Cum să urmăriți când cineva accesează un dosar de pe computer
Există o mică caracteristică mică încorporată în Windows, care vă permite să urmăriți când cineva vizualizează, editează sau șterge ceva în interiorul unui anumit dosar. Deci, dacă există un dosar sau un fișier pe care doriți să știți cine accesează, atunci aceasta este metoda încorporată fără a fi nevoie să utilizați software terță parte.
Această caracteristică face parte, de fapt, dintr-o funcție de securitate Windows numită Politica de grup, care este utilizat de majoritatea profesioniștilor IT care administrează computerele în rețeaua corporativă prin intermediul serverelor, cu toate acestea, poate fi folosit și pe un PC fără servere. Singurul dezavantaj al utilizării politicii de grup este că nu este disponibil în versiunile inferioare ale Windows. Pentru Windows 7, trebuie să aveți Windows 7 Professional sau o versiune superioară. Pentru Windows 8, aveți nevoie de Pro sau Enterprise.
Termenul de politică de grup se referă în principal la un set de setări de registry care pot fi controlate printr-o interfață grafică de utilizator. Activează sau dezactivează diferite setări, iar aceste modificări sunt apoi actualizate în registrul Windows.
În Windows XP, pentru a ajunge la editorul de politici, faceți clic pe start și apoi Alerga. În caseta text, tastați "gpedit.msc"Fără citatele de mai jos:
În Windows 7, faceți clic pe butonul Start și tastați gpedit.msc în caseta de căutare din partea de jos a meniului Start. În Windows 8, pur și simplu mergeți la ecranul de pornire și începeți să introduceți sau să mutați cursorul mouse-ului pe partea dreaptă sau sus a ecranului pentru a deschide nuri bara și faceți clic pe Căutare. Apoi introduceți gpedit. Acum ar trebui să vedeți ceva similar cu imaginea de mai jos:
Există două categorii principale de politici: Utilizator și Calculator. După cum probabil ați ghicit, politicile de utilizator controlează setările pentru fiecare utilizator, în timp ce setările computerului vor fi setări la nivel de sistem și vor afecta toți utilizatorii. În cazul nostru, vom dori ca setarea noastră să fie pentru toți utilizatorii, așa că vom extinde Configurarea calculatorului secțiune.
Continuați extinderea la Setări Windows -> Setări de securitate -> Politici locale -> Politica de audit. Nu voi explica multe dintre celelalte setări aici, deoarece aceasta se concentrează în primul rând pe auditarea unui dosar. Acum veți vedea un set de politici și setările lor curente în partea dreaptă. Politica de audit este cea care controlează dacă sistemul de operare este sau nu configurat și este gata să urmărească modificările.
Acum verificați setarea pentru Accesul obiectului de audit dând dublu clic pe el și selectând ambele Succes și eșec. Faceți clic pe OK și acum am terminat prima parte, care spune Windows că dorim să fie gata să monitorizeze schimbările. Acum, următorul pas este să-i spunem exact ceea ce vrem să urmărim. Acum puteți închide consola Politică de grup.
Acum, navigați la folder utilizând Windows Explorer pe care doriți să îl monitorizați. În Explorer, faceți clic dreapta pe dosar și faceți clic pe Proprietăți. Faceți clic pe Tab-ul de securitate și vedeți ceva similar cu acesta:
Acum faceți clic pe Avansat și faceți clic pe Audit tab. Aici vom configura exact ceea ce dorim să monitorizăm pentru acest dosar.
Mergeți mai departe și faceți clic pe Adăuga buton. Va apărea un dialog care vă cere să selectați un utilizator sau un grup. În căsuță, introduceți cuvântul "utilizatori"Și faceți clic pe Verificați numele. Caseta se va actualiza automat cu numele grupului de utilizatori locali pentru computer în formular \ Utilizatori.
Faceți clic pe OK și acum veți primi un alt dialog numit "Intrarea în cont pentru X„. Aceasta este carnea reală a ceea ce am vrut să facem. Aici veți selecta ce doriți să urmăriți pentru acest dosar. Puteți alege în mod individual tipurile de activități pe care doriți să le urmăriți, cum ar fi ștergerea sau crearea de fișiere / foldere noi etc. Pentru a simplifica lucrurile, vă recomandăm să selectați Control complet, care va selecta automat toate celelalte opțiuni de mai jos. Faceți asta pentru Succes și eșec. În acest fel, orice se face cu acel dosar sau cu fișierele din el, veți avea o înregistrare.
