If-Koubou

Jak śledzić, gdy ktoś uzyskuje dostęp do folderu na komputerze

Jak śledzić, gdy ktoś uzyskuje dostęp do folderu na komputerze (Windows XP)

W systemie Windows wbudowano niewielką funkcję, która pozwala śledzić, kiedy ktoś wyświetla, edytuje lub usuwa coś wewnątrz określonego folderu. Więc jeśli istnieje folder lub plik, który chcesz wiedzieć, kto uzyskuje dostęp, jest to wbudowana metoda bez konieczności korzystania z oprogramowania innych firm.

Ta funkcja jest częścią funkcji zabezpieczeń systemu Windows Zasady grupy, który jest używany przez większość specjalistów IT, którzy zarządzają komputerami w sieci firmowej za pośrednictwem serwerów, jednak może być również używany lokalnie na komputerze bez żadnych serwerów. Jedyną wadą korzystania z zasad grupy jest to, że nie jest ona dostępna w niższych wersjach systemu Windows. W systemie Windows 7 wymagany jest system Windows 7 Professional lub nowszy. W Windows 8 potrzebujesz Pro lub Enterprise.

Termin Zasady grupy zasadniczo odnosi się do zestawu ustawień rejestru, które można kontrolować za pomocą graficznego interfejsu użytkownika. Włącza się lub wyłącza różne ustawienia, a te zmiany są następnie aktualizowane w rejestrze systemu Windows.

W systemie Windows XP, aby przejść do edytora zasad, kliknij Początek i wtedy Biegać. W polu tekstowym wpisz "gpedit.msc"Bez cytatów, jak pokazano poniżej:

W Windows 7 wystarczy kliknąć przycisk Start i wpisać gpedit.msc w polu wyszukiwania u dołu menu Start. W Windows 8, po prostu przejdź do ekranu startowego i zacznij pisać lub przesuwaj kursor myszy w dalszą górę lub dół po prawej stronie ekranu, aby otworzyć Uroki pasek i kliknij Szukaj. Następnie wpisz gpedit. Teraz powinieneś zobaczyć coś, co jest podobne do obrazu poniżej:

Istnieją dwie główne kategorie zasad: Użytkownik i Komputer. Jak można się domyślić, zasady użytkownika kontrolują ustawienia dla każdego użytkownika, podczas gdy ustawienia komputera będą miały ustawienia systemowe i będą dotyczyć wszystkich użytkowników. W naszym przypadku będziemy chcieć, aby nasze ustawienie było dla wszystkich użytkowników, więc będziemy rozwijać konfiguracja komputera Sekcja.

Kontynuuj rozwijanie do Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Zasady kontroli. Nie wyjaśniam tu wiele innych ustawień, ponieważ koncentrują się głównie na audycie folderu. Teraz zobaczysz zestaw zasad i ich bieżące ustawienia po prawej stronie. Polityka kontroli określa, czy system operacyjny jest skonfigurowany i czy jest gotowy do śledzenia zmian.

Teraz sprawdź ustawienie dla Dostęp do obiektu kontroli przez podwójne kliknięcie i wybranie obu Powodzenie i Niepowodzenie. Kliknij przycisk OK, a my wykonaliśmy pierwszą część, która mówi systemowi Windows, że chcemy, aby był gotowy do monitorowania zmian. Teraz następnym krokiem jest powiedzieć, co dokładnie chcemy śledzić. Możesz teraz zamknąć konsolę zasad grupy.

Teraz przejdź do folderu przy użyciu Eksploratora Windows, który chcesz monitorować. W Eksploratorze kliknij prawym przyciskiem myszy folder i kliknij Nieruchomości. Kliknij na Karta Zabezpieczenia i widzisz coś podobnego do tego:

Teraz kliknij na zaawansowane i kliknij przycisk Audyt patka. Tutaj właśnie skonfigurujemy to, co chcemy monitorować dla tego folderu.

Śmiało i kliknij przycisk Dodaj przycisk. Pojawi się okno dialogowe z prośbą o wybranie użytkownika lub grupy. W polu wpisz słowo "użytkowników"I kliknij Sprawdź nazwy. Pole automatycznie zaktualizuje nazwę grupy użytkowników lokalnych na komputerze w formularzu COMPUTERNAME \ Users.

Kliknij OK, a teraz otrzymasz kolejne okno dialogowe o nazwie "Wpis audytu dla X". To jest prawdziwe mięso tego, co chcieliśmy zrobić. Tutaj możesz wybrać, co chcesz obejrzeć w tym folderze. Możesz indywidualnie wybrać, które typy aktywności chcesz śledzić, na przykład usunąć lub utworzyć nowe pliki / foldery itp. Aby ułatwić sobie pracę, sugeruję wybranie opcji Pełna kontrola, która automatycznie wybierze wszystkie pozostałe opcje poniżej. Zrób to dla Powodzenie i Niepowodzenie. W ten sposób, cokolwiek zostanie zrobione w tym folderze lub plikach w nim zawartych, będziesz miał rekord.

