Jak śledzić, kiedy ktoś uzyskuje dostęp do folderu na komputerze

W systemie Windows znajduje się ładna, mała funkcja, która pozwala śledzić, kiedy ktoś wyświetla, edytuje lub usuwa coś z określonego folderu. Więc jeśli istnieje folder lub plik, który chcesz wiedzieć, kto ma dostęp, to jest to wbudowana metoda bez konieczności używania oprogramowania innych firm.

Ta funkcja jest w rzeczywistości częścią funkcji zabezpieczeń systemu Windows o nazwie Zasady grupy, który jest używany przez większość specjalistów IT, którzy zarządzają komputerami w sieci korporacyjnej za pośrednictwem serwerów, jednak może być również używany lokalnie na komputerze PC bez żadnych serwerów. Jedynym minusem korzystania z zasad grupy jest to, że nie jest dostępny w niższych wersjach systemu Windows. W systemie Windows 7 musisz mieć system Windows 7 Professional lub nowszy. W systemie Windows 8 potrzebujesz Pro lub Enterprise.

Termin Zasady grupy odnosi się zasadniczo do zestawu ustawień rejestru, które można kontrolować za pomocą graficznego interfejsu użytkownika. Włączasz lub wyłączasz różne ustawienia, a te zmiany są następnie aktualizowane w rejestrze systemu Windows.

W systemie Windows XP, aby przejść do edytora zasad, kliknij Początek i wtedy Biegać. W polu tekstowym wpisz „gpedit.msc”Bez cytatów, jak pokazano poniżej:

W systemie Windows 7 wystarczy kliknąć przycisk Start i wpisać gpedit.msc w polu wyszukiwania na dole menu Start. W systemie Windows 8 po prostu przejdź do ekranu startowego i zacznij pisać lub przesuń kursor myszy w górną lub dolną prawą stronę ekranu, aby otworzyć Charms pasek i kliknij Szukaj. Następnie wpisz gpedit. Teraz powinieneś zobaczyć coś podobnego do poniższego obrazka:

Istnieją dwie główne kategorie zasad: Użytkownik i Komputer. Jak można się domyślić, zasady użytkownika kontrolują ustawienia dla każdego użytkownika, podczas gdy ustawienia komputera będą ustawieniami ogólnymi i będą miały wpływ na wszystkich użytkowników. W naszym przypadku będziemy chcieli, aby nasze ustawienia były dla wszystkich użytkowników, więc rozwiniemy konfiguracja komputera Sekcja.

Kontynuuj rozszerzanie do Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Zasady inspekcji. Nie zamierzam tutaj wyjaśniać wielu innych ustawień, ponieważ koncentruje się głównie na inspekcji folderu. Teraz zobaczysz zestaw zasad i ich bieżące ustawienia po prawej stronie. Zasady kontroli określają, czy system operacyjny jest skonfigurowany i gotowy do śledzenia zmian.

Teraz sprawdź ustawienie dla Kontrola dostępu do obiektu dwukrotnie klikając na niego i wybierając oba Powodzenie i Niepowodzenie. Kliknij OK, a teraz skończyliśmy pierwszą część, która mówi Windowsowi, że chcemy, aby był gotowy do monitorowania zmian. Teraz następnym krokiem jest powiedzenie, co dokładnie chcemy śledzić. Możesz teraz zamknąć konsolę zasad grupy.

Teraz przejdź do folderu za pomocą Eksploratora Windows, który chcesz monitorować. W Eksploratorze kliknij prawym przyciskiem myszy folder i kliknij Nieruchomości. Kliknij na Karta Zabezpieczenia i widzisz coś podobnego do tego:

Teraz kliknij zaawansowane przycisk i kliknij Audyt patka. Tutaj właśnie skonfigurujemy to, co chcemy monitorować dla tego folderu.

Śmiało i kliknij Dodaj przycisk. Zostanie wyświetlone okno dialogowe z prośbą o wybranie użytkownika lub grupy. W polu wpisz słowo „użytkowników”I kliknij Sprawdź nazwy. Pole zostanie automatycznie zaktualizowane o nazwę grupy użytkowników lokalnych dla Twojego komputera w formularzu COMPUTERNAME Użytkownicy.

Kliknij OK, a teraz pojawi się kolejne okno dialogowe „Audyt wpisu dla X„. To jest prawdziwe mięso tego, co chcieliśmy zrobić. Tutaj możesz wybrać, co chcesz oglądać w tym folderze. Możesz indywidualnie wybrać, jakie rodzaje aktywności chcesz śledzić, takie jak usuwanie lub tworzenie nowych plików / folderów itp. Aby ułatwić to zadanie, proponuję wybrać opcję Pełna kontrola, która automatycznie wybierze wszystkie inne opcje poniżej. Zrób to dla Powodzenie i Niepowodzenie. W ten sposób cokolwiek zostanie zrobione z tym folderem lub plikami w nim zawartymi, będziesz miał rekord.

