10
NTFS-Auditing zeichnet alternate data streams auf - unerwünscht
Moin Kollegen.
Ich überwache einen Ordner mit der NTFS-Überwachung. Es ist lediglich aktiviert, "Datei erstellen" zu überwachen. Normalerweise ist es nun so: ich schreibe eine Datei hinein und es wird ein Logeintrag erzeugt. Bei einigen Dateien, die ich hineinschiebe, werden leider zwei erzeugt. Die Ursache sind offenbar die NTFS alternate datastreams, die manchen Dateien innewohnen.
Kann man diesen Umstand irgendwie beheben?
Logeintragsbeispiel:
Object Name: \Device\HarddiskVolume8\überwachterOrdner\Testdatei.pdf:Zone.Identifier
OS ist wie ich meine egal, hier ist es Windows 8.1
Ich überwache einen Ordner mit der NTFS-Überwachung. Es ist lediglich aktiviert, "Datei erstellen" zu überwachen. Normalerweise ist es nun so: ich schreibe eine Datei hinein und es wird ein Logeintrag erzeugt. Bei einigen Dateien, die ich hineinschiebe, werden leider zwei erzeugt. Die Ursache sind offenbar die NTFS alternate datastreams, die manchen Dateien innewohnen.
Kann man diesen Umstand irgendwie beheben?
Logeintragsbeispiel:
Object Name: \Device\HarddiskVolume8\überwachterOrdner\Testdatei.pdf:Zone.Identifier
OS ist wie ich meine egal, hier ist es Windows 8.1
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284129
Url: https://administrator.de/forum/ntfs-auditing-zeichnet-alternate-data-streams-auf-unerwuenscht-284129.html
Ausgedruckt am: 18.04.2025 um 03:04 Uhr
10 Kommentare
Neuester Kommentar
Hallo DWW,
kannst man kein Exclude machen? Worauf ich hinaus will: beim Erstellen von Scheduled Tasks kann man diese als XML exportieren. Und anschließend durch bearbeiten der XML-Datei erweiterte Parameter setzen, welche bei Nutzung der GUI nicht setzbar sind.
Gruss Penny
kannst man kein Exclude machen? Worauf ich hinaus will: beim Erstellen von Scheduled Tasks kann man diese als XML exportieren. Und anschließend durch bearbeiten der XML-Datei erweiterte Parameter setzen, welche bei Nutzung der GUI nicht setzbar sind.
Gruss Penny
Hi.
Nee, exceptions sind nicht vorgesehen. Ich suche eher nach einem Weg, die Streams loszuwerden, bevor die Datei in den Ordner gelangt, aber wie geht das programmatisch?
Nee, exceptions sind nicht vorgesehen. Ich suche eher nach einem Weg, die Streams loszuwerden, bevor die Datei in den Ordner gelangt, aber wie geht das programmatisch?
Moin,
so wie das aussieht sind das die Zoneninformationen welche einer Datei als ADS Stream hinzugefügt werden wenn sie aus dem Internet heruntergeladen werden. Die lassen sich in der Registry deaktivieren:
http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1914.h ...
Gruß jodel32
so wie das aussieht sind das die Zoneninformationen welche einer Datei als ADS Stream hinzugefügt werden wenn sie aus dem Internet heruntergeladen werden. Die lassen sich in der Registry deaktivieren:
http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1914.h ...
Gruß jodel32
Zitat von @DerWoWusste:
Ich suche eher nach einem Weg, die Streams loszuwerden, bevor die Datei in den Ordner gelangt, aber wie geht das programmatisch?
N'Abend DWW,Ich suche eher nach einem Weg, die Streams loszuwerden, bevor die Datei in den Ordner gelangt, aber wie geht das programmatisch?
mit Powershell lassen sich die Zoneninformationen welche als ADS am File angehängt sind, programmatisch so entfernen:
remove-item 'C:\datei.pdf' -Stream Zone.Identifier
Mit get-Item lassen sich die Streams auch auslesen.
Grüße Uwe
Hallo Jodel und Uwe!
Ich sag nur "die Elite ist am Start"
Sieht sehr vielversprechend aus, gebe morgen früh Rückmeldung.
Schönen Abend!
Ich sag nur "die Elite ist am Start"
Sieht sehr vielversprechend aus, gebe morgen früh Rückmeldung.
Schönen Abend!
Uwe, das funktioniert wie zu erwarten war. Ich denke mir jetzt mal aus, wie ich vor den gemonitorten Ordner noch einen vorschalte, damit zunächst mal die Streams gekillt werden können. Wahrscheinlich ebenso über Eventtrigger und simples Verschieben.
Jodel: die Anpassungen bewirken, dass Downloads/abgespeicherte Attachments diese Infos nicht mitspeichern, das hilft nur bedingt, denn
A wollen wir diese Infos ja nicht generell verlieren und
B gibt es schon diverse Dateien im Netzwerk, die solche Infos tragen, die werden damit ja nicht rückwirkend davon befreit.
Vielen Dank Euch beiden.
Jodel: die Anpassungen bewirken, dass Downloads/abgespeicherte Attachments diese Infos nicht mitspeichern, das hilft nur bedingt, denn
A wollen wir diese Infos ja nicht generell verlieren und
B gibt es schon diverse Dateien im Netzwerk, die solche Infos tragen, die werden damit ja nicht rückwirkend davon befreit.
Vielen Dank Euch beiden.
Bedenke aber das ein File auch andere AD-Streams als den Zonen Identifier haben kann. Aber ich denke das hast du sicher berücksichtigt so wie ich dich kenne 
Jein - ich hatte ja erst gestern zum ersten Mal ein Problem mit diesen Streams. Ich weiß wohl, dass es noch andere geben wird, aber nicht, wann die auftreten könnten. Somit muss ich also pauschal alle löschen. Hast du alle Namen für mich, oder muss ich diese mittels der Streams.exe oder anderweitig auslesen?
Also hiermit kannst du von allen Files in einem Ordner alle "zusätzlich" vorhandenen Streams außer dem Data-Stream entfernen:
Ohne Gewähr, da ich nicht weiß welche Files verarbeitet werden und ob ein Dateiformat einen Nutzen aus den zusätzlichen Streams zieht.
1
get-item 'D:\Ordner\*' -Stream * | ?{$_.Stream -notlike ':$DATA'} | %{remove-item $_.FileName -Stream $_.Stream -Force}
Sauber. Ich weiß leider auch nicht, ob Programme daraus nutzen ziehen könnten - da es meist Scans im PDF-Format sind hier nur eine OCR rüber läuft und eigentlich erst mit den Resultaten weitergearbeitet werden soll, denke ich, dass das schon passt.
Nochmals vielen Dank.
Nochmals vielen Dank.
