Nyomon követés, ha valaki hozzáfér egy mappához a számítógépen

Van egy szép kis funkció a Windows-ban, amely lehetővé teszi, hogy nyomon követhesse, amikor valaki megnéz, módosít vagy töröl valamit egy adott mappában. Tehát, ha van olyan mappa vagy fájl, amelyről tudni akarja, hogy ki fér hozzá, akkor ez a beépített módszer anélkül, hogy harmadik féltől származó szoftvert kellene használnia.

Ez a szolgáltatás tulajdonképpen egy Windows biztonsági szolgáltatás része Csoportházirend, amelyet a legtöbb informatikai szakember használ, akik a vállalati hálózat számítógépeit kiszolgálókon keresztül kezelik, azonban helyileg is használható a számítógépen szerverek nélkül. A Csoportházirend használatának egyetlen hátránya, hogy nem érhető el a Windows alsó verzióiban. Windows 7 rendszerben Windows 7 Professional vagy újabb verzióra van szükség. Windows 8 esetén Pro vagy Enterprise szükséges.

A "Csoportházirend" kifejezés lényegében egy olyan regiszterbeállítási készletre vonatkozik, amely grafikus felhasználói felületen keresztül vezérelhető. Engedélyezi vagy letiltja a különböző beállításokat, és ezek a módosítások a Windows rendszerleíró adatbázisában frissülnek.

A Windows XP rendszerben kattintson a házirend-szerkesztőre Rajt és akkor Fuss. A szövegmezőbe írja be a „gpedit.msc"Az alábbi idézetek nélkül:

A Windows 7 rendszerben csak kattintson a Start gombra és írja be gpedit.msc a Start menü alján található keresőmezőbe. A Windows 8 rendszerben egyszerűen lépjen a Start képernyőre, és kezdje el gépelni, vagy mozgassa az egérmutatót a képernyő jobb felső vagy alsó sarkába, hogy megnyissa a Charms és kattintson a gombra Keresés. Ezután írja be gpedit. Most látnod kell valamit, ami hasonló az alábbi képhez:

A házirendek két fő kategóriája van: használó és Számítógép. Amint azt talán kitalálta, a felhasználói házirendek szabályozzák az egyes felhasználók beállításait, míg a számítógép beállításai a rendszer széles beállításai lesznek, és hatással lesznek minden felhasználóra. Esetünkben azt szeretnénk, hogy a beállításunk minden felhasználó számára legyen elérhető, így bővíteni fogjuk Számítógép konfigurálása szakasz.

Folytassa a bővítést A Windows beállításai -> Biztonsági beállítások -> Helyi politikák -> Audit politika. Nem fogom megmagyarázni a többi beállítást, mivel ez elsősorban egy mappa ellenőrzésére összpontosít. Most a jobb oldalon megjelenik a házirendek és azok aktuális beállításai. Az ellenőrzési irányelv azt szabályozza, hogy az operációs rendszer konfigurálva van-e, vagy készen áll a változások nyomon követésére.

Most ellenőrizze a beállítást Audit objektum hozzáférés a kettős kattintással és mindkettő kiválasztásával Siker és Hiba. Kattintson az OK gombra, és most megtettük az első részt, amely azt mondja a Windows-nak, hogy azt szeretnénk, hogy készen álljon a változások nyomon követésére. A következő lépés az, hogy elmondjuk, hogy pontosan mit akarunk követni. Most már bezárhatja a csoportházirend-konzolt.

Most navigáljon a mappába a Windows Intéző segítségével, amelyet figyelni szeretne. Az Explorerben kattintson jobb gombbal a mappára, majd kattintson a gombra Tulajdonságok. Kattintson a Biztonság fül és valami hasonlót látsz:

Most kattints a Fejlett gomb és kattintson a Könyvvizsgáló fület. Ez az a hely, ahol valójában beállítjuk, hogy mit szeretnénk figyelni a mappa számára.

Menj előre, és kattints a hozzáad gomb. Megjelenik egy párbeszédablak, amelyben felkéri a felhasználót vagy a csoportot. A mezőbe írja be a „felhasználókÉs kattintson a gombra Ellenőrizze a neveket. A mező automatikusan frissül a számítógép helyi felhasználói csoportjának nevével az űrlapon COMPUTERNAME \ Users.

Kattintson az OK gombra, és most újabb párbeszédablakot kap, melynek neve:Ellenőrzési bejegyzés az X-hez„. Ez az igazi hús, amit mi akartunk csinálni. Itt találja meg, hogy mit szeretne nézni a mappában. Egyedileg kiválaszthatja, hogy milyen típusú tevékenységeket kíván követni, például törölni vagy új fájlokat / mappákat létrehozni, stb. A dolgok megkönnyítése érdekében azt javaslom, hogy a Teljes vezérlés lehetőséget választja, amely automatikusan kiválasztja az összes többi opciót. Csináld ezt Siker és Hiba. Ily módon, bármit is csinálnak a mappában vagy a benne lévő fájlokban, akkor van egy rekordod.

