derwowusste
Goto Top

NTFS-Auditing zeichnet alternate data streams auf - unerwünscht

Moin Kollegen.

Ich überwache einen Ordner mit der NTFS-Überwachung. Es ist lediglich aktiviert, "Datei erstellen" zu überwachen. Normalerweise ist es nun so: ich schreibe eine Datei hinein und es wird ein Logeintrag erzeugt. Bei einigen Dateien, die ich hineinschiebe, werden leider zwei erzeugt. Die Ursache sind offenbar die NTFS alternate datastreams, die manchen Dateien innewohnen.

Kann man diesen Umstand irgendwie beheben?

Logeintragsbeispiel:
Object Name: \Device\HarddiskVolume8\überwachterOrdner\Testdatei.pdf:Zone.Identifier

OS ist wie ich meine egal, hier ist es Windows 8.1

Content-Key: 284129

Url: https://administrator.de/contentid/284129

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: Penny.Cilin
Penny.Cilin 29.09.2015 um 18:02:28 Uhr
Goto Top
Hallo DWW,

kannst man kein Exclude machen? Worauf ich hinaus will: beim Erstellen von Scheduled Tasks kann man diese als XML exportieren. Und anschließend durch bearbeiten der XML-Datei erweiterte Parameter setzen, welche bei Nutzung der GUI nicht setzbar sind.


Gruss Penny
Mitglied: DerWoWusste
DerWoWusste 29.09.2015 um 18:58:09 Uhr
Goto Top
Hi.

Nee, exceptions sind nicht vorgesehen. Ich suche eher nach einem Weg, die Streams loszuwerden, bevor die Datei in den Ordner gelangt, aber wie geht das programmatisch?
Mitglied: 114757
114757 29.09.2015 aktualisiert um 19:02:53 Uhr
Goto Top
Moin,
so wie das aussieht sind das die Zoneninformationen welche einer Datei als ADS Stream hinzugefügt werden wenn sie aus dem Internet heruntergeladen werden. Die lassen sich in der Registry deaktivieren:
http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1914.h ...

Gruß jodel32
Mitglied: colinardo
Lösung colinardo 29.09.2015, aktualisiert am 30.09.2015 um 09:15:06 Uhr
Goto Top
Zitat von @DerWoWusste:
Ich suche eher nach einem Weg, die Streams loszuwerden, bevor die Datei in den Ordner gelangt, aber wie geht das programmatisch?
N'Abend DWW,
mit Powershell lassen sich die Zoneninformationen welche als ADS am File angehängt sind, programmatisch so entfernen:
remove-item 'C:\datei.pdf' -Stream Zone.Identifier
https://technet.microsoft.com/de-de/library/jj628241%28v=wps.630%29.aspx
Mit get-Item lassen sich die Streams auch auslesen.

Grüße Uwe
Mitglied: DerWoWusste
DerWoWusste 29.09.2015 um 19:13:59 Uhr
Goto Top
Hallo Jodel und Uwe!

Ich sag nur "die Elite ist am Start" face-smile
Sieht sehr vielversprechend aus, gebe morgen früh Rückmeldung.

Schönen Abend!
Mitglied: DerWoWusste
DerWoWusste 30.09.2015 aktualisiert um 09:15:44 Uhr
Goto Top
Uwe, das funktioniert wie zu erwarten war. Ich denke mir jetzt mal aus, wie ich vor den gemonitorten Ordner noch einen vorschalte, damit zunächst mal die Streams gekillt werden können. Wahrscheinlich ebenso über Eventtrigger und simples Verschieben.

Jodel: die Anpassungen bewirken, dass Downloads/abgespeicherte Attachments diese Infos nicht mitspeichern, das hilft nur bedingt, denn
A wollen wir diese Infos ja nicht generell verlieren und
B gibt es schon diverse Dateien im Netzwerk, die solche Infos tragen, die werden damit ja nicht rückwirkend davon befreit.

Vielen Dank Euch beiden.
Mitglied: colinardo
colinardo 30.09.2015 um 09:46:21 Uhr
Goto Top
Bedenke aber das ein File auch andere AD-Streams als den Zonen Identifier haben kann. Aber ich denke das hast du sicher berücksichtigt so wie ich dich kenne face-wink
Mitglied: DerWoWusste
DerWoWusste 30.09.2015 um 10:00:43 Uhr
Goto Top
Jein - ich hatte ja erst gestern zum ersten Mal ein Problem mit diesen Streams. Ich weiß wohl, dass es noch andere geben wird, aber nicht, wann die auftreten könnten. Somit muss ich also pauschal alle löschen. Hast du alle Namen für mich, oder muss ich diese mittels der Streams.exe oder anderweitig auslesen?
Mitglied: colinardo
Lösung colinardo 30.09.2015 aktualisiert um 10:31:26 Uhr
Goto Top
Also hiermit kannst du von allen Files in einem Ordner alle "zusätzlich" vorhandenen Streams außer dem Data-Stream entfernen:
get-item 'D:\Ordner\*' -Stream * | ?{$_.Stream -notlike ':$DATA'} | %{remove-item $_.FileName -Stream $_.Stream -Force}  
Ohne Gewähr, da ich nicht weiß welche Files verarbeitet werden und ob ein Dateiformat einen Nutzen aus den zusätzlichen Streams zieht.
Mitglied: DerWoWusste
DerWoWusste 30.09.2015 um 10:31:13 Uhr
Goto Top
Sauber. Ich weiß leider auch nicht, ob Programme daraus nutzen ziehen könnten - da es meist Scans im PDF-Format sind hier nur eine OCR rüber läuft und eigentlich erst mit den Resultaten weitergearbeitet werden soll, denke ich, dass das schon passt.
Nochmals vielen Dank.