Cum să urmăriți când cineva accesează un dosar de pe computer


Există o caracteristică minuțioasă încorporată în Windows care vă permite să urmăriți când cineva vizualizează, editează sau șterge ceva în interiorul unui anumit dosar. Deci, dacă există un dosar sau un fișier pe care doriți să știți cine accesează, atunci aceasta este metoda încorporată fără a fi nevoie să utilizați software terț.

Această caracteristică face de fapt parte dintr-o caracteristică de securitate Windows numită Politica de grup, care este folosită de majoritatea profesioniștilor IT care gestionează computerele din rețeaua companiei prin intermediul serverelor, cu toate acestea, poate fi folosită și pe un PC fără servere. Singurul dezavantaj al utilizării politicii de grup este că nu este disponibil în versiunile mai mici ale Windows. Pentru Windows 7, trebuie să aveți Windows 7 Professional sau o versiune superioară. Pentru Windows 8, aveți nevoie de Pro sau Enterprise.

Termenul Group Policy se referă în principal la un set de setări de registry care pot fi controlate printr-o interfață grafică de utilizator. Puteți activa sau dezactiva diferite setări și aceste modificări sunt apoi actualizate în registrul Windows.

În Windows XP, pentru a ajunge la editorul de politici, faceți clic pe Startși apoi pe Run. În caseta text, tastați "gpedit.msc" fără cotațiile după cum se arată mai jos:

run gpedit

, faceți clic pe butonul Start și tastați gpedit.mscîn caseta de căutare din partea de jos a meniului Start. În Windows 8, pur și simplu mergeți la ecranul de pornire și începeți să tastați sau să mutați cursorul mouse-ului spre partea de sus sau spre dreapta a ecranului pentru a deschide bara Charmsși faceți clic pe Căutare. Apoi, tastați gpedit. Acum ar trebui să vedeți ceva similar cu imaginea de mai jos:

group policy editor

Există două categorii principale de politici: Utilizatorși Calculator. După cum probabil ați ghicit, politicile de utilizator controlează setările pentru fiecare utilizator, în timp ce setările computerului vor fi setări la nivel de sistem și vor afecta toți utilizatorii. În cazul nostru, vom dori ca setarea noastră să fie pentru toți utilizatorii, prin urmare vom extinde secțiunea Configurația computerului.

Continuați să extindeți la Setările Windows ->Setări de securitate - & gt; Politici locale - & gt; Politica de audit. Nu voi explica multe dintre celelalte setări aici, deoarece aceasta se concentrează în primul rând pe auditarea unui dosar. Acum veți vedea un set de politici și setările lor curente în partea dreaptă. Politica de audit este ceea ce controlează dacă sistemul de operare este sau nu configurat și gata să urmărească modificările.

audit object access

Acum verificați setarea pentru Audit Object Accessfăcând dublu clic pe el și selectând atât Succesul, cât și Eșecul. Faceți clic pe OK și acum am terminat prima parte, care spune Windows că dorim să fie gata să monitorizeze schimbările. Acum, următorul pas este să-i spunem exact ceea ce vrem să urmărim. Acum puteți închide consola Politică de grup.

Acum, navigați la folder utilizând Windows Explorer pe care doriți să îl monitorizați. În Explorer, faceți clic dreapta pe dosar și faceți clic pe Proprietăți. Faceți clic pe fila Securitateși vedeți ceva similar cu acesta:

explorer security tab

Faceți clic pe butonul Advancedși faceți clic pe fila Audit. Aici vom configura exact ceea ce dorim să monitorizăm pentru acest dosar.

auditing tab windows

Continuați și faceți clic pe butonul Adăugați . Va apărea un dialog care vă cere să selectați un utilizator sau un grup. În casetă, introduceți cuvântul "utilizatori" și faceți clic pe Verificați nume. Caseta se va actualiza automat cu numele grupului de utilizatori locali pentru calculatorul dvs. în formularul COMPUTERNAME \ Users.

user group permissions

p>Faceți clic pe OK și acum veți primi un alt dialog denumit "Intrare de audit pentru X". Aceasta este carnea reală a ceea ce am vrut să facem. Aici veți selecta ce doriți să urmăriți pentru acest dosar. Puteți alege individual tipurile de activități pe care doriți să le urmăriți, cum ar fi ștergerea sau crearea de fișiere / foldere noi etc. Pentru a simplifica lucrurile, vă recomandăm să selectați Control complet, care va selecta automat toate celelalte opțiuni de sub ea. Faceți acest lucru pentru Succesulși Eșecul. În acest fel, indiferent ce se face cu acel dosar sau cu fișierele din el, veți avea o înregistrare.

audit permissions explorer

Acum faceți clic pe OK și OK încă o dată pentru a ieși din caseta de dialog multiplă setată. Și acum ați configurat auditul într-un dosar! Deci, puteți să întrebați cum vedeți evenimentele?

