Kako pratiti kada netko pristupi mapi na vašem računalu
Tu je lijepa mala značajka ugrađena u Windows koji vam omogućuje da pratite kada netko pregledava, uređuje ili briše nešto unutar određene mape. Dakle, ako postoji mapa ili datoteka koju želite znati tko pristupa, onda je to ugrađena metoda bez upotrebe softvera treće strane.
Ta je značajka zapravo dio sigurnosne značajke sustava Windows koja se zove Pravila grupe, koji se koristi od strane većine IT profesionalaca koji upravljaju računalima u korporativnoj mreži putem poslužitelja, međutim, može se koristiti i lokalno na računalu bez poslužitelja. Jedini nedostatak korištenja pravila grupe je taj što nije dostupan u nižim verzijama sustava Windows. Za sustav Windows 7 morate imati Windows 7 Professional ili noviji. Za Windows 8 trebate Pro ili Enterprise.
Pojam pravila grupe u osnovi se odnosi na skup postavki registra koje se mogu kontrolirati putem grafičkog korisničkog sučelja. Omogućite ili onemogućite različite postavke, a ta se uređivanja ažuriraju u registru sustava Windows.
Da biste došli do uređivača pravila u sustavu Windows XP, kliknite na Početak i onda Trčanje. U tekstni okvir upišite "gpedit.msc"Bez navodnika kao što je prikazano u nastavku:
U sustavu Windows 7 samo kliknite gumb Start i upišite gpedit.msc u okvir za pretraživanje na dnu izbornika Start. U sustavu Windows 8 jednostavno idite na početni zaslon i počnite tipkati ili pomaknite pokazivač miša na gornji ili donji desni dio zaslona da biste otvorili čari i kliknite na traži. Onda samo upišite gpedit. Sada biste trebali vidjeti nešto slično slici ispod:
Postoje dvije glavne kategorije pravila: Korisnik i Računalo. Kao što ste možda pogodili, korisnička pravila kontroliraju postavke za svakog korisnika, dok će postavke računala biti postavke za cijeli sustav i utjecat će na sve korisnike. U našem slučaju želimo da naša postavka bude za sve korisnike, pa ćemo proširiti Konfiguracija računala odjeljak.
Nastavite s proširenjem na Postavke sustava Windows -> Sigurnosne postavke -> Lokalne politike -> Pravila revizije. Ovdje neću objašnjavati mnoge druge postavke jer je to prvenstveno usmjereno na reviziju mape. Sada ćete na desnoj strani vidjeti niz pravila i njihove trenutne postavke. Politika revizije je ono što kontrolira je li operacijski sustav konfiguriran i spreman za praćenje promjena.
Sada provjerite postavku za Pristup objektima revizije dvostrukim klikom na nju i odabirom oboje Uspjeh i Neuspjeh. Kliknite U redu i sada smo završili prvi dio koji govori Windowsu da želimo da bude spreman za praćenje promjena. Sada je sljedeći korak reći što točno želimo pratiti. Sada možete zatvoriti konzolu pravila grupe.
Sada idite do mape pomoću Windows Explorera koji želite pratiti. U programu Explorer desnom tipkom miša kliknite mapu i kliknite Nekretnine. Klikni na Kartica sigurnosti i vidite nešto slično ovome:
Sada kliknite na Napredna i kliknite na revizija kartica. Ovdje ćemo zapravo konfigurirati ono što želimo pratiti za ovu mapu.
Samo naprijed i kliknite Dodati dugme. Pojavit će se dijaloški okvir koji traži da odaberete korisnika ili grupu. U okvir upišite riječ "KorisniciI kliknite Provjerite imena. Okvir će se automatski ažurirati s imenom lokalne grupe korisnika za vaše računalo u obrascu Računala \ korisnika.
Kliknite U redu i sada ćete dobiti drugi dijalog koji se zove "Unos za X„. Ovo je pravo meso onoga što smo željeli učiniti. Ovdje ćete odabrati ono što želite gledati za ovu mapu. Možete pojedinačno odabrati koje vrste aktivnosti želite pratiti, kao što su brisanje ili stvaranje novih datoteka / mapa, itd. Kako biste olakšali stvari, predlažem da odaberete opciju Puna kontrola, koja će automatski odabrati sve ostale opcije ispod. Učinite to za Uspjeh i Neuspjeh. Na taj način, što god se radi s tom mapom ili datotekama unutar nje, imat ćete zapis.
