Как отслеживать, когда кто-то получает доступ к папке на вашем компьютере

В Windows есть небольшая приятная функция, которая позволяет вам отслеживать, когда кто-то просматривает, редактирует или удаляет что-то внутри указанной папки. Так что если есть папка или файл, который вы хотите знать, кто обращается к нему, то это встроенный метод без использования стороннего программного обеспечения.

Эта функция на самом деле является частью функции безопасности Windows под названием Групповая политика, который используется большинством ИТ-специалистов, которые управляют компьютерами в корпоративной сети через серверы, однако его также можно использовать локально на ПК без каких-либо серверов. Единственным недостатком использования групповой политики является то, что она недоступна в более низких версиях Windows. Для Windows 7 вам нужна Windows 7 Professional или выше. Для Windows 8 вам нужен Pro или Enterprise.

Термин «групповая политика» в основном относится к набору параметров реестра, которыми можно управлять через графический интерфейс пользователя. Вы включаете или отключаете различные параметры, и эти изменения затем обновляются в реестре Windows..

В Windows XP, чтобы попасть в редактор политик, нажмите Начните а потом Бежать. В текстовом поле введите «gpedit.msc”Без кавычек, как показано ниже:

В Windows 7 вы просто нажимаете кнопку «Пуск» и вводите gpedit.msc в поле поиска в нижней части меню «Пуск». В Windows 8 просто перейдите на начальный экран и начните вводить или перемещайте курсор мыши в дальний верхний или нижний правый угол экрана, чтобы открыть Чары бар и нажмите на Поиск. Затем просто введите gpedit. Теперь вы должны увидеть что-то похожее на изображение ниже:

Существует две основные категории политик: пользователь а также компьютер. Как вы уже догадались, пользовательские политики управляют настройками каждого пользователя, тогда как настройки компьютера будут общесистемными и будут влиять на всех пользователей. В нашем случае мы хотим, чтобы наши настройки были для всех пользователей, поэтому мы расширим Конфигурация компьютера раздел.

Продолжать расширяться до Настройки Windows -> Настройки безопасности -> Локальные политики -> Политика аудита. Я не собираюсь объяснять большую часть других настроек здесь, так как это в первую очередь сосредоточено на аудите папки. Теперь вы увидите набор политик и их текущие настройки справа. Политика аудита определяет, настроена ли операционная система и готова ли она отслеживать изменения..

Теперь проверьте настройки для Аудит доступа к объектам дважды щелкнув по нему и выбрав оба успех а также недостаточность. Нажмите OK, и теперь мы закончили первую часть, которая сообщает Windows, что мы хотим, чтобы она была готова отслеживать изменения. Теперь следующий шаг - сказать ему, что именно мы хотим отслеживать. Теперь вы можете выйти из консоли групповой политики.

Теперь перейдите к папке с помощью проводника Windows, которую вы хотите отслеживать. В проводнике щелкните правой кнопкой мыши папку и выберите свойства. Нажми на Вкладка «Безопасность» и вы видите нечто похожее на это:

Теперь нажмите на продвинутый кнопку и нажмите на Аудиторская проверка Вкладка. Здесь мы на самом деле настроим то, что мы хотим отслеживать для этой папки.

Идите вперед и нажмите добавлять кнопка. Появится диалоговое окно с просьбой выбрать пользователя или группу. В поле введите слово «пользователиИ нажмите Проверьте имена. Поле автоматически обновится с именем локальной группы пользователей для вашего компьютера в форме COMPUTERNAME \ Users.

Нажмите OK, и теперь вы получите еще один диалог под названием «Аудит входа для X«. Это настоящее мясо того, что мы хотели сделать. Здесь вы можете выбрать, что вы хотите посмотреть для этой папки. Вы можете индивидуально выбрать, какие типы действий вы хотите отслеживать, например, удаление или создание новых файлов / папок и т. Д. Чтобы упростить задачу, я предлагаю выбрать Полный доступ, который автоматически выберет все остальные параметры под ним. Сделать это для успех а также недостаточность. Таким образом, что бы ни делалось с этой папкой или файлами внутри нее, у вас будет запись.

