Kuidas jälgida, kui keegi teie arvutis olevale kaustale juurde pääseb
Windowsi on sisse ehitatud väike väike funktsioon, mis võimaldab teil jälgida, kui keegi vaatab, redigeerib või kustutab kindla kausta sees midagi. Nii et kui on olemas kaust või fail, mida soovite teada, kes on juurdepääs, siis on see sisseehitatud meetod ilma kolmandate osapoolte tarkvara kasutamiseta.
See funktsioon on tegelikult osa Windowsi turvaelementist, mida nimetatakse Grupipoliitika, mida kasutab enamik IT-spetsialiste, kes haldavad arvutivõrku serverite kaudu, kuid seda saab kasutada ka kohalikus arvutis ilma serverita. Grupipoliitika kasutamise ainus puudus on see, et see pole Windowsi madalamates versioonides saadaval. Windows 7 puhul peab teil olema Windows 7 Professional või uuem. Windows 8 jaoks on vaja Pro või Enterprise.
Termin "Grupipoliitika" viitab põhimõtteliselt registrisätete kogumile, mida saab juhtida graafilise kasutajaliidese kaudu. Te lubate või keelate mitmesugused seaded ja need muudatused värskendatakse Windowsi registris.
Windows XP-s klõpsa poliitika redaktorisse Alusta ja siis Käivita. Tippige tekstikasti „gpedit.msc“Ilma jutumärkideta, nagu allpool näidatud:
Windows 7-s klõpsate lihtsalt nuppu Start ja tüüp gpedit.msc menüü Start all asuvasse otsingukasti. Windows 8-s lihtsalt minge Start-ekraani ja alustage kirjutamist või liigutage hiirekursorit ekraani ülaserva või alumises paremas servas, et avada Vangid ja klõpsa Otsing. Seejärel sisesta lihtsalt gpedit. Nüüd peaksite nägema midagi, mis sarnaneb allpool olevale pildile:
Poliitika peamised kategooriad on kaks: Kasutaja ja Arvuti. Nagu võis arvata, reguleerivad kasutajapõhimõtted iga kasutaja seadeid, samas kui arvuti seaded on süsteemi lai seaded ja mõjutavad kõiki kasutajaid. Meie puhul tahame, et meie seade oleks kõigile kasutajatele, seega laiendame Arvuti konfiguratsioon lõik.
Jätka laiendamist Windowsi seaded -> Turvaseaded -> Kohalik poliitika -> Auditipoliitika. Ma ei kavatse siinkohal palju teisi seadeid seletada, sest see on peamiselt suunatud kausta auditeerimisele. Nüüd näete paremal pool poliitikat ja nende praeguseid seadeid. Auditipoliitika on see, mis kontrollib, kas operatsioonisüsteem on konfigureeritud ja valmis muutuste jälgimiseks.
Nüüd kontrollige seadistust Auditeerimise objektide juurdepääs klõpsates seda kaks korda ja valides mõlemad Edu ja Rike. Klõpsake OK ja nüüd oleme teinud esimese osa, mis ütleb Windowsile, et me tahame, et see oleks muutuste jälgimiseks valmis. Nüüd on järgmine samm öelda, mida täpselt tahame jälgida. Nüüd saate grupipoliitika konsooli sulgeda.
Navigeerige nüüd kausta Windows Exploreri abil, mida soovite jälgida. Klõpsake Exploreris paremklõps kaustal ja klõpsake nuppu Omadused. Klõpsake Kaardil Turvalisus ja näete midagi sarnast:
Nüüd klõpsa Täpsem nuppu ja kliki Auditeerimine vahekaart. See on koht, kus me tegelikult selle kausta jälgimiseks seadistame.
Mine edasi ja vajuta Lisama nuppu. Ilmub dialoog, milles palutakse teil valida kasutaja või grupp. Tippige väljale sõna „kasutajateleJa klõpsake nuppu Kontrollige nimesid. Lahter värskendatakse automaatselt teie arvutis asuva kohaliku kasutajagrupi nimega COMPUTERNAME Kasutajad.
Klõpsake nuppu OK ja nüüd saad uue dialoogi, mida nimetatakse „Auditi kanne X-le“. See on tõeline liha, mida me tahame teha. Siin on koht, kus valite selle kausta vaatamise. Saate individuaalselt valida, milliseid tegevusi soovite jälgida, näiteks kustutada või luua uusi faile / kaustu jne. Selleks, et asju lihtsustada, soovitan valida täieliku kontrolli, mis valib automaatselt kõik teised allpool olevad suvandid. Tehke seda Edu ja Rike. Sel viisil, mis iganes seda kausta või selle sees olevaid faile tehakse, on teil rekord.
