Hemsida » Windows XP » Hur spåras när någon får tillgång till en mapp på din dator

    Hur spåras när någon får tillgång till en mapp på din dator

    Det finns en fin liten funktion inbyggd i Windows som låter dig spåra när någon ser, redigerar eller raderar något inuti en angiven mapp. Så om det finns en mapp eller fil som du vill veta vem som åtkomst är det här den inbyggda metoden utan att behöva använda program från tredje part.

    Den här funktionen är faktiskt en del av en Windows-säkerhetsfunktion som heter Gruppolicy, som används av de flesta IT-proffs som hanterar datorer i företagsnätverket via servrar, men det kan också användas lokalt på en dator utan några servrar. Den enda nackdelen med att använda grupprincip är att den inte är tillgänglig i lägre versioner av Windows. För Windows 7 måste du ha Windows 7 Professional eller högre. För Windows 8 behöver du Pro eller Enterprise.

    Termen Grupppolicy avser i grunden en uppsättning registerinställningar som kan styras via ett grafiskt användargränssnitt. Du aktiverar eller inaktiverar olika inställningar och dessa ändringar uppdateras sedan i Windows-registret.

    I Windows XP, för att komma till policyredigeraren, klicka på Start och då Springa. I textrutan skriver du "gpedit.msc"Utan citat som visas nedan:

    I Windows 7 klickar du bara på Start-knappen och skriver gpedit.msc i sökrutan längst ner på startmenyn. I Windows 8 går du enkelt till startskärmen och börjar skriva eller flytta muspekaren till längst upp eller längst ner till höger på skärmen för att öppna Behag bar och klicka på Sök. Skriv bara in gpedit. Nu ska du se något som liknar bilden nedan:

    Det finns två huvudkategorier av politik: Användare och Dator. Som du kanske har gissat styr användarpolicyerna inställningarna för varje användare medan datorns inställningar kommer att vara systeminställda och kommer att påverka alla användare. I vårt fall kommer vi att vilja att vår inställning ska vara för alla användare, så vi utvidgar Datorkonfiguration sektion.

    Fortsätt att expandera till Windows Inställningar -> Säkerhetsinställningar -> Lokala policyer -> Granskningspolicy. Jag kommer inte att förklara mycket av de andra inställningarna här eftersom det här är främst inriktat på att granska en mapp. Nu ser du en uppsättning politik och deras nuvarande inställningar på höger sida. Granskningspolitiken är det som styr huruvida operativsystemet är konfigurerat och redo att spåra ändringar.

    Kontrollera nu inställningen för Audit Objektåtkomst genom att dubbelklicka på den och välja båda Framgång och Fel. Klicka på OK och nu är vi färdiga den första delen som berättar för Windows att vi vill att den ska vara redo att övervaka ändringar. Nu är nästa steg att berätta för oss vad exakt vi vill spåra. Du kan nu stänga av grupppolicykonsolen.

    Navigera nu till mappen med Windows Utforskare som du vill övervaka. I Utforskaren högerklickar du på mappen och klickar på Egenskaper. Klicka på Fliken Säkerhet och du ser något liknande det här:

    Klicka nu på Avancerad knappen och klicka på revision flik. Det här är där vi faktiskt ska konfigurera vad vi vill övervaka för den här mappen.

    Fortsätt och klicka på Lägg till knapp. En dialogruta visas som ber dig välja en användare eller grupp. I rutan skriver du ordet "användare"Och klicka Kontrollera namn. Lådan uppdateras automatiskt med namnet på den lokala användargruppen för din dator i formuläret Datornamn \ Användare.

    Klicka på OK och nu får du en annan dialog som heter "Granskning för X”. Detta är det riktiga köttet av vad vi har velat göra. Här väljer du vad du vill titta på för den här mappen. Du kan individuellt välja vilka typer av aktiviteter du vill spåra, till exempel att radera eller skapa nya filer / mappar etc. För att göra det enklare föreslår jag att du väljer Full Control, som automatiskt väljer alla andra alternativ under den. Gör det här för Framgång och Fel. På så sätt, vad som helst som görs till den mappen eller filerna i den, kommer du att ha en post.

