Начална » Уиндоус експи » Как да проследяваме кога някой има достъп до папка на компютъра ви

    Как да проследяваме кога някой има достъп до папка на компютъра ви

    В Windows има хубава малка функция, която ви позволява да следите кога някой преглежда, редактира или изтрива нещо в определена папка. Така че, ако има папка или файл, който искате да знаете кой има достъп, това е вграденият метод, без да се налага използването на софтуер на трети страни..

    Тази функция всъщност е част от извикваната защитна функция на Windows Групови правила, който се използва от повечето ИТ специалисти, които управляват компютри в корпоративната мрежа чрез сървъри, обаче може да се използва и локално на компютър без сървъри. Единственият недостатък на използването на групови правила е, че той не е достъпен в по-ниски версии на Windows. За Windows 7 трябва да имате Windows 7 Professional или по-висока версия. За Windows 8 се нуждаете от Pro или Enterprise.

    Терминът групова политика основно се отнася до набор от настройки на системния регистър, които могат да бъдат контролирани чрез графичен потребителски интерфейс. Активирате или деактивирате различни настройки и тези редакции се актуализират в системния регистър на Windows.

    В Windows XP, за да стигнете до редактора на политики, щракнете върху начало и тогава тичам. В текстовото поле въведете „gpedit.msc"Без кавичките, както е показано по-долу:

    В Windows 7 просто щракнете върху бутона Старт и напишете gpedit.msc в полето за търсене в долната част на менюто "Старт". В Windows 8, просто отидете на началния екран и започнете да пишете или преместете курсора на мишката в най-горния или долния десен ъгъл на екрана, за да отворите сексапил и кликнете върху Търсене. Тогава просто напишете gpedit. Сега трябва да видите нещо подобно на изображението по-долу:

    Има две основни категории политики: потребител и компютър. Както може би се досещате, правилата на потребителите контролират настройките за всеки потребител, докато настройките на компютъра ще бъдат системни настройки и ще въздействат на всички потребители. В нашия случай ще искаме настройката ни да бъде за всички потребители, така че ще разширим Конфигурация на компютъра раздел.

    Продължете да разширявате до Настройки на Windows -> Настройки за защита -> Локални политики -> Правила за одит. Няма да обяснявам много други настройки тук, тъй като това е насочено предимно към одитиране на папка. Сега ще видите набор от правила и техните текущи настройки от дясната страна. Одитната политика е това, което контролира дали операционната система е конфигурирана или не и дали е готова за проследяване на промените.

    Сега проверете настройката за Достъп до обект за одит като кликнете два пъти върху него и изберете и двете успех и неуспех. Кликнете върху „OK“ и сега приключихме първата част, която казва на Windows, че искаме тя да е готова да следи промените. Следващата стъпка е да му кажете какво точно искаме да проследим. Сега можете да затворите конзолата за групови правила.

    Сега отидете в папката с помощта на Windows Explorer, която искате да наблюдавате. В Explorer, кликнете с десния бутон върху папката и кликнете върху Имоти. Кликнете върху Раздел Защита и виждате нещо подобно на това:

    Сега кликнете върху напреднал и кликнете върху одит раздел. Тук действително ще конфигурираме това, което искаме да наблюдаваме за тази папка.

    Продължете и кликнете върху Добави бутон. Ще се появи диалогов прозорец, който ще ви поиска да изберете потребител или група. В полето въведете думата „потребителиИ кликнете върху Проверете имената. Полето автоматично ще се актуализира с името на локалната група потребители за вашия компютър във формуляра Име_на_компютъра \ Users.

    Кликнете върху „OK“ и сега ще получите още един диалогов прозорец „“Въвеждане на одит за X". Това е истинското месо от това, което искаме да направим. Ето къде ще изберете това, което искате да гледате за тази папка. Можете индивидуално да изберете кои видове дейности искате да проследявате, като например изтриване или създаване на нови файлове / папки и т.н. За да направите нещата по-лесни, предлагам да изберете Пълен контрол, който автоматично ще избере всички други опции под него. Направете това за успех и неуспех. По този начин, каквото и да се прави с тази папка или файловете в нея, ще имате запис.

