כיצד לעקוב כאשר מישהו ניגש לתיקיה במחשב
יש תכונה קטנה ויפה מובנית בתוך Windows המאפשר לך לעקוב אחר כאשר מישהו מציג, עורך או מוחק משהו בתוך תיקייה מסוימת. אז אם יש תיקייה או קובץ שאתה רוצה לדעת מי ניגש, אז זה מובנה בשיטה מבלי להשתמש בתוכנה של צד שלישי.
תכונה זו היא למעשה חלק מתכונת אבטחה של Windows הנקראת מדיניות קבוצתית, אשר משמש את רוב מומחי IT המנהלים מחשבים ברשת החברה באמצעות שרתים, עם זאת, ניתן גם להשתמש בו באופן מקומי במחשב ללא שרתים. החיסרון היחיד לשימוש במדיניות קבוצתית הוא שהוא אינו זמין בגירסאות נמוכות יותר של Windows. עבור Windows 7, אתה צריך להיות Windows 7 Professional או גבוה יותר. עבור Windows 8, אתה צריך Pro או Enterprise.
המונח מדיניות קבוצתית מתייחס בעיקרו לקבוצת הגדרות הרישום שניתן לשלוט בהן באמצעות ממשק משתמש גרפי. באפשרותך להפעיל או להשבית הגדרות שונות ועריכות אלה מתעדכנות ברישום של Windows.
ב- Windows XP, כדי להגיע לעורך המדיניות, לחץ על התחל ואז רוץ. בתיבת הטקסט, הקלד "gpedit.msc"ללא המרכאות כפי שמוצג להלן:
ב- Windows 7, פשוט לחץ על לחצן התחל והקלד gpedit.msc לתוך תיבת החיפוש בחלק התחתון של תפריט התחלה. ב- Windows 8, פשוט ללכת למסך התחל ולהתחיל להקליד או להזיז את סמן העכבר על החלק העליון או התחתון התחתון של המסך כדי לפתוח את קסם בר ולחץ על לחפש. לאחר מכן פשוט להקליד gpedit. כעת תראה משהו הדומה לתמונה הבאה:
קיימות שתי קטגוריות עיקריות של מדיניות: משתמש ו מחשב. כפי שאפשר לנחש, מדיניות המשתמש שולטת בהגדרות עבור כל משתמש, בעוד שהגדרות המחשב יהיו הגדרות רחבות של המערכת וישפיעו על כל המשתמשים. במקרה שלנו נרצה שהגדרה זו תהיה עבור כל המשתמשים, לכן נרחיב את ההגדרה תצורת מחשב סעיף.
המשך להרחבה אל הגדרות Windows -> הגדרות אבטחה -> מדיניות מקומית -> מדיניות ביקורת. אני לא הולך להסביר הרבה הגדרות אחרות כאן מאז זה מתמקד בעיקר ביקורת על תיקייה. כעת תראה קבוצת מדיניות והגדרות נוכחיות בצד ימין. מדיניות הביקורת היא השולטת בין אם מערכת ההפעלה מוגדרת ומוכנה למעקב אחר שינויים.
עכשיו לבדוק את ההגדרה עבור גישה אובייקט ביקורת על ידי לחיצה כפולה על זה ובחירת שניהם הצלחה ו כישלון. לחץ על אישור ועכשיו אנחנו עושים את החלק הראשון אשר אומר Windows שאנחנו רוצים שזה יהיה מוכן לפקח על השינויים. עכשיו הצעד הבא הוא להגיד את זה בדיוק מה שאנחנו רוצים לעקוב. כעת תוכל לסגור את מסוף המדיניות הקבוצתית.
עכשיו לנווט אל התיקייה באמצעות סייר Windows שאתה רוצה לפקח. ב- Explorer, לחץ לחיצה ימנית על התיקיה ולחץ על נכסים. הקלק על ה הכרטיסייה אבטחה ואתה רואה משהו דומה לזה:
עכשיו לחץ על מתקדם לחץ על הלחצן ביקורת לשונית. זה המקום שבו נוכל למעשה להגדיר את מה שאנחנו רוצים לפקח על תיקייה זו.
לחץ על הוסף כפתור. תופיע תיבת דו-שיח שתבקש ממך לבחור משתמש או קבוצה. בתיבה, הקלד את המילה "משתמשים"ולחץ על בדוק שמות. התיבה תתעדכן אוטומטית עם השם של קבוצת המשתמשים המקומיים עבור המחשב שלך בטופס COMPUTERNAME \ Users.
לחץ על אישור ועכשיו תקבל שיח נוסף שנקרא "רישום ביקורת עבור X". זה הבשר האמיתי של מה שרצינו לעשות. כאן הוא המקום שבו אתה רוצה לבחור מה אתה רוצה לראות עבור תיקייה זו. באפשרותך לבחור באופן אינדיבידואלי את סוגי הפעילויות שברצונך לעקוב אחריהם, כגון מחיקה או יצירה של קבצים / תיקיות חדשים וכו '. כדי להקל עליך, אני מציע לבחור באפשרות שליטה מלאה, שתבחר באופן אוטומטי את כל האפשרויות האחרות שמתחתיה. האם זה עבור הצלחה ו כישלון. בדרך זו, מה נעשה לתיקיה או את הקבצים בתוכו, יהיה לך הרשומה.
