Hoe te volgen wanneer iemand toegang heeft tot een map op uw computer
Er is een leuke kleine functie ingebouwd in Windows waarmee je kunt bijhouden wanneer iemand iets in een opgegeven map bekijkt, bewerkt of verwijdert. Dus als er een map of bestand is waarvan u wilt weten wie er toegang tot heeft, dan is dit de ingebouwde methode zonder software van derden te hoeven gebruiken.
Deze functie maakt eigenlijk deel uit van een Windows-beveiligingsfunctie genaamd Groepsbeleid, die wordt gebruikt door de meeste IT-professionals die via servers servers in het bedrijfsnetwerk beheren, maar deze kan ook lokaal op een pc worden gebruikt zonder servers. Het enige nadeel van het gebruik van Groepsbeleid is dat het niet beschikbaar is in lagere versies van Windows. Voor Windows 7 moet u Windows 7 Professional of hoger hebben. Voor Windows 8 hebt u Pro of Enterprise nodig.
De term Groepsbeleid verwijst in feite naar een set registerinstellingen die via een grafische gebruikersinterface kunnen worden beheerd. U schakelt verschillende instellingen in of uit en deze bewerkingen worden vervolgens bijgewerkt in het Windows-register.
Klik in Windows XP om door te gaan naar de beleidseditor op Begin en dan Rennen. Typ in het tekstvak "gpedit.msc"Zonder de aanhalingstekens zoals hieronder getoond:
In Windows 7 zou je gewoon op de Start-knop klikken en typen gpedit.msc in het zoekvak onderaan het Startmenu. Ga in Windows 8 gewoon naar het startscherm en begin met typen of verplaats de muiscursor naar de bovenkant of rechtsonder van het scherm om de muis te openen. charms bar en klik op Zoeken. Typ dan gewoon in gpedit. Nu zou je iets moeten zien dat lijkt op de afbeelding hieronder:
Er zijn twee hoofdcategorieën van beleid: Gebruiker en Computer. Zoals je misschien al geraden hebt, bepalen de gebruikerspolicies de instellingen voor elke gebruiker terwijl de computerinstellingen systeembrede instellingen zijn en alle gebruikers zullen beïnvloeden. In ons geval zullen we willen dat onze instelling voor alle gebruikers is, dus we zullen het uitbreiden computer configuratie sectie.
Ga door met uitbreiden naar Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Auditbeleid. Ik ga hier niet veel van de andere instellingen uitleggen, omdat dit voornamelijk is gericht op het controleren van een map. Nu zie je een reeks beleidsregels en hun huidige instellingen aan de rechterkant. Met controlebeleid wordt bepaald of het besturingssysteem is geconfigureerd en klaar om wijzigingen te volgen.
Controleer nu de instelling voor Audit Object Toegang door erop te dubbelklikken en beide te selecteren Succes en Mislukking. Klik op OK en nu zijn we klaar met het eerste deel dat Windows vertelt dat we willen dat het klaar is om wijzigingen te controleren. Nu is de volgende stap om te vertellen wat PRECIES we willen volgen. U kunt nu de console Groepsbeleid afsluiten.
Navigeer nu naar de map met Windows Verkenner die u wilt controleren. Klik in Explorer met de rechtermuisknop op de map en klik op eigenschappen. Klik op de Beveiliging Tab en je ziet iets soortgelijks:
Klik nu op de gevorderd knop en klik op de auditing tab. Hier zullen we eigenlijk configureren wat we willen controleren voor deze map.
Ga je gang en klik op de Toevoegen knop. Er verschijnt een dialoogvenster waarin u wordt gevraagd om een gebruiker of groep te selecteren. Typ in het vak het woord "gebruikers"En klik Controleer namen. Het vak wordt automatisch bijgewerkt met de naam van de lokale gebruikersgroep voor uw computer in het formulier COMPUTERNAME \ Users.
Klik op OK en nu krijg je een ander dialoogvenster genaamd "Audit Entry voor X“. Dit is het echte vlees van wat we hebben willen doen. Hier selecteert u wat u voor deze map wilt bekijken. U kunt individueel kiezen welke soorten activiteit u wilt volgen, zoals het verwijderen of aanmaken van nieuwe bestanden / mappen, enz. Om het u gemakkelijker te maken, raad ik aan Volledig beheer te selecteren, dat automatisch alle andere opties eronder selecteert. Doe dit voor Succes en Mislukking. Op deze manier heb je een record, ongeacht wat er met die map of de bestanden erin wordt gedaan.
