Existuje pěkná malá funkce zabudovaná do systému Windows, která umožňuje sledovat, když někdo prohlíží, upravuje nebo smaže něco uvnitř určité složky. Pokud tedy existuje složka nebo soubor, který chcete vědět, kdo má přístup, je to vestavěná metoda, aniž byste museli používat software od jiných výrobců.
Tato funkce je vlastně součástí bezpečnostní funkce systému Windows Zásady skupiny, které používají většina odborníků v oblasti IT, kteří spravují počítače v podnikové síti prostřednictvím serverů, ale mohou být také použity místně v počítači bez jakýchkoli serverů. Jediným nedostatkem použití zásad skupiny je, že není k dispozici v nižších verzích systému Windows. V systému Windows 7 potřebujete systém Windows 7 Professional nebo vyšší. V systému Windows 8 potřebujete Pro nebo Enterprise.
Pojem Zásady skupiny v podstatě odkazuje na sadu nastavení registru, které lze ovládat pomocí grafického uživatelského rozhraní. Povolíte nebo zakažte různá nastavení a tyto úpravy budou poté aktualizovány v registru systému Windows.
V systému Windows XP se k editoru zásad dostanete klepnutím na tlačítko Starta poté Spustit. Do textového pole zadejte "gpedit.msc" bez uvozovek uvedených níže:
, stačí kliknout na tlačítko Start a do vyhledávacího pole v dolní části nabídky Start zadejte text gpedit.msc. V systému Windows 8 jednoduše přejděte na obrazovku Start a začněte psát nebo přesuňte kurzor myši na horní nebo dolní pravý okraj obrazovky a otevřete lištu Charmsa klikněte na Vyhledat. Pak zadejte gpedit. Nyní byste měli vidět něco podobného obrázku níže:
Existují dvě hlavní kategorie zásad: Usera Počítač. Jak jste si možná uvědomili, uživatelské zásady řídí nastavení pro každého uživatele, zatímco nastavení počítače budou nastaveno na celé zařízení a budou mít vliv na všechny uživatele. V našem případě budeme chtít, aby naše nastavení bylo pro všechny uživatele, takže rozbalíme sekci Konfigurace počítače.
Pokračujte v rozbalení na možnost Nastavení systému Windows - & gt; Nastavení zabezpečení - & gt; Místní zásady - & gt; Zásady auditu. Nebudu vysvětlovat mnoho dalších nastavení, jelikož je to primárně zaměřeno na audit složky. Nyní na pravé straně uvidíte soubor pravidel a jejich aktuální nastavení. Zásady auditu řídí, zda je operační systém nakonfigurován a připraven ke sledování změn.
Nyní zkontrolujte nastavení Audit Objektový přístupdvojitým kliknutím na něj a výběrem možnosti Úspěcha Selhání. Klepněte na tlačítko OK a nyní jsme hotovi první část, která říká Windows, že chceme, aby byla připravena sledovat změny. Nyní je dalším krokem říct, co přesně chceme sledovat. Nyní můžete zavřít konzolu Zásady skupiny.
Nyní můžete navigovat do složky pomocí Průzkumníka Windows, které chcete sledovat. V Průzkumníku klikněte pravým tlačítkem na složku a klikněte na Vlastnosti. Klikněte na kartu zabezpečenía uvidíte něco podobného:
Nyní klikněte na tlačítko Upřesnita klikněte na kartu Audit. To je místo, kde budeme skutečně konfigurovat, co chceme sledovat pro tuto složku.
Pokračujte a klikněte na tlačítko Přidat
Nyní klikněte na OK a znovu na OK a OK ještě jednou, abyste se dostali z více nastavených dialogových oken. A nyní jste úspěšně nakonfigurovali audit na složce! Takže se můžete zeptat, jak vidíte události?
Chcete-li zobrazit události, musíte jít do ovládacího panelu a kliknout na Nástroje pro správu. Poté otevřete Prohlížeč událostí. Klikněte na sekci Zabezpečenía na pravé straně se zobrazí velký seznam událostí:
Pokud budete pokračovat a vytvoříte soubor nebo jednoduše otevřete složku a kliknete na tlačítko Obnovit v Prohlížeči událostí (tlačítko se dvěma zelenými šipkami), uvidíte spoustu událostí v kategorii Systém souborů . Ty se týkají veškerých operací odstranění, vytváření, čtení a zápisu do souborů / souborů, které provádíte při auditování. V systému Windows 7 se vše nyní zobrazuje v kategorii úkolů systému souborů, takže abyste viděli, co se stalo, budete muset kliknout na každou z nich a procházet je.
Pro usnadnění podívejte se na tolik událostí, můžete dát filtr a prostě vidět důležité věci. Klikněte v horní části na nabídku Zobrazita klikněte na Filtr. Pokud není k dispozici možnost Filtr, klepněte pravým tlačítkem na protokol zabezpečení na levé straně a vyberte možnost Filtrovat aktuální protokol. Do pole ID události zadejte číslo 4656. Toto je událost spojená s konkrétním uživatelem, který provádí akci Souborový systém, a poskytne vám příslušné informace, aniž by musel hledat tisíce položek.
s>
Chcete-li získat další informace o události, jednoduše dvakrát klikněte na něj.
Toto jsou informace z výše uvedené obrazovky:
ID zabezpečení: Aseem-Lenovo \ Aseemem>
Název účtu: Aseem
Doména účtu: Aseem-Lenovo
Přihlašovací jméno: 0x175a1
Objekt:
Object Server: Zabezpečení
: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID zpracování: 0x16a0
ID procesu: 0x820
Název procesu: C: \ Windows \ explorer.exe
/ em>
ID transakce: {00000000-0000-0000-0000-000000000000}
Přístup: DELETE
SYNCHRONIZEReadAttributes
Ve výše uvedeném příkladu pracoval soubor na nové ploše Text Text.txt ve složce Tufu na pracovní ploše a přístupy, které jsem požadoval, SYNCHRONIZE. To, co jsem udělal, bylo odstranit soubor. Zde je další příklad:
Typ objektu: Soubor
Název objektu: C: \ Users \ Aseem \ Desktop \ Tufu \
ID zpracování: 0x178
Informace o procesu:
ID procesu: 0x1008>Název procesu: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informace o požadavku přístupu:
Transakce ID: {00000000-0000-0000-0000-000000000000}
Přístup: READ_CONTROL
SYNCHRONIZE
ReadData ListDirectory)WriteData (nebo AddFile)
AppendData (nebo AddSubdirectory nebo CreatePipeInstance)WriteEAWriteAttributes
WriteAttributesPřístupové důvody: READ_CONTROL:
SYNCHRONIZE: uděleno D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
To je docela hodně! Rychlý a bezplatný způsob sledování přístupu nebo změn složky!