Kuinka seurata, kun joku käyttää tietokoneesi kansiota

Windowsissa(Windows) on mukava pieni ominaisuus, jonka avulla voit seurata, milloin joku tarkastelee, muokkaa tai poistaa jotakin tietyn kansion sisällä. Joten jos haluat tietää, kuka käyttää kansiota tai tiedostoa, tämä on sisäänrakennettu menetelmä ilman kolmannen osapuolen ohjelmistoja.

Tämä ominaisuus on itse asiassa osa Windowsin(Windows) suojausominaisuutta nimeltä Group Policy , jota useimmat IT-ammattilaiset(IT Professionals) käyttävät, jotka hallitsevat yritysverkon tietokoneita palvelimien kautta, mutta sitä voidaan käyttää myös paikallisesti tietokoneessa ilman palvelimia. Ainoa haittapuoli ryhmäkäytännön käytössä on, että se ei ole saatavilla (Group Policy)Windowsin(Windows) alemmissa versioissa . Windows 7 -käyttöjärjestelmää(Windows 7) varten sinulla on oltava Windows 7 Professional tai uudempi. Windows 8 :a varten tarvitset Pron tai Enterprisen(Enterprise) .

Termi ryhmäkäytäntö(Group Policy) viittaa periaatteessa joukkoon rekisteriasetuksia, joita voidaan hallita graafisen käyttöliittymän kautta. Otat käyttöön tai poistat käytöstä erilaisia ​​asetuksia, ja nämä muutokset päivitetään Windowsin(Windows) rekisteriin.

Windows XP : ssä pääset käytäntöeditoriin napsauttamalla Käynnistä(Start) ja sitten Suorita(Run) . Kirjoita tekstiruutuun " gpedit.msc " ilman lainausmerkkejä alla olevan kuvan mukaisesti:

ajaa gpedit

Windows 7 : ssä napsautat Käynnistä(Start) - painiketta ja kirjoitat gpedit.msc Käynnistä-valikon(Start Menu) alareunassa olevaan hakukenttään . Windows 8 : ssa siirry aloitusnäyttöön(Start Screen) ja aloita kirjoittaminen tai siirrä hiiren osoitin näytön oikeaan ylä- tai alaosaan avataksesi Charms - palkin ja napsauta Hae(Search) . Kirjoita sitten gpedit . Nyt sinun pitäisi nähdä jotain, joka on samanlainen kuin alla oleva kuva:

ryhmäkäytäntöeditori

Käytäntöjä on kaksi pääluokkaa: Käyttäjä(User) ja tietokone(Computer) . Kuten saatat arvata, käyttäjäkäytännöt ohjaavat kunkin käyttäjän asetuksia, kun taas tietokoneen asetukset ovat koko järjestelmän asetuksia ja vaikuttavat kaikkiin käyttäjiin. Meidän tapauksessamme haluamme asetuksemme olevan kaikille käyttäjille, joten laajennamme Tietokoneen asetukset(Computer Configuration) -osiota.

Jatka laajentamista kohtaan Windows-asetukset(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . En aio selittää paljon muita asetuksia tässä, koska tämä keskittyy ensisijaisesti kansion tarkastamiseen. Nyt näet joukon käytäntöjä ja niiden nykyiset asetukset oikealla puolella. Tarkastuskäytäntö määrittää, onko käyttöjärjestelmä määritetty ja valmis seuraamaan muutoksia.

tarkastusobjektin pääsy

Tarkista nyt Audit Object Accessin(Audit Object Access ) asetus kaksoisnapsauttamalla sitä ja valitsemalla sekä Onnistuminen(Success) että Epäonnistuminen(Failure) . Napsauta OK(Click OK) ja nyt olemme tehneet ensimmäisen osan, joka kertoo Windowsille, että haluamme sen olevan valmis seuraamaan muutoksia. Nyt seuraava askel on kertoa sille, mitä haluamme TARKASTAN seurata. (EXACTLY)Voit sulkea ryhmäkäytäntökonsolin(Group Policy) nyt.

