В Windows има хубава малка функция, която ви позволява да проследявате, когато някой визуализира, редактира или изтрива нещо вътре в определена папка. Така че, ако има папка или файл, който искате да знаете кой има достъп, тогава това е вграденият метод, без да се налага да използвате софтуер на трета страна.
Тази функция всъщност е част от функцията за защита на Windows, наречена Групова политика, който се използва от повечето ИТ специалисти, които управляват компютри в корпоративната мрежа чрез сървъри, но може да се използва и на компютъра без сървъри. Единственият недостатък при използването на групови правила е, че не е налице в по-ниските версии на Windows. За Windows 7 трябва да имате Windows 7 Professional или по-нова версия. За Windows 8 имате нужда от Pro или Enterprise.
Понятието групова политика основно се отнася до набор настройки на системния регистър, който може да се управлява чрез графичен потребителски интерфейс. Активирате или деактивирате различни настройки и тези редакции се актуализират в системния регистър на Windows.
В Windows XP, за да стигнете до редактора на правила, кликнете върху начало и тогава тичам, В текстовото поле въведете "gpedit.msc"Без кавичките, както е показано по-долу:
В Windows 7 просто щракнете върху бутона Старт и въведете gpedit.msc в полето за търсене в долната част на менюто "Старт". В Windows 8 просто отидете в началния екран и започнете да пишете или премествате курсора на мишката до най-горната или долната дясна част на екрана, за да отворите сексапил бар и кликнете върху Търсене, Тогава просто въведете gpedit, Сега трябва да видите нещо, което е подобно на изображението по-долу:
Има две основни категории политики: потребител и компютър, Както вероятно сте предположили, потребителските правила контролират настройките за всеки потребител, докато настройките на компютъра ще бъдат настройки за цялата система и ще се отразят на всички потребители. В нашия случай ще искаме нашата настройка да бъде за всички потребители, така че ще разширим Компютърна конфигурация секция.
Продължаване на разширяването до Настройки на Windows -> Настройки за сигурност -> Местни правила -> Правила за одит, Няма да обясня много от другите настройки тук, тъй като това е насочено главно към одита на папка. Сега ще видите набор от правила и техните текущи настройки от дясната страна. Правилата за одит контролират дали операционната система е конфигурирана и е готова да проследява промените.
Сега проверете настройката за Достъп до обекта на одита като кликнете два пъти върху него и изберете двете успех и неуспех, Кликнете върху OK и сега сме готови първата част, която казва на Windows, че искаме тя да е готова да следи промените. Сега следващата стъпка е да му кажа какво точно искаме да проследим. Сега можете да затворите от конзолата за групови правила.
Сега се придвижете до папката с помощта на Windows Explorer, която искате да наблюдавате. В Explorer кликнете с десния бутон върху папката и кликнете върху нея Имоти, Кликнете върху Раздел "Защита" и виждате нещо подобно на това:
Сега кликнете върху напреднал и щракнете върху бутона одит раздел. Тук ще конфигурираме това, което искаме да наблюдаваме за тази папка.
Отидете напред и кликнете върху Добави бутон. Ще се покаже диалог, който ви моли да изберете потребител или група. В полето въведете думата "потребители"И кликнете Проверете имената, Това поле автоматично ще се актуализира с името на местната група потребители за вашия компютър във формата Име_на_компютъра \ Users.
Кликнете върху OK и сега ще получите друг диалогов прозорец, наречен "Одит за влизане в X". Това е истинското месо на това, което искаме да направим. Ето къде ще изберете какво искате да гледате за тази папка. Можете да изберете поотделно тия дейности, които искате да проследявате, като например изтриване или създаване на нови файлове или папки и т.н. За да направите това по-лесно, предлагам да изберете Full Control, което автоматично ще избере всички други опции под него. Направете това за успех и неуспех, По този начин, каквото и да е направено за тази папка или за файловете в нея, ще имате запис.