Teraz kliknij OK i kliknij OK jeszcze raz i jeszcze raz OK, aby wydostać się z zestawu wielu okien dialogowych. A teraz pomyślnie skonfigurowałeś inspekcję w folderze! Możesz zapytać, jak widzisz te wydarzenia?

Aby wyświetlić zdarzenia, musisz przejść do Panelu sterowania i kliknąć Narzędzia administracyjne. Następnie otwórz Podgląd zdarzeń. Kliknij na Bezpieczeństwo i zobaczysz dużą listę wydarzeń po prawej stronie:

Jeśli chcesz utworzyć plik lub po prostu otworzyć folder i kliknąć przycisk Odśwież w Podglądzie zdarzeń (przycisk z dwiema zielonymi strzałkami), zobaczysz kilka wydarzeń w kategorii System plików. Dotyczą one wszelkich operacji usuwania, tworzenia, odczytu i zapisu w kontrolowanych folderach / plikach. W systemie Windows 7 wszystko pojawia się teraz w kategorii Zadania systemu plików, więc aby zobaczyć, co się stało, należy kliknąć każdą z nich i przewinąć ją.

Aby ułatwić przeglądanie wielu wydarzeń, możesz umieścić filtr i zobaczyć tylko ważne rzeczy. Kliknij na Widok menu u góry i kliknij Filtr. Jeśli nie ma opcji dla Filtra, kliknij prawym przyciskiem myszy dziennik zabezpieczeń na stronie po lewej stronie i wybierz Filtruj bieżący dziennik. W polu Identyfikator zdarzenia wpisz numer 4656. Jest to zdarzenie związane z konkretnym użytkownikiem wykonującym System plikówdziałania i dostarczy odpowiednich informacji bez konieczności przeglądania tysięcy wpisów.

Jeśli chcesz uzyskać więcej informacji o wydarzeniu, kliknij go dwukrotnie, aby wyświetlić.

Oto informacje z powyższego ekranu:

Zażądano uchwytu do obiektu.

Przedmiot:
Identyfikator zabezpieczeń: Aseem-Lenovo \ Aseem
Nazwa konta: Aseem
Domena konta: Aseem-Lenovo
Identyfikator logowania: 0x175a1

Obiekt:
Serwer obiektów: bezpieczeństwo
Typ obiektu: plik
Nazwa obiektu: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
Identyfikator uchwytu: 0x16a0

Przetwarzać informacje:
ID procesu: 0x820
Nazwa procesu: C: \ Windows \ explorer.exe

Informacje o żądaniu dostępu:
Identyfikator transakcji: 00000000-0000-0000-0000-000000000000
Dostęp: DELETE
SYNCHRONIZOWAĆ
ReadAttributes

W powyższym przykładzie plik pracował nad plikiem New Text Document.txt w folderze Tufu na moim pulpicie, a dostęp, o który prosiłem, to DELETE, a następnie SYNCHRONIZE. To, co zrobiłem, to usunąć plik. Oto inny przykład:

Typ obiektu: plik
Nazwa obiektu: C: \ Users \ Aseem \ Desktop \ Tufu \ Etykiety adresowe.docx
Identyfikator uchwytu: 0x178

Przetwarzać informacje:
ID procesu: 0x1008
Nazwa procesu: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Informacje o żądaniu dostępu:
Identyfikator transakcji: 00000000-0000-0000-0000-000000000000
Dostęp: READ_CONTROL
SYNCHRONIZOWAĆ
ReadData (lub ListDirectory)
WriteData (lub AddFile)
AppendData (lub AddSubdirectory lub CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Przyczyny dostępu: READ_CONTROL: przyznane przez własność
SYNCHRONIZACJA: Udzielone przez D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Podczas czytania tego, zobaczysz, że odwiedziłem Adres Etykiety.docx przy użyciu programu WINWORD.EXE, a moje dostępy obejmowały READ_CONTROL, a moje powody dostępu były również READ_CONTROL. Zwykle zobaczysz kilka dodatkowych dostępów, ale skup się na pierwszym, ponieważ zwykle jest to główny typ dostępu. W tym przypadku po prostu otworzyłem plik przy użyciu programu Word. Wystarczy trochę przetestować i przeczytać zdarzenia, aby zrozumieć, co się dzieje, ale gdy już to zrobisz, jest to bardzo niezawodny system. Proponuję utworzyć folder testowy z plikami i wykonywać różne akcje, aby zobaczyć, co pokazuje się w Podglądzie zdarzeń.

To prawie wszystko! Szybki i darmowy sposób śledzenia dostępu lub zmian w folderze!