עכשיו לחץ על אישור ולחץ על אישור שוב אישור פעם נוספת כדי לצאת מתוך תיבת הדו שיח מספר מוגדר. ועכשיו יש לך מוגדר בהצלחה ביקורת על תיקיה! אז אתה יכול לשאול, איך אתה רואה את האירועים?
כדי להציג את האירועים, אתה צריך ללכת ללוח הבקרה ולחץ על כלי ניהול. ואז לפתוח את צופה באירועים. הקלק על ה אבטחה ותראה רשימה גדולה של אירועים בצד ימין:
אם תמשיך ותיצור קובץ או פשוט תפתח את התיקייה ולחץ על הלחצן 'רענן' במציג האירועים (הלחצן עם שני החצים הירוקים), תראה חבורה של אירועים בקטגוריה של מערכת קבצים. אלה נוגעים לכל למחוק, ליצור, לקרוא, לכתוב פעולות על תיקיות / קבצים אתה מבקר. ב- Windows 7, הכל מופיע כעת תחת הקטגוריה משימה של מערכת קבצים, כך שכדי לראות מה קרה, יהיה עליך ללחוץ על כל אחד מהם ולגלול בו.
כדי להפוך את זה קל להסתכל דרך אירועים רבים כל כך, אתה יכול לשים מסנן ופשוט לראות את הדברים החשובים. הקלק על ה נוף בתפריט העליון ולחץ על מסנן. אם אין אפשרות לסנן, לחץ באמצעות לחצן העכבר הימני על יומן האבטחה בעמוד השמאלי ובחר יומן מסנן נוכחי. בתיבה Event ID, הקלד את המספר 4656. זהו האירוע המשויך למשתמש מסוים שמבצע א מערכת קבצים פעולה ייתן לך את המידע הרלוונטי מבלי להסתכל דרך אלפי ערכים.
אם אתה רוצה לקבל מידע נוסף על אירוע, פשוט לחץ לחיצה כפולה על זה כדי להציג.
זהו המידע מהמסך שלמעלה:
נדרשה ידית לאובייקט.
נושא:
מזהה אבטחה: Aseem-Lenovo \ Aseem
שם חשבון: אסים
תחום חשבון: Aseem-Lenovo
מזהה כניסה: 0x175a1
אובי you
שרת אובייקטים: אבטחה
סוג אובייקט: קובץ
שם עצם: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
מזהה ידית: 0x16a0
מידע על התהליך:
מזהה תהליך: 0x820
שם התהליך: C: \ Windows \ explorer.exe
פרטי בקשת גישה:
מזהה עסקה: 00000000-0000-0000-0000-000000000000
גישה: DELETE
סינכרוניזציה
קריאה
בדוגמה לעיל, הקובץ עבד על טקסט חדש Document.txt בתיקייה Tufu על שולחן העבודה שלי ואת הגישה שביקשתי היו DELETE ואחריו SYNCHRONIZE. מה שעשיתי כאן היה למחוק את הקובץ. הנה דוגמה נוספת:
סוג אובייקט: קובץ
שם עצם: C: \ Users \ Aseem \ Desktop \ Tufu \ Address.docx
מזהה ידית: 0x178
מידע על התהליך:
מזהה תהליך: 0x1008
שם התהליך: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
פרטי בקשת גישה:
מזהה עסקה: 00000000-0000-0000-0000-000000000000
כניסות: READ_CONTROL
סינכרוניזציה
ReadData (או ListDirectory)
WriteData (או AddFile)
AppendData (או AddSubdirectory או CreatePipeInstance)
קריאה
כתוב
קריאה
כתיבה
סיבות גישה: READ_CONTROL: ניתן על ידי בעלות
סינכרוניזציה: מוענק על ידי D: (A; מזהה; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
כפי שאתה קורא את זה, אתה יכול לראות אני לגשת Address.docx כתובת באמצעות תוכנית WINWORD.EXE וגישות שלי כללה READ_CONTROL ואת הסיבות שלי גישה היו גם READ_CONTROL. בדרך כלל, תראה חבורה יותר גישה, אבל רק להתמקד הראשון כמו זה בדרך כלל סוג העיקרי של גישה. במקרה זה, אני פשוט פתח את הקובץ באמצעות Word. זה לוקח קצת בדיקות וקריאה דרך האירועים כדי להבין מה קורה, אבל ברגע שיש לך את זה, זה מאוד אמין המערכת. אני מציע ליצור תיקיית בדיקה עם קבצים וביצוע פעולות שונות כדי לראות מה מופיע ב- Event Viewer.
זה די הרבה! דרך מהירה וחופשית למעקב אחר גישה או שינויים בתיקייה!
