Pagrindinis » Windows XP » Kaip sekti, kai kas nors pasiekia aplanką kompiuteryje

    Kaip sekti, kai kas nors pasiekia aplanką kompiuteryje

    Į „Windows“ yra įdėta maža funkcija, leidžianti stebėti, kada kas nors žiūri, redaguoja arba ištrina kažką iš nurodyto aplanko. Taigi, jei yra aplankas ar failas, kurį norite žinoti, kas naudojasi, tai yra įmontuotas metodas, nenaudojant trečiosios šalies programinės įrangos.

    Ši funkcija iš tikrųjų yra „Windows“ saugos funkcijos dalis Grupės nuostatos, kurį naudoja dauguma IT specialistų, kurie valdo kompiuterius korporatyviniame tinkle per serverius, tačiau jį taip pat galima naudoti vietoje kompiuteriu be jokių serverių. Vienintelis trūkumas naudojant „Group Policy“ yra tai, kad jis negalimas žemesnėse „Windows“ versijose. „Windows 7“ sistemoje turite turėti „Windows 7 Professional“ arba naujesnę versiją. „Windows 8“ reikia „Pro“ arba „Enterprise“.

    Terminas „Grupės politika“ iš esmės reiškia registro parametrų rinkinį, kurį galima valdyti naudojant grafinę vartotojo sąsają. Jūs įgalinate arba išjungiate įvairius nustatymus ir šie pakeitimai atnaujinami „Windows“ registre.

    „Windows XP“, norėdami patekti į politikos redaktorių, spustelėkite Pradėti ir tada Vykdyti. Teksto laukelyje įveskite „gpedit.msc„Be kabučių, kaip parodyta žemiau:

    „Windows 7“ galite tiesiog paspausti mygtuką Pradėti ir tipą gpedit.msc į paieškos langelį, esantį meniu Pradėti apačioje. „Windows 8“ tiesiog eikite į pradžios ekraną ir pradėkite rašyti arba perkelkite pelės žymeklį į tolimą ekrano viršų arba apačią, kad atidarytumėte Charms ir spustelėkite Paieška. Tada tiesiog įveskite gpedit. Dabar turėtumėte pamatyti kažką panašaus į paveikslėlį:

    Yra dvi pagrindinės politikos kategorijos: Vartotojas ir Kompiuteris. Kaip galbūt atspėjote, naudotojo politika valdo kiekvieno vartotojo nustatymus, o kompiuterio nustatymai bus sistemos pločio nustatymai ir paveiks visus naudotojus. Mūsų atveju norime, kad mūsų nustatymas būtų taikomas visiems vartotojams, todėl mes išplėsime Kompiuterio konfigūracija skyrius.

    Toliau plėtokite „Windows“ nustatymai -> Saugumo nustatymai -> Vietos politika -> Audito politika. Nematau daug kitų čia pateiktų nustatymų, nes tai visų pirma skirta aplanko auditui. Dabar dešinėje pusėje matysite politiką ir jų dabartinius nustatymus. Audito politika yra tai, kas kontroliuoja, ar operacinė sistema yra sukonfigūruota ir pasirengusi stebėti pokyčius.

    Dabar patikrinkite nustatymą Audito objekto prieiga dukart spustelėdami jį ir pasirinkdami abu Sėkmė ir Nesėkmė. Spustelėkite Gerai ir dabar atlikome pirmąją dalį, kuri praneša „Windows“, kad mes norime, kad ji būtų pasirengusi stebėti pokyčius. Dabar kitas žingsnis yra pasakyti, ką tiksliai norime sekti. Dabar galite uždaryti grupės strategijos konsolę.

    Dabar pereikite prie aplanko naudodami „Windows Explorer“, kurią norite stebėti. „Explorer“ dešiniuoju pelės mygtuku spustelėkite aplanką ir spustelėkite Savybės. Spustelėkite Saugos skirtukas ir jūs matote kažką panašaus į tai:

    Dabar spustelėkite Išplėstinė mygtukas ir spustelėkite Auditas skirtuką. Būtent čia mes sukonfigūruosime tai, ką norime stebėti šiame aplanke.

    Eikite į priekį ir spustelėkite Papildyti mygtukas. Pasirodys dialogo langas, kuriame prašoma pasirinkti naudotoją arba grupę. Lauke įveskite žodį „naudotojamsIr spustelėkite Patikrinkite vardus. Lauke bus automatiškai atnaujinamas jūsų kompiuteryje esančios vietinės vartotojų grupės pavadinimas COMPUTERNAME Vartotojai.

    Spustelėkite Gerai ir dabar gausite kitą dialogo langą „„X“ audito įrašas„. Tai yra tikroji mėsa, kurią norėjome padaryti. Čia rasite vietą, kurioje norite žiūrėti šį aplanką. Galite atskirai pasirinkti, kokio tipo veiklą norite stebėti, pvz., Ištrinti ar kurti naujus failus / aplankus ir tt Kad būtų lengviau, siūlau pasirinkti „Full Control“, kuri automatiškai parinks visas kitas parinktis po juo. Padarykite tai Sėkmė ir Nesėkmė. Tokiu būdu, nepriklausomai nuo to, kas padaryta tam aplankui ar jo viduje, turėsite įrašą.

