Există o caracteristică minuțioasă încorporată în Windows, care vă permite să urmăriți când cineva vizualizează, editează sau șterge ceva în interiorul unui dosar specificat. Deci, dacă există un dosar sau un fișier pe care doriți să știți cine accesează, atunci aceasta este metoda încorporată fără a fi necesar să utilizați software terță parte.
Această caracteristică face de fapt parte dintr-o funcție de securitate Windows numită Politica de grup, care este utilizat de majoritatea profesioniștilor IT care administrează computerele în rețeaua corporativă prin servere, cu toate acestea, poate fi folosit și pe un PC fără servere. Singurul dezavantaj al utilizării politicii de grup este că nu este disponibil în versiunile mai mici ale Windows. Pentru Windows 7, trebuie să aveți Windows 7 Professional sau o versiune superioară. Pentru Windows 8, aveți nevoie de Pro sau Enterprise.
Termenul de politică de grup se referă în principal la un set de setări de registry care pot fi controlate printr-o interfață grafică de utilizator. Activează sau dezactivează diverse setări, iar aceste modificări sunt apoi actualizate în registrul Windows.
În Windows XP, pentru a ajunge la editorul de politici, faceți clic pe start și apoi Alerga. În caseta de text, tastați "gpedit.msc"Fără citatele de mai jos:
În Windows 7, faceți clic pe butonul Start și tastați gpedit.msc în caseta de căutare din partea de jos a meniului Start. În Windows 8, pur și simplu mergeți la ecranul de pornire și începeți să introduceți sau să mutați cursorul mouse-ului pe extrema sau partea de jos dreapta a ecranului pentru a deschide nuri bara și faceți clic pe Căutare. Apoi introduceți gpedit. Acum ar trebui să vedeți ceva similar cu imaginea de mai jos:
Există două categorii principale de politici: Utilizator și Calculator. După cum probabil ați ghicit, politicile de utilizator controlează setările pentru fiecare utilizator, în timp ce setările computerului vor fi setări la nivel de sistem și vor afecta toți utilizatorii. În cazul nostru, vom dori ca setarea noastră să fie pentru toți utilizatorii, așa că vom extinde Configurarea calculatorului secțiune.
Continuați extinderea la Setări Windows -> Setări de securitate -> Politici locale -> Politica de audit. Nu voi explica multe dintre celelalte setări aici, deoarece aceasta se concentrează în primul rând pe auditarea unui dosar. Acum veți vedea un set de politici și setările lor curente în partea dreaptă. Politica de audit este ceea ce controlează dacă sistemul de operare este sau nu configurat și gata pentru a urmări modificările.
Acum verificați setarea pentru Accesul obiectului de audit dând dublu clic pe el și selectând ambele Succes și eșec. Faceți clic pe OK și acum am terminat prima parte, care spune Windows că dorim să fie gata să monitorizeze schimbările. Acum, următorul pas este să-i spunem exact ceea ce vrem să urmărim. Acum puteți închide consola Politică de grup.
Acum, navigați la folder utilizând Windows Explorer pe care doriți să îl monitorizați. În Explorer, faceți clic dreapta pe dosar și faceți clic pe Proprietăți. Faceți clic pe Tab-ul de securitate și vedeți ceva similar cu acesta:
Acum faceți clic pe Avansat și faceți clic pe Audit tab. Aici vom configura exact ceea ce dorim să monitorizăm pentru acest dosar.
Mergeți mai departe și faceți clic pe Adăuga buton. Va apărea un dialog care vă cere să selectați un utilizator sau un grup. În casetă, introduceți cuvântul "utilizatori"Și faceți clic pe Verificați numele. Caseta se va actualiza automat cu numele grupului de utilizatori locali pentru computerul dvs. în formular \ Utilizatori.
Faceți clic pe OK și acum veți primi un alt dialog numit "Intrare în cont pentru X„. Aceasta este carnea reală a ceea ce am vrut să facem. Aici veți selecta ce doriți să urmăriți pentru acest dosar. Puteți alege individual tipurile de activități pe care doriți să le urmăriți, cum ar fi ștergerea sau crearea de fișiere / foldere noi etc. Pentru a simplifica lucrurile, vă recomandăm să selectați Control complet, care va selecta automat toate celelalte opțiuni de sub ea. Faceți asta pentru Succes și eșec. În acest fel, orice se face cu dosarul respectiv sau cu fișierele din cadrul acestuia, veți avea o înregistrare.