Acum faceți clic pe OK și faceți clic pe OK din nou și pe OK încă o dată pentru a ieși din caseta de dialog multiplă setată. Și acum ați configurat auditul într-un dosar! Deci, puteți întreba cum vedeți evenimentele?
Pentru a vedea evenimentele, trebuie să mergeți la panoul de control și să faceți clic pe Instrumente administrative. Apoi deschideți Vizualizator de eveniment. Faceți clic pe Securitate secțiune și veți vedea o listă mare de evenimente din partea dreaptă:
Dacă mergeți mai departe și creați un fișier sau pur și simplu deschideți dosarul și faceți clic pe butonul Reîmprospătare din Vizualizatorul de evenimente (butonul cu cele două săgeți verzi), veți vedea o grămadă de evenimente din categoria Sistemul de fișiere. Acestea se referă la orice operațiuni de ștergere, creare, citire și scriere în dosarele / fișierele pe care le efectuați auditul. În Windows 7, totul se afișează acum sub categoria de sarcini Sistem de fișiere, așa că pentru a vedea ce sa întâmplat, va trebui să faceți clic pe fiecare dintre ele și să îl parcurgeți.
Pentru a face mai ușor să privești atât de multe evenimente, poți pune un filtru și poți vedea lucrurile importante. Faceți clic pe Vedere meniul din partea de sus și faceți clic pe Filtru. Dacă nu există nici o opțiune pentru Filtru, faceți clic dreapta pe jurnalul de securitate din pagina din stânga și alegeți Filtrați jurnalul curent. În caseta ID eveniment, introduceți numărul 4656. Acesta este evenimentul asociat unui anumit utilizator care efectuează o Sistemul de fișiere acțiune și vă va oferi informațiile relevante fără a fi nevoie să examinați mii de intrări.
Dacă doriți să obțineți mai multe informații despre un eveniment, faceți dublu clic pe el pentru a vedea.
Acestea sunt informațiile de pe ecranul de mai sus:
A fost solicitat un manipulator unui obiect.
Subiect:
ID de securitate: Aseem-Lenovo \ Aseem
Nume cont: Aseem
Domeniu cont: Aseem-Lenovo
ID-ul de conectare: 0x175a1
Obiect:
Obiect Server: Securitate
Tipul obiectului: Fișier
Numele obiectului: C: \ Users \ Aseem \ Desktop \ Tufu \ Document text nou
ID de mână: 0x16a0
Informații despre proces:
ID de proces: 0x820
Numele procesului: C: \ Windows \ explorer.exe
Acces la cerere de acces:
ID-ul tranzacției: 00000000-0000-0000-0000-000000000000
Acceseaza: DELETE
SINCRONIZA
ReadAttributes
În exemplul de mai sus, fișierul a lucrat la New Text Document.txt în dosarul Tufu de pe desktop-ul meu, iar accesările pe care le-am solicitat au fost DELETE urmate de SYNCHRONIZE. Ce am făcut aici a fost ștergerea fișierului. Iată un alt exemplu:
Tipul obiectului: Fișier
Numele obiectului: C: \ Users \ Aseem \ Desktop \ Tufu \ Adresa etichete.docx
ID de mână: 0x178
Informații despre proces:
ID de proces: 0x1008
Numele procesului: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Acces la cerere de acces:
ID-ul tranzacției: 00000000-0000-0000-0000-000000000000
Accesează: READ_CONTROL
SINCRONIZA
ReadData (sau ListDirectory)
WriteData (sau AddFile)
AppendData (sau AddSubdirectory sau CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Motive de acces: READ_CONTROL: acordat prin proprietate
SYNCHRONIZĂ: acordată de D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Pe măsură ce ați citit acest lucru, puteți vedea că am accesat etichetele de adrese.docx utilizând programul WINWORD.EXE, iar accesul meu a inclus READ_CONTROL, iar motivele mele de acces au fost, de asemenea, READ_CONTROL. De obicei, veți vedea o grămadă de acces, dar doar să vă concentrați pe primul, deoarece acesta este, de obicei, tipul principal de acces. În acest caz, am deschis pur și simplu fișierul folosind Word. Ea face puțină testarea și citirea evenimentelor pentru a înțelege ce se întâmplă, dar odată ce o elimini, este un sistem foarte fiabil. Vă sugerăm să creați un dosar de testare cu fișiere și să efectuați diferite acțiuni pentru a vedea ce se prezintă în Vizualizatorul de evenimente.
Cam asta e tot! O modalitate rapidă și gratuită de a urmări accesul sau modificările unui dosar!