If-Koubou

Kā izsekot, kad kāds piekļūst mapei datorā

Kā izsekot, kad kāds piekļūst mapei datorā (Windows XP)

Windows sistēmā ir iebūvēta jauna maz iezīme, kas ļauj izsekot, kad kāds konkrētā mapē skatās, rediģē vai dzēš kaut ko. Tātad, ja ir mape vai fails, par kuru vēlaties uzzināt, kurš piekļūst, tad tā ir iebūvēta metode, neizmantojot trešās puses programmatūru.

Šī funkcija faktiski ir daļa no Windows drošības funkcijas, ko sauc Grupas politika, ko izmanto lielākā daļa IT profesionāļu, kas pārvalda datorus korporatīvajā tīklā, izmantojot serverus, tomēr to var arī izmantot lokāli datorā bez serveriem. Grupas politikas izmantošana ir vienīgais trūkums, ka tas nav pieejams zemākajās Windows versijās. Operētājsistēmā Windows 7 jums ir jābūt Windows 7 Professional vai jaunākai. Operētājsistēmai Windows 8 ir nepieciešama Pro vai Enterprise.

Termins "grupas politika" pamatā attiecas uz reģistra iestatījumu kopumu, kuru var kontrolēt ar grafiskā lietotāja saskarni. Jūs ieslēdzat vai deaktivizējat dažādus iestatījumus, un šie labojumi tiek atjaunināti Windows reģistrā.

Windows XP, lai piekļūtu politikas redaktoram, noklikšķiniet uz Sākt un tad Palaist. Teksta lodziņā ierakstiet "gpedit.msc"Bez citātiem, kā parādīts zemāk:

Windows 7 jūs vienkārši noklikšķiniet uz pogas Sākt un ierakstiet gpedit.msc meklēšanas lodziņā izvēlnes Sākt apakšdaļā. Operētājsistēmā Windows 8, vienkārši dodieties uz sākuma ekrānu un sāciet rakstīt vai pārvietojiet peles kursoru ekrāna augšējā vai apakšējā labajā stūrī, lai atvērtu Prēmijas bārs un noklikšķiniet uz Meklēt. Tad vienkārši ierakstiet gpedits. Tagad jums vajadzētu redzēt kaut kas līdzīgs attēlam zemāk:

Pastāv divas galvenās politikas kategorijas: Lietotājs un Dators. Kā jūs varētu uzminēt, lietotāju politikas kontrolē iestatījumus katram lietotājam, bet datora iestatījumi būs sistēmas iestatījumi un ietekmēs visus lietotājus. Mūsu gadījumā mēs gribam, lai mūsu iestatījums būtu visiem lietotājiem, tāpēc mēs paplašināsim Datora konfigurācija sadaļa.

Turpiniet paplašināt līdz Windows iestatījumi -> Drošības iestatījumi -> Vietējās politikas -> Audita politika. Es nesāku izskaidrot daudzus citus iestatījumus šeit, jo tas galvenokārt ir vērsts uz mapes auditu. Tagad jūs redzēsit politiku kopumu un to pašreizējos iestatījumus labajā pusē. Audita politika nosaka, vai operētājsistēma ir konfigurēta vai nav gatava izsekot izmaiņām.

Tagad pārbaudiet iestatījumu Audita objektu piekļuve divreiz noklikšķinot uz tā un izvēloties abus Panākumi un Neveiksme. Noklikšķiniet uz Labi un tagad mēs esam pabeidzuši pirmo daļu, kas stāsta Windows, ka mēs vēlamies, lai tā būtu gatava pārraudzīt izmaiņas. Tagad nākamais solis ir pateikt to, ko mēs patiešām vēlamies izsekot. Tagad varat izslēgt grupas politikas konsoli.

Tagad pārvietojieties uz mapi, izmantojot Windows Explorer, kuru vēlaties kontrolēt. Pārlūkprogrammā Explorer peles labo pogu noklikšķiniet uz mapes un noklikšķiniet uz Īpašības. Noklikšķiniet uz Drošības tab un jūs redzat kaut ko līdzīgu šim:

Tagad noklikšķiniet uz Progresīvs pogu un noklikšķiniet uz Revīzija tab. Šeit mēs faktiski konfigurēsim to, ko mēs vēlamies, lai uzraudzītu šo mapi.