Acum faceți clic pe OK și faceți clic pe OK din nou și pe OK încă o dată pentru a ieși din caseta de dialog multiplă setată. Și acum ați configurat auditul într-un dosar! Deci, puteți întreba, cum vedeți evenimentele?
Pentru a vedea evenimentele, trebuie să mergeți la Panoul de control și să faceți clic pe Instrumente administrative. Apoi deschideți Vizualizator de eveniment. Faceți clic pe Securitate secțiune și veți vedea o listă mare de evenimente din partea dreaptă:
Dacă mergeți mai departe și creați un fișier sau pur și simplu deschideți dosarul și faceți clic pe butonul Reîmprospătare din Vizualizatorul de evenimente (butonul cu cele două săgeți verzi), veți vedea o grămadă de evenimente din categoria Sistemul de fișiere. Acestea se referă la orice operațiuni de ștergere, creare, citire și scriere a dosarelor / fișierelor pe care le faceți. În Windows 7, totul se afișează acum sub categoria de sarcini Sistem de fișiere, așa că pentru a vedea ce sa întâmplat, va trebui să faceți clic pe fiecare dintre acestea și să le parcurgeți.
Pentru a face mai ușor să se uite prin atât de multe evenimente, puteți pune un filtru și puteți vedea lucrurile importante. Faceți clic pe Vedere meniul din partea de sus și faceți clic pe Filtru. Dacă nu există opțiune pentru Filtru, faceți clic dreapta pe jurnalul de securitate din pagina din stânga și alegeți Filtrați jurnalul curent. În caseta ID eveniment, introduceți numărul 4656. Acesta este evenimentul asociat unui anumit utilizator care efectuează o Sistemul de fișiereacțiune și vă va oferi informațiile relevante fără a trebui să vă uitați prin mii de intrări.
Dacă doriți să obțineți mai multe informații despre un eveniment, faceți dublu clic pe el pentru a vedea.
Acestea sunt informațiile din ecranul de mai sus:
A fost cerut un mâner pentru un obiect.
Subiect:
ID de securitate: Aseem-Lenovo \ Aseem
Nume cont: Aseem
Domeniu cont: Aseem-Lenovo
ID-ul de conectare: 0x175a1
Obiect:
Obiect Server: Securitate
Tipul obiectului: Fișier
Numele obiectului: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID mâner: 0x16a0
Informații despre proces:
ID de proces: 0x820
Nume proces: C: \ Windows \ explorer.exe
Acces Cerere de informații:
ID-ul tranzacției: 00000000-0000-0000-0000-000000000000
Acceseaza: DELETE
SINCRONIZA
ReadAttributes
În exemplul de mai sus, fișierul lucrat a fost New Text Document.txt în dosarul Tufu de pe desktop-ul meu, iar accesările pe care le-am solicitat au fost DELETE urmate de SYNCHRONIZE. Ceea ce am făcut aici a fost ștergerea fișierului. Iată un alt exemplu:
Tipul obiectului: Fișier
Numele obiectului: C: \ Users \ Aseem \ Desktop \ Tufu \ Adresa etichete.docx
ID mâner: 0x178
Informații despre proces:
ID de proces: 0x1008
Numele procesului: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Acces Cerere de informații:
ID-ul tranzacției: 00000000-0000-0000-0000-000000000000
Accesează: READ_CONTROL
SINCRONIZA
ReadData (sau ListDirectory)
WriteData (sau AddFile)
AppendData (sau AddSubdirectory sau CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Motive de acces: READ_CONTROL: acordat prin proprietate
SINCHRONIZĂ: acordată de D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Pe măsură ce ați citit acest lucru, puteți vedea că am accesat etichetele de adrese.docx utilizând programul WINWORD.EXE, iar accesul meu a inclus READ_CONTROL, iar motivele mele de acces au fost, de asemenea, READ_CONTROL. De obicei, veți vedea o grămadă de acces, dar trebuie doar să vă concentrați pe primul, deoarece de obicei este tipul principal de acces. În acest caz, am deschis pur și simplu fișierul folosind Word. Este nevoie de puțină testare și citire a evenimentelor pentru a înțelege ce se întâmplă, dar odată ce o elimini, este un sistem foarte fiabil. Vă sugerăm să creați un dosar de testare cu fișiere și să efectuați diferite acțiuni pentru a vedea ce se întâmplă în Vizualizatorul de evenimente.
Cam asta e tot! O modalitate rapidă și gratuită de a urmări accesul sau modificările unui dosar!
