Jak sledovat, kdy někdo přistupuje ke složce v počítači


Existuje pěkná malá funkce zabudovaná do systému Windows, která umožňuje sledovat, když někdo prohlíží, upravuje nebo smaže něco uvnitř určité složky. Pokud tedy existuje složka nebo soubor, který chcete vědět, kdo má přístup, je to vestavěná metoda, aniž byste museli používat software od jiných výrobců.

Tato funkce je vlastně součástí bezpečnostní funkce systému Windows Zásady skupiny, které používají většina odborníků v oblasti IT, kteří spravují počítače v podnikové síti prostřednictvím serverů, ale mohou být také použity místně v počítači bez jakýchkoli serverů. Jediným nedostatkem použití zásad skupiny je, že není k dispozici v nižších verzích systému Windows. V systému Windows 7 potřebujete systém Windows 7 Professional nebo vyšší. V systému Windows 8 potřebujete Pro nebo Enterprise.

Pojem Zásady skupiny v podstatě odkazuje na sadu nastavení registru, které lze ovládat pomocí grafického uživatelského rozhraní. Povolíte nebo zakažte různá nastavení a tyto úpravy budou poté aktualizovány v registru systému Windows.

V systému Windows XP se k editoru zásad dostanete klepnutím na tlačítko Starta poté Spustit. Do textového pole zadejte "gpedit.msc" bez uvozovek uvedených níže:

run gpedit

, stačí kliknout na tlačítko Start a do vyhledávacího pole v dolní části nabídky Start zadejte text gpedit.msc. V systému Windows 8 jednoduše přejděte na obrazovku Start a začněte psát nebo přesuňte kurzor myši na horní nebo dolní pravý okraj obrazovky a otevřete lištu Charmsa klikněte na Vyhledat. Pak zadejte gpedit. Nyní byste měli vidět něco podobného obrázku níže:

group policy editor

Existují dvě hlavní kategorie zásad: Usera Počítač. Jak jste si možná uvědomili, uživatelské zásady řídí nastavení pro každého uživatele, zatímco nastavení počítače budou nastaveno na celé zařízení a budou mít vliv na všechny uživatele. V našem případě budeme chtít, aby naše nastavení bylo pro všechny uživatele, takže rozbalíme sekci Konfigurace počítače.

Pokračujte v rozbalení na možnost Nastavení systému Windows - & gt; Nastavení zabezpečení - & gt; Místní zásady - & gt; Zásady auditu. Nebudu vysvětlovat mnoho dalších nastavení, jelikož je to primárně zaměřeno na audit složky. Nyní na pravé straně uvidíte soubor pravidel a jejich aktuální nastavení. Zásady auditu řídí, zda je operační systém nakonfigurován a připraven ke sledování změn.

audit object access

Nyní zkontrolujte nastavení Audit Objektový přístupdvojitým kliknutím na něj a výběrem možnosti Úspěcha Selhání. Klepněte na tlačítko OK a nyní jsme hotovi první část, která říká Windows, že chceme, aby byla připravena sledovat změny. Nyní je dalším krokem říct, co přesně chceme sledovat. Nyní můžete zavřít konzolu Zásady skupiny.

Nyní můžete navigovat do složky pomocí Průzkumníka Windows, které chcete sledovat. V Průzkumníku klikněte pravým tlačítkem na složku a klikněte na Vlastnosti. Klikněte na kartu zabezpečenía uvidíte něco podobného:

explorer security tab

Nyní klikněte na tlačítko Upřesnita klikněte na kartu Audit. To je místo, kde budeme skutečně konfigurovat, co chceme sledovat pro tuto složku.

auditing tab windows

Pokračujte a klikněte na tlačítko Přidat tlačítko. Zobrazí se dialogové okno s výzvou k výběru uživatele nebo skupiny. Do pole zadejte slovo "uživatelé" a klikněte na možnost Zkontrolovat jména. Toto pole se automaticky aktualizuje s názvem skupiny místních uživatelů vašeho počítače ve formuláři COMPUTERNAME \ Users.

user group permissions

p>Klepněte na tlačítko OK a nyní získáte další dialog s názvem "Audit Entry for X". Toto je skutečné maso toho, co jsme chtěli dělat. Zde je místo, kde si vyberete, co chcete sledovat pro tuto složku. Můžete si vybrat, které typy aktivit chcete sledovat, například smazání nebo vytváření nových souborů nebo složek atd. Abyste to ulehčili, doporučuji vybrat možnost Úplné řízení, které automaticky vybere všechny další možnosti pod ní. Udělej to pro Úspěcha Selhání. Tímto způsobem, co se dělá s touto složkou nebo soubory v ní, budete mít záznam.

audit permissions explorer

Nyní klikněte na OK a znovu na OK a OK ještě jednou, abyste se dostali z více nastavených dialogových oken. A nyní jste úspěšně nakonfigurovali audit na složce! Takže se můžete zeptat, jak vidíte události?