    Сега щракнете върху OK и натиснете OK отново и OK още веднъж, за да излезете от множеството на диалоговия прозорец. И сега успешно конфигурирахте одита в папка! Така че може да попитате, как виждате събитията?

    За да видите събитията, трябва да отидете в контролния панел и да кликнете върху Административни пособия. След това отворете Преглед на събития. Кликнете върху Сигурност ще видите голям списък от събития от дясната страна:

    Ако създадете файл или просто отворите папката и кликнете върху бутона Обнови в инструмента за преглед на събития (бутонът с двете зелени стрелки), ще видите куп събития в категорията Файлова система. Те се отнасят до операциите за изтриване, създаване, четене, писане на папки / файлове, които проверявате. В Windows 7 сега всичко се показва под категория Задачи на файловата система, така че за да видите какво се е случило, ще трябва да кликнете върху всяка от тях и да я прегледате.

    За да можете по-лесно да преглеждате толкова много събития, можете да поставите филтър и просто да видите важните неща. Кликнете върху изглед менюто в горната част и кликнете върху филтър. Ако няма опция за филтър, щракнете с десния бутон върху регистрационния файл за сигурност в лявата страница и изберете Филтриране на текущия дневник. В полето ID на събитието въведете номера 4656. Това е събитието, свързано с конкретен потребител, изпълняващ a Файлова система действие и ще ви даде съответната информация, без да се налага да преглеждате хиляди записи.

    Ако искате да получите повече информация за дадено събитие, просто кликнете два пъти върху него, за да го видите.

    Това е информацията от горния екран:

    Искаше се дръжка на обект.

    Предмет:
    Идент. № на сигурността: Aseem-Lenovo \ t
    Име на профила: Aseem
    Домейн на профила: Aseem-Lenovo
    ID за влизане: 0x175a1

    обект:
    Обектен сървър: Защита
    Тип на обекта: Файл
    Име на обект: C: Потребители Aseem Настолен компютър Oufu Нов текстов документ.txt
    ID на дръжката: 0x16a0

    Информация за процеса:
    ID на процеса: 0x820
    Име на процеса: C: Windows explorer.exe

    Информация за искане за достъп:
    Идентификационен номер на транзакцията: 00000000-0000-0000-0000-000000000000
    Достъп: DELETE
    синхронизирам
    ReadAttributes

    В примера по-горе, файлът, по който е работил, е New Text Document.txt в папката Tufu на моя работен плот и достъпът, който поисках, беше DELETE, последван от SYNCHRONIZE. Това, което направих тук, беше да изтрия файла. Ето още един пример:

    Тип на обекта: Файл
    Наименование на обекта: C: Потребители Aseem Desktop Eufu Адрес Labels.docx
    ID на дръжката: 0x178

    Информация за процеса:
    ID на процеса: 0x1008
    Име на процеса: C: Програмни файлове (x86) Microsoft Office Office14 WINWORD.EXE

    Информация за искане за достъп:
    Идентификационен номер на транзакцията: 00000000-0000-0000-0000-000000000000
    Достъп: READ_CONTROL
    синхронизирам
    ReadData (или ListDirectory)
    WriteData (или AddFile)
    AppendData (или AddSubdirectory или CreatePipeInstance)
    ReadEA
    WriteEA
    ReadAttributes
    WriteAttributes

    Причини за достъп: READ_CONTROL: Дадено от собственика
    СИНХРОНИЗАЦИЯ: Дадено от D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

    Докато четете това, можете да видите, че съм използвал адрес Labels.docx, използвайки програмата WINWORD.EXE, а достъпът ми е включвал READ_CONTROL, а причините ми за достъп бяха също READ_CONTROL. Обикновено ще видите много повече достъп, но просто се фокусирайте върху първия, тъй като това обикновено е основният тип достъп. В този случай просто отворих файла с Word. Необходимо е малко тестване и четене на събитията, за да се разбере какво се случва, но щом веднъж го спрете, това е много надеждна система. Предлагам да създадете тестова папка с файлове и да извършите различни действия, за да видите какво се показва в програмата за преглед на събития.

    Това е доста! Бърз и безплатен начин за проследяване на достъпа или промените в дадена папка!