Cara Mengesan Apabila Seseorang mengakses Folder pada Komputer Anda

Terdapat ciri kecil yang bagus yang dibina ke dalam Windows yang membolehkan anda mengesan apabila seseorang melihat, mengedit, atau memadamkan sesuatu di dalam folder tertentu. Jadi jika ada folder atau fail yang anda ingin tahu siapa yang mengakses, maka inilah kaedah terbina dalam tanpa menggunakan perisian pihak ketiga.

Ciri ini sebenarnya sebahagian daripada ciri keselamatan Windows yang dipanggil Dasar Kumpulan, yang digunakan oleh kebanyakan IT Profesional yang menguruskan komputer dalam rangkaian korporat melalui pelayan, namun, ia juga boleh digunakan secara tempatan pada PC tanpa pelayan apa pun. Satu-satunya kelemahan untuk menggunakan Polisi Kumpulan ialah ia tidak terdapat dalam versi Windows yang lebih rendah. Untuk Windows 7, anda perlu mempunyai Windows 7 Professional atau lebih tinggi. Untuk Windows 8, anda memerlukan Pro atau Enterprise.

Istilah Dasar Kumpulan pada dasarnya merujuk kepada satu set tetapan pendaftaran yang boleh dikawal melalui antara muka pengguna grafik. Anda mendayakan atau menyahdayakan pelbagai tetapan dan pengeditan ini kemudian dikemas kini dalam registri Windows.

Di Windows XP, untuk sampai ke editor dasar, klik pada Mulakan dan kemudian Jalankan. Dalam kotak teks, ketik "gpedit.msc"Tanpa petikan seperti yang ditunjukkan di bawah:

Di Windows 7, anda akan klik pada butang Start dan ketik gpedit.msc ke dalam kotak carian di bahagian bawah Menu Mula. Di Windows 8, pergi ke Skrin Mula dan mula menaip atau gerakkan kursor tetikus anda ke bahagian atas atau bawah kanan skrin untuk membuka Azimat bar dan klik pada Carian. Kemudian masukkan sahaja gpedit. Kini anda perlu melihat sesuatu yang serupa dengan imej di bawah:

Terdapat dua kategori dasar utama: Pengguna dan Komputer. Seperti yang mungkin anda fikirkan, dasar pengguna mengawal tetapan untuk setiap pengguna manakala tetapan komputer akan menjadi tetapan sistem yang luas dan akan memberi kesan kepada semua pengguna. Dalam kes kami, kami mahu tetapan kami untuk semua pengguna, jadi kami akan mengembangkannya Konfigurasi Komputer seksyen.

Teruskan berkembang untuk Tetapan Windows -> Tetapan Keselamatan -> Dasar Tempatan -> Dasar Audit. Saya tidak akan menerangkan banyak tetapan lain di sini kerana ini terutamanya tertumpu pada mengaudit folder. Sekarang anda akan melihat satu set dasar dan tetapan semasa mereka di sebelah kanan. Dasar audit ialah apa yang mengawal sama ada sistem operasi dikonfigurasi dan bersedia untuk mengesan perubahan.

Sekarang periksa tetapan untuk Akses Objek Audit dengan mengklik dua kali dan memilih kedua-duanya Kejayaan dan Kegagalan. Klik OK dan kini kami selesai bahagian pertama yang memberitahu Windows bahawa kami mahu ia bersedia untuk memantau perubahan. Sekarang langkah seterusnya adalah untuk memberitahu apa yang TETAPI kita mahu menjejaki. Anda boleh menutup konsol Dasar Kumpulan sekarang.

Sekarang arahkan ke folder menggunakan Windows Explorer yang anda mahu memantau. Di Explorer, klik kanan pada folder dan klik Hartanah. Klik pada Tab Keselamatan dan anda melihat sesuatu yang serupa dengan ini:

Sekarang klik pada Advanced butang dan klik pada Pengauditan tab. Di sinilah kita akan mengkonfigurasikan apa yang kita mahu memantau folder ini.

Teruskan dan klik Tambah butang. Dialog akan muncul meminta anda memilih Pengguna atau Kumpulan. Dalam kotak, taip perkataan "pengguna"Dan klik Semak Nama. Kotak ini akan dikemas kini secara automatik dengan nama kumpulan pengguna setempat untuk komputer anda dalam bentuk COMPUTERNAME \ Users.

Klik OK dan kini anda akan mendapat dialog lain yang dipanggil "Kemasukan Audit untuk X". Ini adalah daging sebenar yang kita mahu lakukan. Di sinilah anda akan memilih apa yang anda ingin tonton untuk folder ini. Anda boleh memilih jenis aktiviti yang ingin anda jejaki, seperti memadam atau membuat fail / folder baru, dan sebagainya. Untuk membuat perkara lebih mudah, saya cadangkan memilih Kendali Penuh, yang secara automatik akan memilih semua pilihan lain di bawahnya. Lakukan ini Kejayaan dan Kegagalan. Dengan cara ini, apa sahaja yang dilakukan pada folder itu atau fail di dalamnya, anda akan mempunyai rekod.