Sada kliknite OK (U redu) i ponovo kliknite OK (U redu) i OK još jednom kako biste se izašli iz skupa više dijaloških okvira. I sada ste uspješno konfigurirali reviziju na mapi! Tako možete pitati, kako gledate događaje?
Da biste vidjeli događaje, morate otići na Upravljačku ploču i kliknuti na Administrativni alati. Zatim otvorite Preglednik događaja. Klikni na sigurnosti i prikazat će se veliki popis događaja s desne strane:
Ako kreirate datoteku ili jednostavno otvorite mapu i kliknete gumb Osvježi u pregledniku događaja (gumb s dvije zelene strelice), vidjet ćete hrpu događaja u kategoriji Sustav datoteka. Oni se odnose na operacije brisanja, stvaranja, čitanja, pisanja na mape / datoteke koje pregledavate. U sustavu Windows 7 sve se sada prikazuje pod kategorijom zadataka Datotečni sustav, pa da biste vidjeli što se dogodilo, morat ćete kliknuti na svaki od njih i pregledati ga.
Da biste lakše pregledali toliko događaja, možete postaviti filtar i samo vidjeti važne stvari. Klikni na Pogled na vrhu i kliknite na filtar. Ako nema opcije za filtar, kliknite desnom tipkom miša na sigurnosni zapis na lijevoj stranici i odaberite Filtrirajte trenutni dnevnik. U okvir ID događaja, upišite broj 4656. To je događaj povezan s određenim korisnikom koji izvodi a Sustav datoteka i pružit će vam relevantne informacije bez pregledavanja tisuća unosa.
Ako želite dobiti više informacija o nekom događaju, jednostavno ga dvaput kliknite za pregled.
Ovo su informacije s gornjeg zaslona:
Zatražena je ručka objekta.
predmet:
Sigurnosni ID: Aseem-Lenovo \ t
Naziv računa: Prikupljanje
Domena računa: Aseem-Lenovo
ID prijave: 0x175a1
Objekt:
Poslužitelj objekata: Sigurnost
Vrsta objekta: datoteka
Naziv objekta: C: Korisnici Izgled Desktop Desktop Aufu Tekst Text.txt
ID ručke: 0x16a0
Informacije o procesu:
ID postupka: 0x820
Naziv procesa: C: Windows explorer.exe
Informacije o zahtjevu za pristup:
ID transakcije: 00000000-0000-0000-0000-000000000000
Pristupi: DELETE
sinkronizirati
ReadAttributes
U gornjem primjeru, datoteka je radila na New Text Document.txt u mapi Tufu na mojoj radnoj površini, a pristupi koje sam zatražio su DELETE i SYNCHRONIZE. Ovdje sam izbrisao datoteku. Evo još jednog primjera:
Vrsta objekta: datoteka
Naziv objekta: C: Korisnici Izgled Desktop Eufu Adresa Labels.docx
ID ručke: 0x178
Informacije o procesu:
ID postupka: 0x1008
Naziv procesa: C: Programske datoteke (x86) Microsoft Office Office 14 WINWORD.EXE
Informacije o zahtjevu za pristup:
ID transakcije: 00000000-0000-0000-0000-000000000000
Pristupi: READ_CONTROL
sinkronizirati
ReadData (ili ListDirectory)
WriteData (ili AddFile)
AppendData (ili AddSubdirectory ili CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Razlozi pristupa: READ_CONTROL: Dodijeljeno vlasništvom
SINKRONIZACIJA: Dodjeljuje D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Dok čitate ovo, možete vidjeti da sam pristupio adresi Labels.docx koristeći program WINWORD.EXE, a moji pristupi uključeni su READ_CONTROL i moji su razlozi pristupa također bili READ_CONTROL. Obično ćete vidjeti mnogo više pristupa, ali samo se usredotočite na prvu, jer to je obično glavna vrsta pristupa. U ovom slučaju, jednostavno sam otvorio datoteku koristeći Word. Potrebno je malo testiranja i čitanja kroz događaje da bi se shvatilo što se događa, ali nakon što ste ga spustili, to je vrlo pouzdan sustav. Predlažem da napravite testnu mapu s datotekama i izvršite različite radnje da biste vidjeli što se prikazuje u pregledniku događaja.
To je uglavnom to! Brz i besplatan način praćenja pristupa ili promjena u mapi!