Сега кликнете върху OK и отново върху OK и OK още веднъж, за да излезете от множеството диалогови прозорци. И сега успешно сте конфигурирали одита на папка! Затова може да попитате как виждате събитията?
За да видите събитията, трябва да отидете в контролния панел и да кликнете върху него Административни пособия, След това отворете Преглед на събития, Кликнете върху Сигурност и ще видите голям списък от събития от дясната страна:
Ако продължите и създадете файл или просто отворете папката и кликнете върху бутона Обновяване в инструмента за разглеждане на събития (бутона с две зелени стрелки), ще видите множество събития в категорията Файлова система, Те се отнасят до всички операции за изтриване, създаване, четене и запис на папки / файлове, които извършвате. В Windows 7 всичко се показва под категорията задачи на файловата система, така че, за да видите какво се е случило, ще трябва да кликнете върху всеки един и да го превъртите.
За да улесните разглеждането на толкова много събития, можете да поставите филтър и просто да видите важните неща. Кликнете върху изглед менюто в горната част и кликнете върху него филтър, Ако няма опция за "Филтриране", щракнете с десния бутон върху регистрационния файл за сигурност в лявата страница и изберете Филтрирай текущия дневник, В полето Event ID въведете номера 4656, Това е събитие, свързано с конкретен потребител, изпълняващ a Файлова системадействие и ще ви даде съответната информация, без да се налага да разглеждате хиляди записи.
Ако искате да получите повече информация за дадено събитие, просто кликнете върху него, за да го видите.
Това е информацията от екрана по-горе:
Беше поискана дръжка на обект.
Предмет:
ID на сигурността: Aseem-Lenovo \ Aseem
Име на профила: Aseem
Домейн на профила: Aseem-Lenovo
Идент. № на регистрацията: 0x175a1
обект:
Обект сървър: Защита
Тип обект: Файл
Име на обекта: C: \ Users \ Aseem \ Desktop \ Tufu \ Нов текст Document.txt
Идентификатор на дръжката: 0x16a0
Информация за процеса:
Идент. № на процеса: 0x820
Име на процеса: C: \ Windows \ explorer.exe
Информация за заявката за достъп:
Идент. № на транзакция: 00000000-0000-0000-0000-000000000000
Достъп: ИЗТРИВАНЕ
синхронизирам
ReadAttributes
В горния пример файлът, върху който работи, е New Text Document.txt в папката Tufu на работния ми плот, а достъпът, който поисках бяха DELETE, последван от SYNCHRONIZE. Това, което направих тук, бе изтриването на файла. Ето още един пример:
Тип обект: Файл
Име на обекта: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Идентификатор на дръжката: 0x178
Информация за процеса:
ID на процеса: 0x1008
Име на процеса: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Информация за заявката за достъп:
Идент. № на транзакция: 00000000-0000-0000-0000-000000000000
Достъп: READ_CONTROL
синхронизирам
ReadData (или ListDirectory)
WriteData (или AddFile)
AppendData (или AddSubdirectory или CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Причини за достъп: READ_CONTROL: Предоставено от собствеността
СИНХРОНИЗА: Предоставено от D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Докато прочетете това, можете да видите, че съм осъществил достъп до адресните етикети.docx с помощта на програмата WINWORD.EXE, а достъпът ми включва READ_CONTROL и моите причини за достъп също бяха READ_CONTROL. Обикновено ще видите куп повече достъп, но само се съсредоточи върху първия, тъй като това обикновено е основният тип достъп. В този случай просто отворих файла с помощта на Word. Необходими са малко тестване и четене по време на събитията, за да разберете какво се случва, но след като сте го свалили, това е много надеждна система. Предлагам да създадете тестова папка с файлове и да изпълните различни действия, за да видите какво се показва в инструмента за разглеждане на събития.
Това е почти всичко! Бърз и безплатен начин за проследяване на достъпа или промени в папка!