Siirry nyt kansioon Windowsin Resurssienhallinnan(Windows Explorer) avulla , jota haluat seurata. Napsauta Resurssienhallinnassa(Explorer) kansiota hiiren kakkospainikkeella ja napsauta Ominaisuudet(Properties) . Napsauta Suojaus-välilehteä( Security Tab) ja näet jotain tämän kaltaista:

Explorerin suojausvälilehti

Napsauta nyt Lisäasetukset(Advanced) - painiketta ja napsauta Tarkastus(Auditing) - välilehteä. Tässä me itse asiassa määritämme, mitä haluamme valvoa tälle kansiolle.

välilehtien ikkunat

Siirry eteenpäin ja napsauta Lisää(Add) - painiketta. Näyttöön tulee valintaikkuna, jossa sinua pyydetään valitsemaan käyttäjä(User) tai ryhmä(Group) . Kirjoita ruutuun sana " käyttäjät(users) " ja napsauta Tarkista nimet(Check Names) . Laatikko päivittyy automaattisesti tietokoneesi paikallisen käyttäjäryhmän nimellä muodossa COMPUTERNAME\Users .

käyttäjäryhmän käyttöoikeudet

Napsauta OK(Click OK) ja nyt saat toisen valintaikkunan nimeltä " Tarkastusmerkintä X:lle(Audit Entry for X) ". Tämä on todellinen liha sille, mitä olemme halunneet tehdä. Täältä voit valita, mitä haluat katsella tässä kansiossa. Voit valita yksilöllisesti, minkä tyyppisiä toimintoja haluat seurata, kuten poistaa tai luoda uusia tiedostoja/kansioita jne. Asioiden helpottamiseksi suosittelen valitsemaan Full Control , joka valitsee automaattisesti kaikki muut vaihtoehdot sen alla. Tee tämä onnistumisen(Success) ja epäonnistumisen(Failure) vuoksi . Tällä tavalla sinulla on tietue, mitä tälle kansiolle tai sen sisältämille tiedostoille tehdään.

tarkastuslupien tutkija

Napsauta nyt OK ja napsauta OK uudelleen ja OK vielä kerran päästäksesi pois useiden valintaikkunoiden joukosta. Ja nyt olet onnistuneesti määrittänyt kansion auditoinnin! Joten saatat kysyä, kuinka näet tapahtumat?

Voit tarkastella tapahtumia siirtymällä Ohjauspaneeliin(Control Panel) ja napsauttamalla Hallintatyökalut(Administrative Tools) . Avaa sitten Event Viewer . Napsauta Suojaus(Security) -osiota ja näet suuren luettelon tapahtumista oikealla puolella:

tapahtumien katsojan suojaus

Jos luot tiedoston tai yksinkertaisesti avaat kansion ja napsautat Päivitä(Refresh) - painiketta Tapahtumanvalvonta(Event Viewer) -ohjelmassa (painike, jossa on kaksi vihreää nuolta), näet joukon tapahtumia kategoriassa Tiedostojärjestelmä( File System) . Nämä koskevat kaikkia tarkastettavien kansioiden/tiedostojen poisto-, luonti-, luku- ja kirjoitustoimintoja. Windows 7 : ssä kaikki näkyy nyt Tiedostojärjestelmän(File System) tehtäväluokassa, joten nähdäksesi mitä tapahtui, sinun on napsautettava kutakin ja vieritettävä sitä.

Jotta monien tapahtumien läpikäyminen olisi helpompaa, voit laittaa suodattimen ja nähdä vain tärkeät asiat. Napsauta(Click) Näytä- valikkoa(View) yläreunassa ja napsauta Suodata(Filter) . Jos Suodata(Filter) - vaihtoehtoa ei ole , napsauta hiiren kakkospainikkeella suojauslokia(Security) vasemmalla olevalla sivulla ja valitse Suodata nykyinen loki(Filter Current Log) . Kirjoita Tapahtumatunnus(Event ID) - ruutuun numero 4656 . Tämä tapahtuma liittyy tiettyyn käyttäjään, joka suorittaa tiedostojärjestelmätoiminnon, (File System ) ja antaa sinulle tarvittavat tiedot ilman, että sinun tarvitsee selata tuhansia merkintöjä.

suodatinloki

Jos haluat saada lisätietoja tapahtumasta, tuplaklikkaa sitä nähdäksesi.

tapahtumatunnuksen poistaminen

Nämä ovat tiedot yllä olevasta näytöstä:

Pyydettiin kahvaa esineelle.(A handle to an object was requested.)

