Domovská » Windows XP » Jak sledovat, kdy někdo přistupuje ke složce v počítači

    Jak sledovat, kdy někdo přistupuje ke složce v počítači

    Ve Windows je pěkná malá funkce, která vám umožní sledovat, kdy někdo vidí, upraví nebo odstraní něco uvnitř zadané složky. Pokud tedy existuje složka nebo soubor, který chcete vědět, kdo přistupuje, jedná se o vestavěnou metodu, aniž byste museli používat software třetích stran..

    Tato funkce je ve skutečnosti součástí bezpečnostní funkce systému Windows Zásady skupiny, který je používán většinou IT profesionálů, kteří spravují počítače v podnikové síti přes servery, ale může být také používán lokálně na PC bez serverů. Jediná nevýhoda použití Zásady skupiny je, že není k dispozici v nižších verzích systému Windows. Pro Windows 7 musíte mít Windows 7 Professional nebo vyšší. Pro Windows 8 potřebujete Pro nebo Enterprise.

    Pojem Zásady skupiny se v zásadě týká sady nastavení registru, kterou lze ovládat pomocí grafického uživatelského rozhraní. Povolíte nebo zakážete různá nastavení a tyto úpravy se poté aktualizují v registru systému Windows.

    V systému Windows XP se k editoru zásad dostanete kliknutím Start a pak Běh. Do textového pole zadejte „gpedit.msc”Bez uvozovek, jak je uvedeno níže:

    Ve Windows 7 stačí kliknout na tlačítko Start a typ gpedit.msc do vyhledávacího pole v dolní části nabídky Start. V systému Windows 8 přejděte na úvodní obrazovku a začněte psát, nebo přesuňte kurzor myši na nejvzdálenější horní nebo dolní pravý okraj obrazovky. Charms a klikněte na Vyhledávání. Pak stačí zadat gpedit. Nyní byste měli vidět něco, co je podobné obrázku níže:

    Existují dvě hlavní kategorie politik: Uživatel a Počítač. Jak jste možná hádali, uživatelská pravidla řídí nastavení pro každého uživatele, zatímco nastavení počítače bude nastavení celého systému a bude mít vliv na všechny uživatele. V našem případě budeme chtít, aby naše nastavení bylo pro všechny uživatele Konfigurace počítače sekce.

    Pokračujte v rozšiřování na Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Zásady auditu. Nebudu zde vysvětlovat mnoho dalších nastavení, protože je to primárně zaměřeno na auditování složky. Nyní uvidíte sadu zásad a jejich aktuální nastavení na pravé straně. Zásady auditu určují, zda je operační systém nakonfigurován a připraven ke sledování změn.

    Nyní zkontrolujte nastavení Přístup k auditu objektů dvojitým kliknutím na něj a výběrem obou Úspěch a Selhání. Klepněte na tlačítko OK a nyní jsme dokončili první část, která říká systému Windows, že chceme, aby byla připravena sledovat změny. Dalším krokem je říct, co přesně chceme sledovat. Nyní můžete zavřít konzolu Zásady skupiny.

    Nyní přejděte do složky pomocí Průzkumníka Windows, kterou chcete sledovat. V Průzkumníku klepněte pravým tlačítkem myši na složku a klepněte na tlačítko OK Vlastnosti. Klikněte na tlačítko Karta Zabezpečení a vidíte něco podobného tomuto:

    Nyní klikněte na Pokročilý a klepněte na tlačítko Audit kartu. To je místo, kde budeme skutečně konfigurovat, co chceme sledovat pro tuto složku.

    Pokračujte a klepněte na tlačítko Přidat tlačítko. Zobrazí se dialogové okno s výzvou k výběru uživatele nebo skupiny. Do pole zadejte slovo „uživatelůA klepněte na tlačítko Zkontrolujte jména. Pole se automaticky aktualizuje s názvem skupiny místních uživatelů pro váš počítač ve formuláři Uživatelé.

    Klikněte na OK a dostanete další dialog s názvem „Záznam auditu pro X“. To je skutečné maso toho, co jsme chtěli udělat. Zde si vyberete, co chcete pro tuto složku sledovat. Můžete si individuálně vybrat, které typy aktivit chcete sledovat, například mazání nebo vytváření nových souborů / složek atd. Pro usnadnění práce doporučuji vybrat možnost Úplné ovládání, které automaticky vybere všechny ostatní možnosti pod ní. Udělej to Úspěch a Selhání. Tímto způsobem budete mít k dispozici cokoliv, co se v této složce nebo souborech v ní provádí.