Most kattintson az OK gombra, majd kattintson ismét az OK gombra, majd az OK gombra még egyszer, hogy kilépjen a több párbeszédablakból. És most sikeresen beállította a könyvvizsgálatot egy mappában! Tehát megkérdezheted, hogyan tekinted meg az eseményeket?

Az események megtekintéséhez meg kell menni a Vezérlőpultra, és kattintson a gombra Adminisztratív eszközök. Ezután nyissa ki a Eseménynapló. Kattintson a Biztonság szekció és a jobb oldalon látható események nagy listája látható:

Ha előre halad, és létrehoz egy fájlt, vagy egyszerűen megnyitja a mappát, és kattintson a Frissítés gombra az Eseménynaplóban (a gomb két zöld nyílával), egy csomó esemény jelenik meg a kategóriában. Fájlrendszer. Ezek a törlésre, létrehozásra, olvasásra és írási műveletekre vonatkoznak az ellenőrzött mappákon / fájlokon. A Windows 7 rendszerben minden most megjelenik a Fájlrendszer feladat kategóriában, így annak érdekében, hogy megnézhessük, mi történt, mindegyikre kell kattintania, és görgetnie kell rajta.

Annak érdekében, hogy megkönnyítsük az ilyen események áttekintését, szűrőt helyezhetsz és csak láthatod a fontos dolgokat. Kattintson a Kilátás a felső menüben kattintson a gombra Szűrő. Ha nincs lehetőség a Szűrőre, akkor kattintson a jobb gombbal a bal oldali oldal Biztonsági naplójára, majd válassza ki Az aktuális napló szűrése. Az Eseményazonosító mezőbe írja be a számot 4656. Ez az esemény egy adott felhasználóhoz kapcsolódik, aki a Fájlrendszer akciót, és megadja a vonatkozó információkat anélkül, hogy több ezer bejegyzést kellene néznie.

Ha több információt szeretne kapni egy eseményről, egyszerűen kattintson duplán a megtekintésre.

Ez az információ a fenti képernyőn:

Egy objektum fogantyúját kérték.

Tantárgy:
Biztonsági azonosító: Aseem-Lenovo
Fiók neve: Aseem
Fióktartomány: Aseem-Lenovo
Bejelentkezés: 0x175a1

Tárgy:
Objektumkiszolgáló: Biztonság
Objektum típusa: Fájl
Objektum neve: C: Felhasználók Aseem Desktopufu Új szöveg Document.txt
Fogantyú azonosítója: 0x16a0

Információ feldolgozása:
Folyamatazonosító: 0x820
Folyamat neve: C: Windows Explorer.exe

Hozzáférési kérelem adatai:
Tranzakcióazonosító: 00000000-0000-0000-0000-000000000000
Hozzáférések: DELETE
SYNCHRONISE
ReadAttributes

A fenti példában az asztalon lévő új dokumentum Document.txt volt a Tufu mappában, és a kért hozzáférések a DELETE, majd a SYNCHRONIZE. Amit itt tettem, töröltem a fájlt. Íme egy másik példa:

Objektum típusa: Fájl
Objektum neve: C: Felhasználók Aseem Desktopufu Cím Labels.docx
Fogantyú ID: 0x178

Információ feldolgozása:
Folyamatazonosító: 0x1008
Folyamat neve: C: Fájlok (x86) Microsoft Office Office14 WINWORD.EXE

Hozzáférési kérelem adatai:
Tranzakcióazonosító: 00000000-0000-0000-0000-000000000000
Hozzáférések: READ_CONTROL
SYNCHRONISE
ReadData (vagy ListDirectory)
WriteData (vagy AddFile)
Függelékadatok (vagy AddSubdirectory vagy CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Hozzáférési okok: READ_CONTROL: tulajdonjog által biztosított
SYNCHRONIZE: D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Ahogyan ezt olvasod, láthatod, hogy a WINWORD.EXE program segítségével hozzáférhettem a Cím Labels.docx-hez, és a hozzáférésem READ_CONTROL és a hozzáférési okom is READ_CONTROL volt. Általában egy csomó több hozzáférést fog látni, de csak az elsőre összpontosít, mivel ez általában a fő hozzáférés típusa. Ebben az esetben egyszerűen megnyitottam a fájlt a Word használatával. Ez egy kis tesztelés és olvasás az eseményeken keresztül, hogy megértsük, mi folyik itt, de ha egyszer leállt, ez egy nagyon megbízható rendszer. Azt javaslom, hogy tesztfájlokat hozzunk létre fájlokkal, és különböző műveleteket hajtsunk végre, hogy lássuk, mi jelenik meg az Eseménynaplóban.

Ez elég sok! Gyors és ingyenes módja annak, hogy nyomon követhesse a hozzáférést vagy a mappa módosítását!