Teraz kliknij OK i ponownie kliknij OK i jeszcze raz OK, aby wyjść z zestawu wielu okien dialogowych. A teraz pomyślnie skonfigurowałeś inspekcję w folderze! Więc możesz zapytać, jak widzisz wydarzenia?

Aby wyświetlić zdarzenia, musisz przejść do Panelu sterowania i kliknąć Narzędzia administracyjne. Następnie otwórz Podgląd zdarzeń. Kliknij na Bezpieczeństwo sekcja i zobaczysz dużą listę wydarzeń po prawej stronie:

Jeśli utworzysz plik lub po prostu otworzysz folder i klikniesz przycisk Odśwież w Podglądzie zdarzeń (przycisk z dwiema zielonymi strzałkami), zobaczysz kilka wydarzeń w kategorii System plików. Dotyczą one wszelkich operacji usuwania, tworzenia, odczytywania, zapisywania folderów / plików, które kontrolujesz. W systemie Windows 7 wszystko teraz pojawia się w kategorii Zadania systemu plików, więc aby zobaczyć, co się stało, musisz kliknąć na każdy z nich i przewinąć go.

Aby ułatwić przeglądanie tak wielu wydarzeń, możesz umieścić filtr i po prostu zobaczyć ważne rzeczy. Kliknij na Widok menu u góry i kliknij Filtr. Jeśli nie ma opcji Filtruj, kliknij prawym przyciskiem myszy dziennik zabezpieczeń na lewej stronie i wybierz Filtruj bieżący dziennik. W polu Identyfikator zdarzenia wpisz numer 4656. Jest to zdarzenie związane z określonym użytkownikiem wykonującym a System plików działania i poda odpowiednie informacje bez konieczności przeglądania tysięcy wpisów.

Jeśli chcesz uzyskać więcej informacji o wydarzeniu, po prostu kliknij dwukrotnie, aby je wyświetlić.

To są informacje z powyższego ekranu:

Zażądano uchwytu obiektu.

Przedmiot:
Identyfikator zabezpieczeń: Aseem-Lenovo
Nazwa konta: Aseem
Domena konta: Aseem-Lenovo
Identyfikator logowania: 0x175a1

Obiekt:
Serwer obiektów: Bezpieczeństwo
Typ obiektu: Plik
Nazwa obiektu: C: Użytkownicy Temat Komputerufu Nowy dokument tekstowy.txt
ID uchwytu: 0x16a0

Przetwarzać informacje:
Identyfikator procesu: 0x820
Nazwa procesu: C: Windows explorer.exe

Informacje o żądaniu dostępu:
Identyfikator transakcji: 00000000-0000-0000-0000-000000000000
Dostęp: USUŃ
SYNCHRONIZOWAĆ
ReadAttributes

W powyższym przykładzie plik, nad którym pracował, to New Text Document.txt w folderze Tufu na moim pulpicie, a dostępy, o które prosiłem, to DELETE, a następnie SYNCHRONIZE. To, co tutaj zrobiłem, to usunięcie pliku. Oto kolejny przykład:

Typ obiektu: Plik
Nazwa obiektu: C: Użytkownicy Temat Komputerufu Adres Etykiety.docx
ID uchwytu: 0x178

Przetwarzać informacje:
Identyfikator procesu: 0x1008
Nazwa procesu: C: Program Files (x86) Microsoft Office Office14 WINWORD.EXE

Informacje o żądaniu dostępu:
Identyfikator transakcji: 00000000-0000-0000-0000-000000000000
Dostęp: READ_CONTROL
SYNCHRONIZOWAĆ
ReadData (lub ListDirectory)
WriteData (lub AddFile)
AppendData (lub AddSubdirectory lub CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
Atrybuty zapisu

Dostęp Powody: READ_CONTROL: Udzielone przez własność
SYNCHRONIZACJA: Przyznany przez D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Kiedy to czytasz, możesz zobaczyć, że uzyskałem dostęp do Labels.docx za pomocą programu WINWORD.EXE, a moje dostępy zawierały READ_CONTROL, a moim powodem dostępu był również READ_CONTROL. Zazwyczaj zobaczysz więcej dostępów, ale skup się na pierwszym, ponieważ jest to zazwyczaj główny typ dostępu. W tym przypadku po prostu otworzyłem plik za pomocą programu Word. Zajmuje trochę testowania i czytania wydarzeń, aby zrozumieć, co się dzieje, ale kiedy już go pozbędziesz, jest to bardzo niezawodny system. Proponuję utworzyć folder testowy z plikami i wykonać różne działania, aby zobaczyć, co pojawia się w Podglądzie zdarzeń.

To tyle! Szybki i darmowy sposób śledzenia dostępu lub zmian w folderze!