Chcete-li zobrazit události, musíte jít do ovládacího panelu a kliknout na Nástroje pro správu. Poté otevřete Prohlížeč událostí. Klikněte na sekci Zabezpečenía na pravé straně se zobrazí velký seznam událostí:

event viewer security Pokud budete pokračovat a vytvoříte soubor nebo jednoduše otevřete složku a kliknete na tlačítko Obnovit v Prohlížeči událostí (tlačítko se dvěma zelenými šipkami), uvidíte spoustu událostí v kategorii Systém souborů . Ty se týkají veškerých operací odstranění, vytváření, čtení a zápisu do souborů / souborů, které provádíte při auditování. V systému Windows 7 se vše nyní zobrazuje v kategorii úkolů systému souborů, takže abyste viděli, co se stalo, budete muset kliknout na každou z nich a procházet je.

Pro usnadnění podívejte se na tolik událostí, můžete dát filtr a prostě vidět důležité věci. Klikněte v horní části na nabídku Zobrazita klikněte na Filtr. Pokud není k dispozici možnost Filtr, klepněte pravým tlačítkem na protokol zabezpečení na levé straně a vyberte možnost Filtrovat aktuální protokol. Do pole ID události zadejte číslo 4656. Toto je událost spojená s konkrétním uživatelem, který provádí akci Souborový systém, a poskytne vám příslušné informace, aniž by musel hledat tisíce položek.

s>

Chcete-li získat další informace o události, jednoduše dvakrát klikněte na něj.

Toto jsou informace z výše uvedené obrazovky:


ID zabezpečení: Aseem-Lenovo \ Aseemem>
Název účtu: Aseem
Doména účtu: Aseem-Lenovo
Přihlašovací jméno: 0x175a1

Objekt:
Object Server: Zabezpečení
: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID zpracování: 0x16a0
ID procesu: 0x820
Název procesu: C: \ Windows \ explorer.exe

/ em>
ID transakce: {00000000-0000-0000-0000-000000000000}
Přístup: DELETE
SYNCHRONIZEReadAttributes

Ve výše uvedeném příkladu pracoval soubor na nové ploše Text Text.txt ve složce Tufu na pracovní ploše a přístupy, které jsem požadoval, SYNCHRONIZE. To, co jsem udělal, bylo odstranit soubor. Zde je další příklad:

Typ objektu: Soubor
Název objektu: C: \ Users \ Aseem \ Desktop \ Tufu \
ID zpracování: 0x178

Informace o procesu:
ID procesu: 0x1008>Název procesu: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Informace o požadavku přístupu:
Transakce ID: {00000000-0000-0000-0000-000000000000}
Přístup: READ_CONTROL
SYNCHRONIZE
ReadData ListDirectory)WriteData (nebo AddFile)
AppendData (nebo AddSubdirectory nebo CreatePipeInstance)WriteEAWriteAttributes
WriteAttributesPřístupové důvody: READ_CONTROL:
SYNCHRONIZE: uděleno D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

p>Když si přečtete toto, můžete vidět, že jsem přistoupil k adresářovým štítkům.docx pomocí programu WINWORD.EXE am a moje přístupy zahrnovaly READ_CONTROL a moje přístupové důvody byly také READ_CONTROL. Obvykle se zobrazí spousta dalších přístupů, ale pouze se zaměřte na první, neboť to je obvykle hlavní typ přístupu. V tomto případě jsem jednoduše otevřel soubor pomocí aplikace Word. To dělá trochu testování a čtení událostí pochopit, co se děje, ale jakmile to máš, je to velmi spolehlivý systém. Navrhuji vytvořit testovací složku se soubory a provádět různé akce, abyste zjistili, co se v Prohlížeči událostí objeví.

To je docela hodně! Rychlý a bezplatný způsob sledování přístupu nebo změn složky!

Young Love: The Dean Gets Married / Jimmy and Janet Get Jobs / Maudine the Beauty Queen

Související příspěvky:


3.08.2014