Ako sledovať, keď niekto pristupuje k priečinku vo vašom počítači

V systéme Windows(Windows) je zabudovaná pekná malá funkcia , ktorá vám umožňuje sledovať, keď niekto zobrazí, upraví alebo odstráni niečo v zadanom priečinku. Ak teda existuje priečinok alebo súbor, ku ktorému chcete vedieť, kto k nemu pristupuje, ide o vstavanú metódu bez toho, aby ste museli používať softvér tretej strany.

Táto funkcia je v skutočnosti súčasťou bezpečnostnej funkcie systému Windows(Windows) s názvom Zásady skupiny( Group Policy) , ktorú používa väčšina IT profesionálov(IT Professionals) , ktorí spravujú počítače v podnikovej sieti prostredníctvom serverov, možno ju však použiť aj lokálne na počítači bez serverov. Jedinou nevýhodou používania skupinovej politiky(Group Policy) je, že nie je dostupná v nižších verziách systému Windows . Pre Windows 7 musíte mať Windows 7 Professional alebo vyšší. Pre Windows 8 potrebujete Pro alebo Enterprise .

Pojem skupinová politika(Group Policy) v podstate označuje súbor nastavení registra, ktoré možno ovládať cez grafické používateľské rozhranie. Môžete povoliť alebo zakázať rôzne nastavenia a tieto úpravy sa potom aktualizujú v registri Windows .

V systéme Windows XP(Windows XP) sa do editora zásad dostanete kliknutím na Štart(Start) a potom Spustiť(Run) . Do textového poľa napíšte „ gpedit.msc “ bez úvodzoviek, ako je uvedené nižšie:

spustiť gpedit

V systéme Windows 7(Windows 7) by ste jednoducho klikli na tlačidlo Štart(Start) a do vyhľadávacieho poľa v spodnej časti ponuky Štart (Start Menu)napísali gpedit.msc( gpedit.msc) . V systéme Windows 8(Windows 8) jednoducho prejdite na úvodnú obrazovku(Start Screen) a začnite písať alebo presuňte kurzor myši úplne hore alebo dolu vpravo na obrazovke, aby ste otvorili panel Charms a kliknite na Hľadať(Search) . Potom stačí zadať gpedit . Teraz by ste mali vidieť niečo podobné ako na obrázku nižšie:

editor skupinovej politiky

Existujú dve hlavné kategórie politík: Používateľ(User) a Počítač(Computer) . Ako ste možno uhádli, používateľské zásady riadia nastavenia pre každého používateľa, zatiaľ čo nastavenia počítača budú celosystémové a ovplyvnia všetkých používateľov. V našom prípade budeme chcieť, aby naše nastavenie bolo pre všetkých používateľov, preto rozbalíme časť Konfigurácia počítača(Computer Configuration) .

Pokračujte v rozbalení na Nastavenia systému Windows(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . Nebudem tu vysvetľovať veľa ďalších nastavení, pretože toto je primárne zamerané na auditovanie priečinka. Teraz na pravej strane uvidíte sadu pravidiel a ich aktuálne nastavenia. Zásady auditu sú to, čo kontroluje, či je operačný systém nakonfigurovaný a pripravený sledovať zmeny.

auditovať prístup k objektu

Teraz skontrolujte nastavenie prístupu k objektu auditu(Audit Object Access ) tak, že naň dvakrát kliknete a vyberiete Úspech(Success) aj Neúspech(Failure) . Kliknite na tlačidlo OK(Click OK) a teraz sme dokončili prvú časť, ktorá hovorí systému Windows, že chceme, aby bol pripravený na sledovanie zmien. Ďalším krokom je povedať mu, čo PRESNE(EXACTLY) chceme sledovať. Teraz môžete zatvoriť konzolu skupinovej politiky .(Group Policy)

Teraz prejdite do priečinka pomocou Prieskumníka Windows(Windows Explorer) , ktorý chcete sledovať. V Prieskumníkovi(Explorer) kliknite pravým tlačidlom myši na priečinok a kliknite na položku Vlastnosti(Properties) . Kliknite na kartu Zabezpečenie( Security Tab) a uvidíte niečo podobné tomuto:

karta zabezpečenia prieskumníka

Teraz kliknite na tlačidlo Rozšírené(Advanced) a kliknite na kartu Audit(Auditing) . Tu vlastne nakonfigurujeme, čo chceme pre tento priečinok monitorovať.

okná kariet auditu

Pokračujte a kliknite na tlačidlo Pridať(Add) . Zobrazí sa dialógové okno s výzvou na výber používateľa(User) alebo skupiny(Group) . Do poľa zadajte slovo „ používatelia(users) “ a kliknite na položku Skontrolovať mená(Check Names) . Pole sa automaticky aktualizuje názvom lokálnej skupiny používateľov pre váš počítač v tvare COMPUTERNAME\Users .

povolenia skupiny používateľov

Kliknite na tlačidlo OK(Click OK) a teraz sa zobrazí ďalšie dialógové okno s názvom „ Audit Entry for X “. Toto je skutočná masa toho, čo sme chceli urobiť. Tu si vyberiete, čo chcete pre tento priečinok sledovať. Môžete si individuálne vybrať, ktoré typy aktivít chcete sledovať, ako je odstraňovanie alebo vytváranie nových súborov/priečinkov atď. Na uľahčenie navrhujem vybrať možnosť Úplná kontrola(Full Control) , ktorá automaticky vyberie všetky ostatné možnosti pod ňou. Urobte to pre úspech(Success) a neúspech(Failure) . Týmto spôsobom budete mať záznam, nech sa urobí čokoľvek s týmto priečinkom alebo súbormi v ňom.

prieskumník povolení auditu

Teraz kliknite na tlačidlo OK a znova kliknite na tlačidlo OK a ešte raz na tlačidlo OK, aby ste sa dostali zo sady viacerých dialógových okien. A teraz ste úspešne nakonfigurovali auditovanie priečinka! Môžete sa teda opýtať, ako vnímate udalosti?