Pentru a vedea evenimentele, trebuie să mergeți la Panoul de control și să faceți clic pe Instrumente administrative. Apoi deschideți Vizualizatorul de evenimente. Faceți clic pe secțiunea Securitateși veți vedea o listă mare de evenimente din partea dreaptă:

event viewer security Dacă mergeți mai departe și creați un fișier sau pur și simplu deschideți dosarul și faceți clic pe butonul Refresh din Vizualizatorul de evenimente (butonul cu cele două săgeți verzi), veți vedea o mulțime de evenimente din categoria Sistem de fișiere . Acestea se referă la orice operațiuni de ștergere, creare, citire și scriere a dosarelor / fișierelor pe care le faceți. În Windows 7, totul se afișează acum sub categoria de sarcini Sistem de fișiere, deci pentru a vedea ce sa întâmplat, va trebui să faceți clic pe fiecare dintre ele și să derulați în ea.

Pentru a facilita uita-te prin atâtea evenimente, poți pune un filtru și poți vedea lucrurile importante. Faceți clic pe meniul Vizualizațidin partea de sus și faceți clic pe Filtrați. Dacă nu există nici o opțiune pentru Filtru, faceți clic dreapta pe jurnalul de securitate din pagina din stânga și alegeți Filtrați jurnalul curent. În caseta Event ID, introduceți numărul 4656. Acesta este evenimentul asociat unui anumit utilizator care efectuează o acțiune Sistem de fișiereși vă va oferi informațiile relevante fără a fi nevoie să căutați mii de intrări.

8

event id delete

Acestea sunt informațiile din ecranul de mai sus:

A fost solicitat un handle pentru un obiect.

Subiect:
ID de securitate: Aseem- em>
Nume cont: Aseem
Domeniu de cont: Aseem-Lenovo
Logon ID: 0x175a1

Obiect:
Obiect Server: Securitate
: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID-ul mânerului: 0x16a0
ID proces: 0x820
Nume proces: C: \ Windows \ explorer.exe

/ em>
Cod tranzacție: {00000000-0000-0000-0000-000000000000}
Accesează: DELETE
SYNCHRONIZE
ReadAttributes

În exemplul de mai sus, fișierul a lucrat la New Text Document.txt în dosarul Tufu de pe desktopul meu și accesările pe care le-am solicitat au fost DELETE urmate de către SYNCHRONIZE. Ceea ce am făcut aici a fost ștergerea fișierului. Iată un alt exemplu:

Tipul de obiect: Fișier
Nume obiect: C: \ Users \ Aseem \ Desktop \
ID de mână: 0x178

Informații despre proces:
ID proces: 0x1008>Numele procesului: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Informații despre solicitarea accesului:
Tranzacție ID: {00000000-0000-0000-0000-000000000000}
Accesează: READ_CONTROL
SYNCHRONIZE
ReadData ListDirectory)WriteData (sau AddFile)
AppendData (sau AddSubdirectory sau CreatePipeInstance)br>WriteEA
ReadAttributes
WriteAttributes

Accesare motive: READ_CONTROL:
SYNCHRONIZE: Acordat de D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

p>Pe măsură ce citiți acest lucru, puteți vedea că am accesat etichetele de adresă.docx utilizând programul WINWORD.EXE am și accesările mele au inclus READ_CONTROL, iar motivele mele de acces au fost, de asemenea, READ_CONTROL. De obicei, veți vedea o grămadă de acces, dar trebuie doar să vă concentrați pe primul, deoarece de obicei este tipul principal de acces. În acest caz, am deschis pur și simplu fișierul folosind Word. Este nevoie de puțină testare și citire a evenimentelor pentru a înțelege ce se întâmplă, dar odată ce o elimini, este un sistem foarte fiabil. Vă sugerăm să creați un dosar de testare cu fișiere și să efectuați diferite acțiuni pentru a vedea ce se întâmplă în Vizualizatorul de evenimente.

Asta este destul de mult! O modalitate rapidă și gratuită de urmărire a accesului sau a modificării unui dosar!

Ruby on Rails by Leila Hofer

Postări asemănatoare:


3.08.2014