Nüüd klõpsa OK ja klõpsa uuesti OK ja OK veel kord, et väljuda mitmest dialoogiboksist. Ja nüüd olete edukalt seadistanud kausta auditeerimise! Nii et võid küsida, kuidas te sündmusi vaatate?
Sündmuste vaatamiseks peate minema juhtpaneelile ja klikkima Haldusriistad. Seejärel avage Sündmuste vaataja. Klõpsake Turvalisus ja näed paremal pool sündmuste suurt nimekirja:
Kui te lähete edasi ja loote faili või lihtsalt avate kausta ja klõpsate sündmuste vaataja värskendamisnupul (kahe rohelise noolega nupp), näete kategooria kampaaniat. Failisüsteem. Need puudutavad auditeeritavate kaustade / failide kustutamist, loomist, lugemist ja kirjutamist. Operatsioonisüsteemis Windows 7 ilmub kõik failifaili ülesande kategooria all, nii et selleks, et näha, mis juhtus, peate klõpsama igaühele ja liikuma selle kaudu.
Selleks, et lihtsustada nii palju sündmusi läbi vaadata, võite panna filtri ja lihtsalt näha olulisi asju. Klõpsake Vaade menüü ülaosas ja klõpsa Filter. Kui filtri jaoks pole valikut, siis paremklõpsake vasakpoolses leheküljel olevat turvalisuse logi ja valige Filtreeri praegune logi. Tippige väljale ID-ID number 4656. See on sündmus, mis on seotud konkreetse kasutajaga a Failisüsteem toiminguid ja annab teile asjakohast teavet ilma tuhandeid kandeid vaatamata.
Kui soovid saada sündmuse kohta rohkem teavet, klõpsake lihtsalt selle vaatamiseks kaks korda.
See on ülaltoodud ekraanil olev teave:
Taotleti objekti käepide.
Teema:
Turva ID: Aseem-Lenovo
Konto nimi: Aseem
Konto domeen: Aseem-Lenovo
Sisselogimise ID: 0x175a1
Objekt:
Objekti server: turvalisus
Objekti tüüp: fail
Objekti nimi: C: kasutajad Aseem Desktopufu Uus tekst Document.txt
Käepide ID: 0x16a0
Teabe töötlemine:
Protsessi ID: 0x820
Protsessi nimi: C: Windows Explorer.exe
Juurdepääsu taotlemise teave:
Tehingu ID: 00000000-0000-0000-0000-000000000000
Juurdepääsud: DELETE
SYNCHRONIZE
ReadAttributes
Ülaltoodud näites oli töödeldud töölaual töölaua kaustas Tufu uus tekst Document.txt ja minu taotletud juurdepääsud olid DELETE, millele järgnes SYNCHRONIZE. Ma tegin siin faili kustutamise. Järgmine näide:
Objekti tüüp: fail
Objekti nimi: C: kasutajad Aseem Desktopufu Aadress Labels.docx
Käepide ID: 0x178
Teabe töötlemine:
Protsessi ID: 0x1008
Protsessi nimi: C: failid (x86) Microsoft Office Office14 WINWORD.EXE
Juurdepääsu taotlemise teave:
Tehingu ID: 00000000-0000-0000-0000-000000000000
Juurdepääs: READ_CONTROL
SYNCHRONIZE
ReadData (või ListDirectory)
WriteData (või AddFile)
LisaData (või AddSubdirectory või CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
Kirjutage kirjed
Juurdepääsu põhjused: READ_CONTROL: omandiõigus
SÜHRONISEERIMINE: D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Selle läbi lugedes näete, et sain juurdepääsu aadressil Labels.docx, kasutades WINWORD.EXE programmi ja minu ligipääsud sisaldasid ka READ_CONTROLi ja minu juurdepääsu põhjused olid ka READ_CONTROL. Tavaliselt näete palju rohkem ligipääsu, kuid keskenduge lihtsalt esimesele, kuna see on tavaliselt peamine juurdepääsuvorm. Sel juhul avasin faili lihtsalt Wordi abil. See võtab sündmustest aru, et see toimub, kuid see võtab natuke testimise ja lugemise läbi, kuid kui see on maha võetud, on see väga usaldusväärne süsteem. Soovitan luua failidega testkataloogi ja teha mitmesuguseid toiminguid, et näha, mis on sündmuste vaatajas.
See on päris palju! Kiire ja vaba viis kausta jälgimiseks või muutmiseks!