    Klicka nu OK och klicka på OK igen och OK en gång till för att komma ur dialogrutan för flera dialogrutor. Och nu har du lyckats konfigurera revision i en mapp! Så du kanske frågar, hur ser du händelserna?

    För att se händelserna måste du gå till Kontrollpanelen och klicka på Administrationsverktyg. Öppna sedan upp Loggboken. Klicka på säkerhet avsnittet och du får se en stor lista med händelser på höger sida:

    Om du går vidare och skapar en fil eller helt enkelt öppnar mappen och klickar på knappen Uppdatera i händelsevisaren (knappen med de två gröna pilarna) ser du en massa händelser i kategorin Filsystem. Dessa avser att ta bort, skapa, läsa, skriva operationer i mapparna / filerna du granskar. I Windows 7 visas allt nu under filsystemet Aktivitets kategori, så för att se vad som hände måste du klicka på var och en och bläddra igenom det.

    För att göra det enklare att titta igenom så många händelser kan du sätta ett filter och bara se viktiga saker. Klicka på Se menyn längst upp och klicka på Filtrera. Om det inte finns något alternativ för Filter, högerklicka på Säkerhetsloggen på den vänstra sidan och välj Filtrera aktuell logg. Skriv in numret i rutan Event ID 4656. Detta är händelsen i samband med en viss användare som utför en Filsystem åtgärd och ger dig relevant information utan att behöva titta igenom tusentals poster.

    Om du vill få mer information om en händelse, dubbelklicka på den för att visa.

    Detta är informationen från skärmen ovan:

    Ett handtag till ett objekt begärdes.

    Ämne:
    Säkerhets-ID: Aseem-Lenovo \ Aseem
    Kontonamn: Aseem
    Konto Domän: Aseem-Lenovo
    Inloggnings-ID: 0x175a1

    Objekt:
    Objekt Server: Säkerhet
    Objekttyp: Fil
    Objektnamn: C: \ Users \ Aseem \ Desktop \ Tufu \ Ny textdokument.txt
    Hantera ID: 0x16a0

    Bearbeta information:
    Process ID: 0x820
    Processnamn: C: \ Windows \ explorer.exe

    Access Request Information:
    Transaktions-ID: 00000000-0000-0000-0000-000000000000
    Åtkomst: DELETE
    SYNKRONISERA
    ReadAttributes

    I exemplet ovan var filen som arbetade på, ny textdokument.txt i Tufu-mappen på skrivbordet och de åtkomstar som jag begärde var DELETE följt av SYNCHRONIZE. Vad jag gjorde här var att ta bort filen. Här är ett annat exempel:

    Objekttyp: Fil
    Objektnamn: C: \ Users \ Aseem \ Desktop \ Tufu \ Adressetiketter.docx
    Hantera ID: 0x178

    Bearbeta information:
    Process ID: 0x1008
    Processnamn: C: \ Programfiler (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

    Access Request Information:
    Transaktions-ID: 00000000-0000-0000-0000-000000000000
    Åtkomst: READ_CONTROL
    SYNKRONISERA
    ReadData (eller ListDirectory)
    WriteData (eller AddFile)
    AppendData (eller AddSubdirectory eller CreatePipeInstance)
    ReadEA
    WriteEA
    ReadAttributes
    WriteAttributes

    Tillgångsskäl: READ_CONTROL: Beviljad av Ägarskap
    SYNKRONISERA: Beviljad av D: (A; ID; FA ;; S-1-5-21-597862309-2018615179-2090787082-1000)

    När du läser igenom detta kan du se att jag åtkomst till Adress Labels.docx med WINWORD.EXE-programmet och mina åtkomster inkluderade READ_CONTROL och mina åtkomstskäl var också READ_CONTROL. Vanligtvis ser du en massa fler åtkomstar, men fokuserar bara på den första eftersom det oftast är den huvudsakliga typen av åtkomst. I det här fallet öppnade jag helt enkelt filen med Word. Det tar lite testning och läsning genom händelserna för att förstå vad som händer, men när du har ner det är det ett mycket pålitligt system. Jag föreslår att du skapar en testmapp med filer och utför olika åtgärder för att se vad som visas i Event Viewer.

    Det är ganska mycket det! Ett snabbt och gratis sätt att spåra åtkomst eller ändringar i en mapp!