    Nyní klepněte na tlačítko OK a znovu klepněte na tlačítko OK a OK ještě jednou, abyste se dostali z více dialogového okna. A nyní jste úspěšně nakonfigurovali auditování ve složce! Takže se můžete zeptat, jak si prohlížíte události?

    Chcete-li zobrazit události, musíte jít do Ovládacího panelu a kliknout na Administrativní nástroje. Pak otevřete Prohlížeč událostí. Klikněte na tlačítko Bezpečnostní sekce a na pravé straně uvidíte velký seznam událostí:

    Pokud budete pokračovat a vytvořit soubor nebo jednoduše otevřít složku a kliknout na tlačítko Obnovit v Prohlížeči událostí (tlačítko se dvěma zelenými šipkami), uvidíte skupinu událostí v kategorii Souborový systém. Jedná se o všechny operace mazání, vytváření, čtení, zápisu složek a souborů, které provádíte. V systému Windows 7 se vše nyní zobrazí v kategorii úkolů systému souborů, aby bylo možné zjistit, co se stalo, musíte na ně kliknout a procházet jej.

    Aby bylo snazší prohlédnout si tolik událostí, můžete dát filtr a vidět důležité věci. Klikněte na tlačítko Pohled nahoře a klikněte na Filtr. Není-li možnost Filtr k dispozici, klepněte pravým tlačítkem myši na protokol Zabezpečení na levé straně a vyberte možnost Filtrovat aktuální protokol. Do pole ID události zadejte číslo 4656. Toto je událost spojená s konkrétním uživatelem provádějícím a Souborový systém a poskytne vám příslušné informace, aniž byste museli nahlédnout do tisíců záznamů.

    Chcete-li získat více informací o události, dvojklikem ji zobrazíte.

    Toto jsou informace z obrazovky výše:

    Byl požadován popisovač objektu.

    Předmět:
    ID zabezpečení: Aseem-Lenovo
    Název účtu: Aseem
    Doména účtu: Aseem-Lenovo
    ID přihlášení: 0x175a1

    Objekt:
    Objektový server: Zabezpečení
    Typ objektu: Soubor
    Název objektu: C: Uživatelé IDE Webové stránky Nové Text Document.txt
    ID popisovače: 0x16a0

    Zpracovávat informace:
    ID procesu: 0x820
    Název procesu: C: Windows explorer.exe

    Informace o požadavku na přístup:
    ID transakce: 00000000-0000-0000-0000-000000000000
    Přístupy: DELETE
    SYNCHRONIZOVAT
    ReadAttributes

    Ve výše uvedeném příkladu byl soubor, na kterém pracoval, nový text Document.txt ve složce Tufu na ploše a přístupy, které jsem požadoval, byly DELETE následované SYNCHRONIZE. To, co jsem zde udělal, bylo smazání souboru. Zde je další příklad:

    Typ objektu: Soubor
    Název objektu: C: Uživatelé Semeno Domovská stránka Soubory Label.docx
    ID popisovače: 0x178

    Zpracovávat informace:
    ID procesu: 0x1008
    Název procesu: C: Program Files (x86) Microsoft Office 14 WINWORD.EXE

    Informace o požadavku na přístup:
    ID transakce: 00000000-0000-0000-0000-000000000000
    Přístupy: READ_CONTROL
    SYNCHRONIZOVAT
    ReadData (nebo seznamDirectory)
    WriteData (nebo AddFile)
    AppendData (nebo AddSubdirectory nebo CreatePipeInstance)
    ReadEA
    WriteEA
    ReadAttributes
    WriteAttributes

    Důvody přístupu: READ_CONTROL: Poskytnuto vlastnictvím
    SYNCHRONIZE: Poskytuje D: (A; ID; FA ;; S-1-5-21-597862309-2018615179-2090787082-1000)

    Jak jste si to přečetli, můžete vidět, že jsem přistupoval k programu Address Labels.docx pomocí programu WINWORD.EXE a moje přístupy zahrnovaly READ_CONTROL a mé důvody přístupu byly také READ_CONTROL. Obvykle uvidíte spoustu dalších přístupů, ale zaměřte se pouze na první, protože to je obvykle hlavní typ přístupu. V tomto případě jsem jednoduše otevřel soubor pomocí aplikace Word. To trvá trochu testování a čtení přes události pochopit, co se děje, ale jakmile si to dolů, je to velmi spolehlivý systém. Navrhuji vytvořit testovací složku se soubory a provádět různé akce, abyste zjistili, co se zobrazuje v prohlížeči událostí.

    To je skoro všechno! Rychlý a bezplatný způsob sledování přístupu nebo změn ve složce!