Klik nu op OK en nogmaals op OK en nog een keer op OK om uit de set met meerdere dialoogvensters te komen. En nu hebt u met succes audit op een map geconfigureerd! Dus je kunt je afvragen, hoe kijk je naar de gebeurtenissen?
Om de gebeurtenissen te bekijken, moet je naar het Configuratiescherm gaan en op klikken Administratieve hulpmiddelen. Open vervolgens de Event Viewer. Klik op de Veiligheid sectie en je ziet een grote lijst met evenementen aan de rechterkant:
Als u doorgaat en een bestand maakt of eenvoudig de map opent en op de knop Vernieuwen in de Logboeken (de knop met de twee groene pijlen) klikt, ziet u een heleboel gebeurtenissen in de categorie Bestandssysteem. Deze hebben betrekking op alle verwijderings-, maak-, lees- en schrijfbewerkingen in de mappen / bestanden die u aan het controleren bent. In Windows 7 wordt alles nu weergegeven onder de taakcategorie Bestandssysteem, dus om te zien wat er is gebeurd, moet je op elke taak klikken en er doorheen bladeren.
Om het gemakkelijker te maken om door zoveel evenementen te kijken, kun je een filter plaatsen en gewoon de belangrijke dingen zien. Klik op de Uitzicht menu bovenaan en klik op Filter. Als er geen optie voor filter is, klik dan met de rechtermuisknop op het beveiligingslogboek op de linkerpagina en kies Filter Huidig logboek. Typ het nummer in het vak Gebeurtenis-ID 4656. Dit is de gebeurtenis die is gekoppeld aan een bepaalde gebruiker die een uitvoert Bestandssysteem actie en geeft u de relevante informatie zonder door duizenden inzendingen te hoeven kijken.
Als je meer informatie wilt over een evenement, dubbelklik je erop om het te bekijken.
Dit is de informatie van het scherm hierboven:
Een handvat voor een object is aangevraagd.
Onderwerpen:
Beveiligings-ID: Aseem-Lenovo \ Aseem
Accountnaam: Aseem
Accountdomein: Aseem-Lenovo
Aanmeldings-ID: 0x175a1
Voorwerp:
Object Server: Beveiliging
Objecttype: Bestand
Objectnaam: C: \ Users \ Aseem \ Desktop \ Tufu \ Nieuwe tekst Document.txt
Handvat-ID: 0x16a0
Proces informatie:
Proces-ID: 0x820
Procesnaam: C: \ Windows \ explorer.exe
Toegang tot aanvraaginformatie:
Transactie-ID: 00000000-0000-0000-0000-000000000000
Toegang: VERWIJDEREN
SYNCHRONISEREN
ReadAttributes
In het bovenstaande voorbeeld werkte het bestand aan New Text Document.txt in de map Tufu op mijn bureaublad en de toegangen die ik heb aangevraagd, werden VERWIJDERD gevolgd door SYNCHRONIZE. Wat ik hier deed, was het bestand verwijderen. Hier is nog een voorbeeld:
Objecttype: Bestand
Objectnaam: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Handvat-ID: 0x178
Proces informatie:
Proces-ID: 0x1008
Procesnaam: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Toegang tot aanvraaginformatie:
Transactie-ID: 00000000-0000-0000-0000-000000000000
Toegang: READ_CONTROL
SYNCHRONISEREN
ReadData (of ListDirectory)
WriteData (of AddFile)
AppendData (of AddSubdirectory of CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Toegangsredenen: READ_CONTROL: Toegekend door eigendom
SYNCHRONIZE: Verleend door D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Terwijl u dit leest, ziet u dat ik toegang heb gekregen tot Adreslabels.docx met het WINWORD.EXE-programma en mijn toegangen READ_CONTROL inbegrepen en mijn toegangsredenen waren ook READ_CONTROL. Meestal ziet u een heleboel meer toegangen, maar concentreert u zich gewoon op de eerste omdat dat meestal het belangrijkste type toegang is. In dit geval heb ik het bestand gewoon geopend met Word. Het duurt een beetje testen en lezen van de gebeurtenissen om te begrijpen wat er aan de hand is, maar als je het eenmaal hebt, is het een zeer betrouwbaar systeem. Ik stel voor een testmap met bestanden te maken en verschillende acties uit te voeren om te zien wat er in de Logboeken verschijnt.
Dat is het eigenlijk wel! Een snelle en gratis manier om toegang of wijzigingen in een map bij te houden!