Теперь нажмите OK и нажмите OK еще раз и OK еще раз, чтобы выйти из множества диалоговых окон. И теперь вы успешно настроили аудит для папки! Так что вы можете спросить, как вы смотрите на события?

Для просмотра событий вам нужно перейти на панель управления и нажать на Инструменты управления. Затем откройте Просмотрщик событий. Нажми на Безопасность раздел, и вы увидите большой список событий на правой стороне:

Если вы создадите файл или просто откроете папку и нажмете кнопку «Обновить» в средстве просмотра событий (кнопка с двумя зелеными стрелками), вы увидите группу событий в категории Файловая система. Они относятся к любым операциям удаления, создания, чтения, записи папок / файлов, которые вы проверяете. В Windows 7 все теперь отображается в категории задач Файловой системы, поэтому, чтобы увидеть, что произошло, вам нужно будет нажать на каждую и прокрутить ее.

Чтобы упростить просмотр стольких событий, вы можете установить фильтр и просто посмотреть важные вещи. Нажми на Посмотреть меню вверху и нажмите на Фильтр. Если для фильтра нет опций, щелкните правой кнопкой мыши журнал безопасности на левой странице и выберите Фильтровать текущий журнал. В поле Event ID введите номер 4656. Это событие, связанное с тем, что конкретный пользователь выполняет Файловая система действие и даст вам соответствующую информацию, не просматривая тысячи записей.

Если вы хотите получить больше информации о событии, просто дважды щелкните по нему, чтобы просмотреть.

Это информация с экрана выше:

Дескриптор объекта был запрошен.

Предмет:
Идентификатор безопасности: Aseem-Lenovo \ Aseem
Имя учетной записи: Aseem
Домен учетной записи: Aseem-Lenovo
ID входа: 0x175a1

Объект:
Объектный сервер: безопасность
Тип объекта: файл
Имя объекта: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID ручки: 0x16a0

Обрабатывать информацию:
Идентификатор процесса: 0x820
Имя процесса: C: \ Windows \ explorer.exe

Информация о запросе доступа:
Идентификатор транзакции: 00000000-0000-0000-0000-000000000000
Доступ: УДАЛИТЬ
СИНХРОНИЗАЦИЯ
ReadAttributes

В приведенном выше примере файл, над которым работали, был New Text Document.txt в папке Tufu на моем рабочем столе, и доступ, который я запрашивал, был DELETE, а затем SYNCHRONIZE. То, что я сделал здесь, было удалить файл. Вот еще один пример:

Тип объекта: файл
Имя объекта: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID ручки: 0x178

Обрабатывать информацию:
Идентификатор процесса: 0x1008
Имя процесса: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Информация о запросе доступа:
Идентификатор транзакции: 00000000-0000-0000-0000-000000000000
Доступ: READ_CONTROL
СИНХРОНИЗАЦИЯ
ReadData (или ListDirectory)
WriteData (или AddFile)
AppendData (или AddSubdirectory или CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Причины доступа: READ_CONTROL: предоставляется владельцем
СИНХРОНИЗАЦИЯ: Предоставлено D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Прочитав это, вы можете увидеть, что я обращался к Address Labels.docx с помощью программы WINWORD.EXE, и мои обращения включали READ_CONTROL, и мои причины доступа были также READ_CONTROL. Обычно вы увидите гораздо больше обращений, но сосредоточитесь только на первом, поскольку это обычно основной тип доступа. В этом случае я просто открыл файл с помощью Word. Требуется небольшое тестирование и чтение событий, чтобы понять, что происходит, но как только вы это сделаете, это очень надежная система. Я предлагаю создать тестовую папку с файлами и выполнить различные действия, чтобы увидеть, что отображается в окне просмотра событий..

Вот и все! Быстрый и бесплатный способ отслеживать доступ или изменения в папке!