Ak chcete zobraziť udalosti, musíte prejsť do ovládacieho panela(Control Panel) a kliknúť na položku Nástroje na správu(Administrative Tools) . Potom otvorte Zobrazovač udalostí(Event Viewer) . Kliknite na sekciu Zabezpečenie(Security) a na pravej strane sa vám zobrazí veľký zoznam udalostí:

zabezpečenie prehliadača udalostí

Ak budete pokračovať a vytvoríte súbor alebo jednoducho otvoríte priečinok a kliknete na tlačidlo Obnoviť(Refresh) v prehliadači udalostí(Event Viewer) (tlačidlo s dvoma zelenými šípkami), uvidíte veľa udalostí v kategórii Systém súborov( File System) . Tieto sa týkajú všetkých operácií odstraňovania, vytvárania, čítania a zápisu v priečinkoch/súboroch, ktoré kontrolujete. V systéme Windows 7(Windows 7) sa teraz všetko zobrazuje v kategórii úloh Systém súborov(File System) , takže ak chcete vidieť, čo sa stalo, musíte kliknúť na každú z nich a posúvať sa v nej.

Aby ste si uľahčili prehliadanie toľkých udalostí, môžete vložiť filter a zobraziť len dôležité veci. Kliknite(Click) na ponuku Zobraziť(View) v hornej časti a kliknite na položku Filter . Ak neexistuje možnosť Filter , kliknite pravým tlačidlom myši na protokol zabezpečenia(Security) na ľavej strane a vyberte možnosť Filtrovať aktuálny protokol(Filter Current Log) . Do poľa Identifikácia udalosti(Event ID) zadajte číslo 4656 . Toto je udalosť spojená s konkrétnym používateľom, ktorý vykonáva akciu systému súborov (File System ) , a poskytne vám relevantné informácie bez toho, aby ste museli prezerať tisíce záznamov.

denník filtra

Ak chcete získať viac informácií o udalosti, jednoducho na ňu dvakrát kliknite a zobrazte ju.

odstrániť ID udalosti

Toto sú informácie z obrazovky vyššie:

Bola požadovaná rukoväť k objektu.(A handle to an object was requested.)

Predmet: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Názov účtu: Aseem ( Account Name: Aseem)
Doména účtu: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
Prihlasovacie ID: 0x175a1( Logon ID: 0x175a1)

Objekt: (Object:)
Objekt Server: Zabezpečenie ( Object Server: Security)
Typ objektu: Súbor ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID rukoväte dokumentu.txt: 0x16a0( Handle ID: 0x16a0)

Informácie o procese: (Process Information:)
ID procesu: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Informácie o žiadosti o prístup: (Access Request Information:)
ID transakcie: {00000000-0000-0000-0000-000000000000} Prístupy ( Transaction ID: {00000000-0000-0000-0000-000000000000})
: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

Vo vyššie uvedenom príklade bol súbor, s ktorým sa pracovalo, New Text Document.txt v priečinku Tufu na mojej pracovnej ploche a požadované prístupy boli DELETE a následne SYNCHRONIZE . Čo som tu urobil, bolo odstránenie súboru. Tu je ďalší príklad:

Typ objektu: Súbor ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID rukoväte: 0x178( Handle ID: 0x178)

Informácie o procese: (Process Information:)
ID procesu: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Informácie o požiadavke na prístup: (Access Request Information:)
ID transakcie: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Prístupy: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (alebo ListDirectory) ( ReadData (or ListDirectory))
WriteData (alebo AddFile) ( WriteData (or AddFile))AppendData ( ReadEA)
(alebo ( AppendData (or AddSubdirectory or CreatePipeInstance))AddSubdirectoryInstanceA ( WriteEA)ReadTtributeP ( ReadAttributes)ReadAtesP( WriteAttributes)



Dôvody prístupu: READ_CONTROL: Udelil vlastníctvo ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Udelil D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Keď si to prečítate, môžete vidieť, že som k Address Labels.docx pristupoval pomocou programu WINWORD.EXE a moje prístupy zahŕňali READ_CONTROL a moje dôvody prístupu boli tiež READ_CONTROL . Zvyčajne uvidíte oveľa viac prístupov, ale zamerajte sa len na prvý, pretože to je zvyčajne hlavný typ prístupu. V tomto prípade som súbor jednoducho otvoril pomocou programu Word(Word) . Chce to trochu testovania a čítania udalostí, aby ste pochopili, čo sa deje, ale keď to máte vypnuté, je to veľmi spoľahlivý systém. Navrhujem vytvoriť testovací priečinok so súbormi a vykonať rôzne akcie, aby ste videli, čo sa zobrazí v Zobrazovači udalostí(Event Viewer) .

To je skoro všetko! Rýchly a bezplatný spôsob sledovania prístupu alebo zmien v priečinku!



Melinda Balogová

About the author

Som Windows MVP a pracujem s Windows od roku 2007. Moje skúsenosti zahŕňajú vývoj softvéru, hardvéru a zvuku a aplikácií pre Windows. Vždy hľadám najlepšie spôsoby, ako zlepšiť používateľskú skúsenosť pri mojej práci, takže ak potrebujete pomôcť s návrhom alebo vývojom softvérovej aplikácie, určite môžem ponúknuť svoje služby.


Related posts