    Dabar spustelėkite Gerai ir dar kartą spustelėkite Gerai ir dar kartą spustelėkite Gerai, kad išeitumėte iš kelių dialogo langų. O dabar sėkmingai sukonfigūravote aplanką! Taigi galite paklausti, kaip žiūrite įvykius?

    Norint peržiūrėti įvykius, turite eiti į Valdymo skydą ir spustelėti Administravimo įrankiai. Tada atverkite Įvykių peržiūros programa. Spustelėkite Saugumas skyriuje ir pamatysite didelį įvykių sąrašą dešinėje pusėje:

    Jei einate į priekį ir sukuriate failą arba tiesiog atidarote aplanką ir spustelėję mygtuką „Atnaujinti“ įvykių peržiūros programoje (mygtukas su dviem žaliosiomis rodyklėmis), pamatysite įvykių grupę Failų sistema. Tai susiję su audituojamų aplankų / failų pašalinimu, kūrimu, skaitymu ir rašymu. „Windows 7“ viskas dabar rodoma pagal Failų sistemos užduoties kategoriją, todėl, norėdami pamatyti, kas atsitiko, turėsite spustelėti ant kiekvieno ir slinkti jį.

    Kad būtų lengviau peržiūrėti tiek daug įvykių, galite įdėti filtrą ir tiesiog pamatyti svarbius dalykus. Spustelėkite Žiūrėti meniu viršuje ir spustelėkite Filtras. Jei nėra filtro parinkties, spustelėkite dešinįjį pelės klavišą kairėje pusėje esančiame Saugos žurnale ir pasirinkite Filtruoti dabartinį žurnalą. Lauke Įvykio ID įveskite numerį 4656. Tai įvykis, susijęs su konkrečiu vartotoju, atliekančiu a Failų sistema ir suteiks jums reikiamą informaciją, neperžiūrėdami tūkstančių įrašų.

    Jei norite gauti daugiau informacijos apie įvykį, paprasčiausiai spustelėkite jį norėdami peržiūrėti.

    Tai yra informacija iš anksčiau pateikto ekrano:

    Buvo paprašyta objekto rankena.

    Tema:
    Apsaugos ID: Aseem-Lenovo
    Paskyros pavadinimas: Aseem
    Paskyros sritis: Aseem-Lenovo
    Prisijungimo ID: 0x175a1

    Objektas:
    Objektų serveris: saugumas
    Objekto tipas: failas
    Objekto pavadinimas: C: Vartotojai Aseem Desktop Buu Naujas tekstas Document.txt
    Rankenos ID: 0x16a0

    Apdoroti informaciją:
    Proceso ID: 0x820
    Proceso pavadinimas: C: Windows Explorer.exe

    Informacijos apie prieigos užklausą informacija:
    Operacijos ID: 00000000-0000-0000-0000-000000000000
    Prieiga: DELETE
    SYNCHRONIZAVIMAS
    „ReadAttributes“

    Pirmiau pateiktame pavyzdyje failas, kuris buvo apdorotas, buvo darbalaukio aplanke „Tufu“ naujas tekstas Document.txt, o prašomos prieigos buvo DELETE, po to - „SYNCHRONIZE“. Tai, ką aš čia padariau, buvo ištrinti failą. Kitas pavyzdys:

    Objekto tipas: failas
    Objekto pavadinimas: C: Vartotojai Aseem Desktop Buufu Labels.docx
    Rankenos ID: 0x178

    Apdoroti informaciją:
    Proceso ID: 0x1008
    Proceso pavadinimas: C: Programos failai (x86) „Microsoft Office“ „Office 14“ WINWORD.EXE

    Informacijos apie prieigos užklausą informacija:
    Operacijos ID: 00000000-0000-0000-0000-000000000000
    Prieiga: READ_CONTROL
    SYNCHRONIZAVIMAS
    „ReadData“ (arba „ListDirectory“)
    WriteData (arba AddFile)
    „AddData“ (arba „AddSubdirectory“ arba „CreatePipeInstance“)
    ReadEA
    WriteEA
    „ReadAttributes“
    Rašyti pranešimus

    Prieigos priežastys: READ_CONTROL: suteikta nuosavybės teise
    SYNCHRONIZAS: suteiktas D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

    Skaitydami tai, galite pamatyti, kad aš pasiekiau adresą „Labels.docx“, naudodamas „WINWORD.EXE“ programą, o mano prieigos prie „READ_CONTROL“ ir mano prieigos priežasčių taip pat buvo READ_CONTROL. Paprastai pamatysite daugiau prieigos prie krūmų, bet tiesiog sutelkkite dėmesį į pirmąjį, nes tai paprastai yra pagrindinė prieigos rūšis. Šiuo atveju aš tiesiog atidariau failą naudodamas „Word“. Tai šiek tiek išbando ir skaito per įvykius, kad suprastų, kas vyksta, bet kai tik ją nusileisite, tai labai patikima sistema. Siūlau sukurti bandomąjį aplanką su failais ir atlikti įvairius veiksmus, kad pamatytumėte, kas rodoma įvykių peržiūros programoje.

    Tai gana daug! Greitas ir nemokamas būdas stebėti prieigą arba aplanko pakeitimus!