Sådan sporer du, når en person får adgang til en mappe på din computer
Der er en dejlig lille funktion indbygget i Windows, som giver dig mulighed for at spore, når nogen ser, redigerer eller sletter noget inde i en bestemt mappe. Så hvis der er en mappe eller fil, som du vil vide, hvem der har adgang til, så er det den indbyggede metode uden at skulle bruge tredjeparts software.
Denne funktion er faktisk en del af en Windows sikkerhedsfunktion kaldet Gruppepolitik, som bruges af de fleste it-fagfolk, der administrerer computere i virksomhedens netværk via servere, men det kan også bruges lokalt på en pc uden servere. Den eneste ulempe ved at bruge Gruppepolitik er, at den ikke er tilgængelig i lavere versioner af Windows. For Windows 7 skal du have Windows 7 Professional eller højere. For Windows 8 har du brug for Pro eller Enterprise.
Udtrykket Group Policy refererer i grunden til et sæt registreringsindstillinger, som kan styres via en grafisk brugergrænseflade. Du aktiverer eller deaktiverer forskellige indstillinger, og disse redigeringer opdateres derefter i Windows-registreringsdatabasen.
Klik på i Windows XP for at komme til politikredaktøren Start og så Løb. Skriv i tekstboksen "gpedit.msc"Uden citaterne som vist nedenfor:
I Windows 7 vil du blot klikke på knappen Start og skrive gpedit.msc i søgefeltet nederst på startmenuen. I Windows 8 skal du blot gå til startskærmen og begynde at skrive eller flytte musemarkøren til den øverste eller nederste højre side af skærmen for at åbne den Charms bar og klik på Søg. Skriv så bare ind gpedit. Nu skal du se noget der ligner billedet nedenfor:
Der er to hovedkategorier af politikker: Bruger og Computer. Som du måske har gættet, bruger brugerpolitikkerne indstillingerne for hver bruger, mens computerens indstillinger er systembreddeindstillinger og vil påvirke alle brugere. I vores tilfælde vil vi gerne have vores indstilling til alle brugere, så vi udvider Computer konfiguration afsnit.
Fortsæt med at udvide til Windows Indstillinger -> Sikkerhedsindstillinger -> Lokale politikker -> Revisionspolitik. Jeg kommer ikke til at forklare mange af de andre indstillinger her, da dette primært er fokuseret på revision af en mappe. Nu ser du et sæt politikker og deres aktuelle indstillinger på højre side. Revisionspolitik er, hvad der styrer, om operativsystemet er konfigureret og klar til at spore ændringer.
Kontroller nu indstillingen for Auditobjektadgang ved at dobbeltklikke på den og vælge begge Succes og Fiasko. Klik på OK, og nu er vi færdige med den første del, som fortæller Windows, at vi vil have den klar til at overvåge ændringer. Nu er det næste skridt at fortælle det, hvad vi ønsker at spore. Du kan nu lukke ud af gruppepolicy-konsollen.
Naviger nu til mappen ved hjælp af Windows Stifinder, som du gerne vil overvåge. I Explorer skal du højreklikke på mappen og klikke på Ejendomme. Klik på Fanebladet Sikkerhed og du ser noget der ligner dette:
Klik nu på Fremskreden knappen og klik på knappen Revision fane. Det er her, vi vil faktisk konfigurere det, vi vil overvåge for denne mappe.
Gå videre og klik på Tilføje knap. Der vises en dialogboks, der beder dig om at vælge en bruger eller gruppe. Skriv i ordet "brugere"Og klik Tjek navne. Kassen opdateres automatisk med navnet på den lokale brugergruppe til din computer i formularen Brugernavn \ brugere.
Klik på OK, og nu får du en anden dialog kaldet "Audit Entry for X”. Dette er det rigtige kød af det, vi har lyst til at gøre. Her er hvor du vælger, hvad du vil se efter denne mappe. Du kan individuelt vælge hvilke typer aktiviteter du vil spore, såsom sletning eller oprettelse af nye filer / mapper mv. For at gøre tingene nemmere foreslår jeg at vælge Fuld kontrol, som automatisk vælger alle de andre muligheder under den. Gør dette for Succes og Fiasko. På denne måde, hvad der sker til den mappe eller filerne i den, vil du have en rekord.
