Det er en fin liten funksjon som er innebygd i Windows som lar deg spore når noen synspunkter, redigerer eller sletter noe på innsiden av en angitt mappe. Så hvis det er en mappe eller en fil som du ønsker å vite hvem som har tilgang, så er dette bygget-i metode uten å bruke tredjeparts programvare.
Denne funksjonen er faktisk en del av en Windows-funksjon som heter Group Policy, som er brukt av de fleste IT-Profesjonelle som administrere datamaskiner i bedriftens nettverk via servere, men det kan også brukes lokalt på en PC uten noen servere. Den eneste ulempen med å bruke Group Policy er at det ikke er tilgjengelig i lavere versjoner av Windows. For Windows 7, må du ha Windows 7 Professional eller høyere. For Windows 8, må du ha Pro-eller Enterprise.
Begrepet Group Policy i utgangspunktet refererer til et sett av registret innstillinger som kan kontrolleres via et grafisk brukergrensesnitt. Du vil aktivere eller deaktivere ulike innstillinger og disse endringer er så oppdatert i Windows-registret.
I Windows XP, for å få til de politiske redaktør, klikk på Start og deretter Kjør. I tekstboksen skriver du inn “gpedit.msc” uten anførselstegn, som vist nedenfor:
I Windows 7, du ville bare klikk på Start-knappen og skriv gpedit.msc i søkeboksen nederst på Start-Menyen. I Windows 8, er det bare å gå til Start-Skjermen og begynner å skrive inn eller flytt din musen markøren til langt øverst eller nederst til høyre på skjermen for å åpne Charms bar og klikk på Søk. Så bare skriv i gpedit. Nå bør du se noe som ligner på bildet nedenfor:
Det er to hovedkategorier av politikk: Bruker – og Datamaskin. Som du kanskje har gjettet, brukeren politikk kontrollere innstillinger for hver bruker mens innstillingene på maskinen vil være system bredt innstillinger og vil påvirke alle brukere. I vårt tilfelle skal vi ønsker at vår innstilling til å være for alle brukere, slik at vi får utvid Computer Configuration – delen.
Fortsett å utvide til Windows-Innstillinger -> Security-Innstillinger -> Lokal Politikk -> overvåkingspolicy. Jeg kommer ikke til å forklare mye av de andre innstillingene her siden dette er først og fremst fokusert på revisjon en mappe. Nå vil du se et sett av retningslinjer og gjeldende innstillinger på høyre side. Overvåkingspolicy er det som bestemmer om operativsystemet er konfigurert og klar til å spore endringer.
Nå kontrollere innstillingen for Revisjon Object Access ved å dobbeltklikke på den og velge både Suksess og Fiasko. Klikk på OK, og nå er vi ferdig med den første delen som forteller Windows at vi ønsker at den skal være klar til å overvåke endringer. Nå er neste trinn er å fortelle den hva vi ønsker å spore. Du kan lukke ut av Group Policy-konsollen nå.
Nå navigere til mappen med Windows Utforsker du ønsker å overvåke. I Explorer, høyreklikk på mappen, og klikk Egenskaper. Klikk på Fanen Sikkerhet , og du ser noe som ligner på dette:
Nå klikker du på Avansert – knappen og klikk på Revisjon kategorien. Dette er hvor vi faktisk vil konfigurere hva vi ønsker å overvåke for denne mappen.
Gå videre og klikk på Legg til – knappen. Det vises en dialogboks som ber deg om å velge en Bruker eller Gruppe. I boksen skriver du inn ordet “brukere” og klikk deretter Kontroller Navn. Boksen vil automatisk oppdatere med navnet på den lokale gruppen brukere for din datamaskin i form DATAMASKINNAVNBrukere.
Klikk på OK, og nå vil du få opp en ny dialogboks som kalles “Revisjon Oppføring for X“. Dette er ekte kjøtt av hva vi har lyst til å gjøre. Her er hvor du velger hva du vil se etter denne mappen. Du kan enkeltvis velge hvilke typer aktivitet du ønsker å spore, for eksempel slette eller opprette nye filer/mapper, etc. For å gjøre ting enklere, foreslår jeg at du velger Full Kontroll, som automatisk velger alle de andre alternativene nedenfor. Gjør dette for Suksess og Fiasko. På denne måten, hva er gjort til den mappen eller filene i den, du vil ha en oversikt.