Sekarang klik OK dan klik OK sekali lagi dan OK sekali lagi untuk keluar daripada set kotak dialog berganda. Dan sekarang anda telah berjaya mengaudit pengauditan pada folder! Jadi anda mungkin bertanya, bagaimana anda melihat peristiwa itu?

Untuk melihat peristiwa, anda perlu pergi ke Panel Kawalan dan klik pada Alat Pentadbiran. Kemudian buka Penonton Acara. Klik pada Keselamatan seksyen dan anda akan melihat penyenaraian besar peristiwa di sebelah kanan:

Jika anda pergi ke hadapan dan buat fail atau buka folder dan klik butang Refresh di Event Viewer (butang dengan dua anak panah hijau), anda akan melihat sekumpulan peristiwa dalam kategori Sistem fail. Ini berkaitan dengan mana-mana memadam, mencipta, membaca, menulis operasi pada folder / fail yang anda sedang mengaudit. Di Windows 7, semuanya kini dipaparkan di bawah kategori tugas Sistem Fail, jadi untuk melihat apa yang berlaku, anda perlu klik pada setiap satu dan tatal ke dalamnya.

Untuk menjadikannya lebih mudah untuk melihat peristiwa yang begitu banyak, anda boleh meletakkan penapis dan hanya melihat perkara penting. Klik pada Lihat menu di bahagian atas dan klik pada Penapis. Jika tiada pilihan untuk Penapis, klik kanan pada Log keselamatan di sebelah kiri dan pilih Tap Log Semasa. Dalam kotak ID Peristiwa, masukkan nombor tersebut 4656. Ini adalah peristiwa yang berkaitan dengan pengguna tertentu yang melakukan a Sistem fail tindakan dan akan memberi anda maklumat yang relevan tanpa perlu melihat ribuan penyertaan.

Sekiranya anda ingin mendapatkan lebih banyak maklumat tentang sesuatu acara, klik dua kali untuk melihatnya.

Inilah maklumat dari skrin di atas:

Pemegang ke objek diminta.

Subjek:
ID keselamatan: Aseem-Lenovo \ Aseem
Nama Akaun: Aseem
Domain Akaun: Aseem-Lenovo
Logon ID: 0x175a1

Objek:
Pelayan Objek: Keselamatan
Jenis Objek: Fail
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID pemegang: 0x16a0

Maklumat Proses:
ID Proses: 0x820
Nama Proses: C: \ Windows \ explorer.exe

Maklumat Permintaan Akses:
ID Transaksi: 00000000-0000-0000-0000-000000000000
Akses: DELETE
SYNCHRONIZE
ReadAttributes

Dalam contoh di atas, fail yang dikerjakan ialah Text.txt Teks Teks dalam folder Tufu di desktop saya dan akses yang saya minta adalah DELETE diikuti oleh SYNCHRONIZE. Apa yang saya lakukan di sini ialah memadamkan fail. Berikut adalah contoh lain:

Jenis Objek: Fail
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID pemegang: 0x178

Maklumat Proses:
ID Proses: 0x1008
Nama Proses: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Maklumat Permintaan Akses:
ID Transaksi: 00000000-0000-0000-0000-000000000000
Akses: READ_CONTROL
SYNCHRONIZE
ReadData (atau ListDirectory)
WriteData (atau AddFile)
AppendData (atau AddSubdirectory atau CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Alasan Akses: READ_CONTROL: Diberikan oleh Kepemilikan
SYNCHRONIZE: Diberikan oleh D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Semasa anda membaca ini, anda dapat melihat saya menggunakan Labels Labels.docx menggunakan program WINWORD.EXE dan akses saya termasuk READ_CONTROL dan sebab akses saya juga READ_CONTROL. Biasanya, anda akan melihat sekumpulan akses yang lebih banyak, tetapi hanya memberi tumpuan kepada yang pertama kerana itu biasanya jenis utama akses. Dalam kes ini, saya hanya membuka fail menggunakan Word. Ia mengambil sedikit ujian dan membaca peristiwa-peristiwa untuk memahami apa yang sedang berlaku, tetapi apabila anda memilikinya, sistem ini sangat dipercayai. Saya cadangkan mencipta folder ujian dengan fail dan melakukan pelbagai tindakan untuk melihat apa yang muncul di Event Viewer.

Itu cukup banyak! Cara yang cepat dan bebas untuk mengesan akses atau perubahan kepada folder!