Klik nu OK, og klik OK igen og OK endnu en gang for at komme ud af dialogboksen med flere dialogbokse. Og nu har du succesfuldt konfigureret revision i en mappe! Så du kan spørge, hvordan kan du se begivenhederne?
For at se begivenhederne skal du gå til Kontrolpanel og klikke på Administrative værktøjer. Derefter åbner du Event Viewer. Klik på Sikkerhed sektion, og du får se en stor liste over begivenheder på højre side:
Hvis du går videre og opretter en fil eller blot åbner mappen og klikker på knappen Opdater i Event Viewer (knappen med de to grønne pile), vil du se en masse arrangementer i kategorien af Filsystem. Disse vedrører slette, oprette, læse og skrive operationer i de mapper / filer, du reviderer. I Windows 7 vises alt nu under File System-opgavekategori, så for at se, hvad der skete, skal du klikke på hver enkelt og rulle gennem det.
For at gøre det lettere at se igennem så mange begivenheder, kan du sætte et filter og bare se de vigtige ting. Klik på Udsigt menu øverst og klik på Filter. Hvis der ikke er mulighed for Filter, skal du højreklikke på sikkerhedsloggen på den venstre side og vælge Filtrer nuværende log. Indtast nummeret i feltet Event ID 4656. Dette er begivenheden forbundet med en bestemt bruger, der udfører en Filsystem handling og giver dig de relevante oplysninger uden at skulle gennemgå tusindvis af poster.
Hvis du vil have mere information om en begivenhed, skal du blot dobbeltklikke på den for at se.
Dette er informationen fra skærmen ovenfor:
Et håndtag til en genstand blev anmodet om.
Emne:
Sikkerheds-id: Aseem-Lenovo \ Aseem
Kontonavn: Aseem
Konto Domæne: Aseem-Lenovo
Logon ID: 0x175a1
Objekt:
Objekt Server: Sikkerhed
Objekttype: Fil
Objektnavn: C: \ Users \ Aseem \ Desktop \ Tufu \ Ny tekst Document.txt
Håndter ID: 0x16a0
Procesinformation:
Proces ID: 0x820
Procesnavn: C: \ Windows \ explorer.exe
Adgangskode:
Transaktions-id: 00000000-0000-0000-0000-000000000000
Adgang: DELETE
SYNKRONISER
ReadAttributes
I eksemplet ovenfor var filen, der blev arbejdet, Ny Text Document.txt i Tufu-mappen på mit skrivebord og de adganger, jeg anmodede om, blev DELETE efterfulgt af SYNCHRONIZE. Hvad jeg gjorde her, var at slette filen. Her er et andet eksempel:
Objekttype: Fil
Objektnavn: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Håndter ID: 0x178
Procesinformation:
Proces ID: 0x1008
Procesnavn: C: \ Programmer (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Adgangskode:
Transaktions-id: 00000000-0000-0000-0000-000000000000
Adgang: READ_CONTROL
SYNKRONISER
ReadData (eller ListDirectory)
WriteData (eller AddFile)
AppendData (eller AddSubdirectory eller CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Adgang Årsager: READ_CONTROL: Bevilget af Ejerskab
SYNKRONISER: Giveret af D: (A; ID; FA ;; S-1-5-21-597862309-2018615179-2090787082-1000)
Når du læser dette, kan du se, at jeg har adgang til Address Labels.docx ved hjælp af WINWORD.EXE-programmet, og mine adgangskilder inkluderede READ_CONTROL, og mine adgangsårsager var også READ_CONTROL. Normalt vil du se en masse flere adgang, men bare fokusere på den første, da det normalt er den vigtigste type adgang. I dette tilfælde åbnede jeg simpelthen filen ved hjælp af Word. Det tager lidt test og læsning gennem begivenhederne for at forstå, hvad der foregår, men når du har det nede, er det et meget pålideligt system. Jeg foreslår at oprette en testmappe med filer og udføre forskellige handlinger for at se, hvad der vises i Event Viewer.
Det er stort set det! En hurtig og gratis måde at spore adgang til eller ændre til en mappe!