Nå klikker du på OK og deretter OK en gang til og deretter OK en gang til for å komme seg ut av flere dialogboksen set. Og du har nå konfigurert for revisjon på en mappe! Så du kan spørre, hvordan kan du vise arrangementer?
For å vise arrangementer, du trenger ikke å gå til Kontrollpanel, og klikk på Administrative Verktøy. Åpne deretter hendelsesliste. Klikk på Sikkerhet – delen, og du vil se en stor liste over hendelser på høyre side:
Hvis du gå videre og opprette en fil eller åpner du bare mappen og klikk på Oppdater-knappen i hendelsesliste (knappen med to grønne piler), vil du se en haug av hendelser i kategorien File System. Disse gjelder for alle slette, opprette, lese, skrive-operasjoner på mapper/filer du er revisjon. I Windows 7, er alt nå dukker opp under filsystem oppgave kategori, så for å se hva som skjedde, må du klikke på hver og en og blar gjennom det.
For å gjøre det enklere å se gjennom så mange hendelser, kan du sette et filter og bare se de viktige tingene. Klikk på Vis – menyen øverst og klikk på Filter. Hvis det er ingen mulighet for Filteret, må du høyreklikke på sikkerhetsloggen i venstre side og velg Filter Gjeldende Logg. I Hendelses-ID-boksen, skriv inn antall 4656. Dette er den hendelse som er knyttet til en bestemt bruker du utfører en Fil System handling og vil gi deg relevant informasjon uten å måtte lete gjennom tusenvis av oppføringer.
Hvis du vil ha mer informasjon om en hendelse, rett og slett dobbeltklikke på den for å vise.
Dette er informasjon fra skjermen ovenfor:
En referanse til et objekt ble forespurt.
Emne:
Security-ID: Aseem-LenovoAseem
Kontonavn: Aseem
Konto Domene: Aseem-Lenovo
Pålogging ID: 0x175a1
Object:
Objekt-Server: Sikkerhet
Objekttype: Fil
Objekt Navn: C:UsersAseemDesktopTufuNew Tekst Document.txt
Håndtere ID: 0x16a0
Behandle Informasjon:
Prosess-ID: 0x820
Prosessen Navn: C:Windowsexplorer.exe
Forespørsel Om Tilgang Til Informasjon:
Transaksjons-ID: {00000000-0000-0000-0000-000000000000}
Tilgang: SLETT
SYNKRONISERE
ReadAttributes
I eksemplet ovenfor har filen jobbet på var Ny Tekst Document.txt i Tufu mappe på skrivebordet mitt og tilgangene som jeg ba om var SLETT etterfulgt av SYNKRONISERE. Hva jeg gjorde her var å slette filen. Her er et annet eksempel:
Objekttype: Fil
Objekt Navn: C:UsersAseemDesktopTufuAddress Labels.docx
Håndtere ID: 0x178
Behandle Informasjon:
Prosess-ID: 0x1008
Prosessen Navn: C:Program Files (x86)Microsoft OfficeOffice14WINWORD.EXE
Forespørsel Om Tilgang Til Informasjon:
Transaksjons-ID: {00000000-0000-0000-0000-000000000000}
Tilgang: READ_CONTROL
SYNKRONISERE
ReadData (eller ListDirectory)
WriteData (eller AddFile)
AppendData (eller AddSubdirectory eller CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Tilgang Grunner: READ_CONTROL: Gitt av Eierskap
SYNKRONISERE: Gitt ved D:(A;ID;O;;;S-1-5-21-597862309-2018615179-2090787082-1000)
Når du leser gjennom dette, kan du se jeg åpnet Adresse Labels.docx bruker WINWORD.EXE program og min tilgang inkludert READ_CONTROL og min tilgang grunner ble også READ_CONTROL. Vanligvis, vil du se en haug flere får tilgang til, men bare fokusere på den første, så det er vanligvis den viktigste type tilgang. I dette tilfellet, jeg bare åpnet filen ved hjelp av Ord. Det tar litt testing og lese gjennom hendelser for å forstå hva som skjer, men når du har det, det er en veldig pålitelig system. Jeg foreslår at du lager en test mappe med filer og utføre ulike handlinger for å se hva som dukker opp i hendelsesliste.
Det er ganske mye det! En rask og gratis måte å spore tilgang eller endringer i en mappe!