Aihe: (Subject:)
Security ID: Aseem-Lenovo\Aseem
tilin nimi: Aseem ( Account Name: Aseem)
-tilin verkkotunnus: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
Kirjautumistunnus: 0x175a1( Logon ID: 0x175a1)

Objekti: (Object:)
Objektipalvelin: Suojaus ( Object Server: Security)
Objektin tyyppi: Tiedostoobjektin ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Käsitteen tunnus: 0x16a0( Handle ID: 0x16a0)

Prosessitiedot: (Process Information:)
Prosessin tunnus: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Pääsypyynnön tiedot: (Access Request Information:)
Tapahtumatunnus: 00000000-0000-0000-0000-000000000000} Käyttöoikeudet ( Transaction ID: {00000000-0000-0000-0000-000000000000})
: POISTA ( Accesses: DELETE)
SYNKRONOINTI ( SYNCHRONIZE)
lukuattribuutit( ReadAttributes)

Yllä olevassa esimerkissä käsitelty tiedosto oli New Text Document.txt työpöydälläni Tufu- kansiossa ja pyytämiäni käyttöoikeuksia olivat DELETE ja SYNCHRONIZE . Mitä tein tässä oli poistaa tiedosto. Tässä on toinen esimerkki:

Objektin tyyppi: Tiedostoobjektin ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Kahvan tunnus: 0x178( Handle ID: 0x178)

Prosessitiedot: (Process Information:)
Prosessin tunnus: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Käyttöoikeuspyynnön tiedot: (Access Request Information:)
Tapahtumatunnus: 00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Käyttöoikeudet: READ_CONTROL ( Accesses: READ_CONTROL)
SYNKRONOI ( SYNCHRONIZE)
ReadData (tai ListDirectory ) WriteData ( ( ReadData (or ListDirectory))
tai AddFile) ( WriteData (or AddFile))AppendData ( WriteAttributes)
(tai WriteAttributes ( AppendData (or AddSubdirectory or CreatePipeInstance))) ( ReadAttributes)
ReadAttributes ( ReadEA)
Reader( WriteEA)

Pääsyn syyt: READ_CONTROL: Omistajan myöntämä SYNKRONOI: Myöntäjä ( Access Reasons: READ_CONTROL: Granted by Ownership)
D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Kun luet tätä läpi, näet, että käytin Address Labels.docx -tiedostoa WINWORD.EXE (Address Labels.docx)-(WINWORD.EXE) ohjelman avulla ja pääsyni olivat READ_CONTROL ja pääsyyni olivat myös READ_CONTROL . Yleensä näet useampia käyttöoikeuksia, mutta keskity vain ensimmäiseen, koska se on yleensä pääsyn päätyyppi. Tässä tapauksessa avasin tiedoston Wordilla(Word) . Vaatii hieman testausta ja tapahtumien lukemista ymmärtääksesi, mitä tapahtuu, mutta kun se on käsitelty, se on erittäin luotettava järjestelmä. Suosittelen luomaan testikansion tiedostoineen ja suorittamaan erilaisia ​​toimintoja nähdäksesi, mitä tapahtumanvalvontaohjelmassa(Event Viewer) näkyy .

Siinä se aika pitkälti! Nopea ja ilmainen tapa seurata kansion käyttöä tai muutoksia!



About the author

Olen ammattimainen Windows- ja toimistoohjelmistojen arvioija. Minulla on syvät tiedot näistä ohjelmista sekä niiden erilaisista ominaisuuksista ja ominaisuuksista. Arvosteluni ovat objektiivisia ja yksityiskohtaisia, jotta potentiaaliset asiakkaat näkevät, kuinka hyvin ohjelma toimii ja mitä parannuksia voitaisiin tehdä. Haluan myös auttaa ihmisiä löytämään parhaat sovellukset heidän tarpeisiinsa – joko arvostelujen kautta tai löytämään parhaat tarjoukset sovelluksista.



Related posts