 

[oidafoda]

Hallo euch allen!

Danke für eure Antworten.
Ja tatsächlich - BlackWidowmaker trifft es gut, es ist in mir ein Konflikt wegen zwischenmenschlicher Beziehungen und so.
Allerdings ziemlich speziell.
Und in meinem Fall habe ich glaube ich keine, bzw. nur wenige "Nachteile" wenn ich da nach"schnüffeln" würde.
Ist nämlich ein ganz spezieller Fall bei mir - nichts illegales - ganz im Gegenteil

Hat natürlich allgemein Recht, aber bei dieser Person ist es was ganz was Besonders

Stichwort "atime": Danke, hab mich mal schlau gemacht - habe hier folgenden Hinweis gefunden "fsutil behavior set disablelastaccess 0"
Scheint nicht immer zu funktionieren, bzw. nicht ganz genau - möglicherweise auch nur auf meinem Rechner, aber wenns dann nicht funktioniert, hab ich Pech gehabt - die Welt geht auch nicht unter wenn ich nicht weiß welche Dateien alle aufgerufen wurden

Danke
lg
Markus

 

[BlackWidowmaker]

Unter Windows: https://web.archive.org/web/20180416041617/http://www.forensicswiki.org/wiki/MAC_times

Hab mir den Link angeschaut. Der Kernpunkt hierbei ist das Flag:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate

das bestimmt ob der letzte Zugriff auf eine Datei in einem NTFS-System protokolliert wird, oder nicht. Hab bei meinem Winwos 7 System nachgeschaut. Dort ist dieser Wert auf 1. Da ich diesen nie manuell geändert habe, dürfte das die Standardeinstellung sein, und dem Vorhaben des TE einen Strich durch die Rechnung machen.

Damit der letzte Zugriff der Dateien protokolliert wird, müßte man also eine Registry-Datei mit folgendem Inhalt auf den Zielrechner ausführen:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]"NtfsDisableLastAccessUpdate"=dword:00000000

Dies wäre aber juristisch betrachtet zumindest fragwürdig, weil es im Extremfall als Computer-Sabotage gewertet werden könnte.

 

[DeusoftheWired]

Wie sieht’s im Explorer aus? http://help.migraven.com/last-access-time/

 

[BlackWidowmaker]

Wie meinst Du das? Was hat der Explorer damit zu tun?

 

[DeusoftheWired]

Das dritte Bild aus dem Link. Reiter „Letzter Zugriff“ im Explorer.

Die Sache scheint aber vertrackter zu sein, als ich ursprünglich angenommen hatte. https://www.forensicfocus.com/Forums/viewtopic/t=9329/postdays=0/postorder=asc/start=0/

Sieht für mich jetzt so aus, als würde seit Vista/7 beim Lesen keine Änderung am atime-Tag vorgenommen. Kann das jemand bestätigen, der sich mit IT-Forensik auskennt?

 

[oidafoda]

Hallo ihr Beiden,

danke für eure Unterstützung!
Ich habe das bei meinem Notebook mit dem Last Access jetzt probiert - es funktioniert so halbwegs. (Vlt braucht es selbst nur etwas Zeit zum updaten).
Bei meinem W10 war das standardmäßig aktiviert, dass der letzte Zugriff angezeigt wird.
Kommt somit auf das System meines Gegenüber an...

Also kann ich mich nur überraschen lassen was rauskommt

lg
Markus

 

[BlackWidowmaker]

Das dritte Bild aus dem Link. Reiter „Letzter Zugriff“ im Explorer.

OK, aber diese Einstellung dürfte ja für das Zielsystem unerheblich sein. Nur der TE muß das auf seinem System aktivieren um den (potentiellen) Dateizugriff kontrollieren zu können.

 

[oidafoda]

Also ich kann jetzt Review geben:

Es hat offensichtlich tatsächlich funktioniert.
Zumindest bei den Ordnern wo ich gesagt hab, dass mein Gegenüber die benötigten Sachen findet, sehe ich aktuelle Letzte Zugriffszeiten.
Bei allen anderen Ordnern nicht. Also offensichtlich brav an das gehalten was ich gesagt habe.
Zwischenmenschlich freut mich das leider überhaupt nicht - ich hätte mir gewunschen, dass auch andere Ordner aufgemacht worden wären. Aber hätte das sowieso nichts rauslesen können.

Kurzum:
Mein Gegenüber hat ein Apple Notebook, trotzdem habe ich, nachdem ich das enabled habe, Zugriffe gesehen.
Successful!

Danke euch allen!