Iet uz priekšu un noklikšķiniet uz Pievienot poga Parādīsies dialoglodziņš ar aicinājumu atlasīt lietotāju vai grupu. Lodziņā ierakstiet vārdu "lietotāji"Un noklikšķiniet Pārbaudīt vārdus. Šis lodziņš tiek automātiski atjaunināts ar vietējās lietotāju grupas nosaukumu jūsu datoram šādā formā COMPUTERNAME \ Lietotāji.

Noklikšķiniet uz Labi un tagad jūs saņemsit citu dialogu ar nosaukumu "Audita ieraksts X" Šī ir īstā gaļa no tā, ko mēs vēlējāmies darīt. Šeit ir tas, kur jūs izvēlaties, ko vēlaties vērot šajā mapē. Jūs varat individuāli izvēlēties, kāda veida darbību vēlaties izsekot, piemēram, dzēst vai izveidot jaunus failus / mapes utt. Lai padarītu lietas vieglāk, es iesaku izvēlēties Full Control, kas automātiski atlasīs visas citas iespējas zem tā. Dariet to par Panākumi un Neveiksme. Tādā veidā, neatkarīgi no tā, kas tiek darīts ar šo mapi vai failiem tajā, jums būs ieraksts.

Tagad noklikšķiniet uz Labi un pēc tam noklikšķiniet uz Labi vēlreiz un vēlreiz vēlreiz labojiet, lai izietu no vairākkārt iestatītā dialoglodziņa. Un tagad esat veiksmīgi konfigurējis auditu uz mapes! Tātad jūs varētu jautāt, kā jūs skatāt notikumus?

Lai apskatītu notikumus, jums jādodas uz vadības paneli un noklikšķiniet uz Administratīvie rīki. Tad atveriet Notikumu skatītājs. Noklikšķiniet uz Drošība sadaļā, un labajā pusē būs redzams liels notikumu saraksts:

Ja jūs ietu uz priekšu un izveidojat failu vai vienkārši atveriet mapi un Event Viewer pogai Atsvaidzināt (poga ar divām zaļajām bultiņām), jūs redzēsiet vairākus notikumus kategorijā Failu sistēma. Tie attiecas uz visu izdzēšamo, izveidoto, lasīto un rakstīto darbību mapēs / failos, kurus jūs auditējat. Operētājsistēmā Windows 7 viss tagad parādās faila sistēmas uzdevumu kategorijā, tāpēc, lai redzētu, kas noticis, jums būs jānoklikšķina uz katra un ritiniet to.

Lai atvieglotu tik daudz notikumu izskatu, varat ievietot filtru un vienkārši redzēt svarīgos jautājumus. Noklikšķiniet uz Skats augšdaļā esošajā izvēlnē un noklikšķiniet uz Filtrēt. Ja Filter nav, filtra kreisajā pusē ar peles labo pogu noklikšķiniet uz drošības žurnāla un izvēlieties Filtrēt pašreizējo žurnālu. Laukā Event ID ierakstiet numuru 4656. Tas ir notikums, kas saistīts ar konkrētu lietotāju, kurš veic Failu sistēmaun jūs sniegsiet attiecīgo informāciju, neizskatot tūkstošiem ierakstu.

Ja vēlaties iegūt vairāk informācijas par notikumu, vienkārši to dubultklikšķi, lai to apskatītu.

Šī ir informācija no ekrāna iepriekš:

Pieprasīts objekta rokturis.

Temats:
Drošības ID: Aseem-Lenovo \ Aseem
Konta nosaukums: Aseem
Konta domēns: Aseem-Lenovo
Pieteikšanās ID: 0x175a1

Objekts:
Objektu serveris: drošība
Objekta tips: fails
Objekta nosaukums: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
Rokturis ID: 0x16a0

Procesa informācija:
Process ID: 0x820
Process Nosaukums: C: \ Windows \ explorer.exe

Piekļuves pieprasījuma informācija:
Darījuma ID: 00000000-0000-0000-0000-000000000000
Pieejas: DELETE
SYNCHRONIZE
ReadAttributes

Iepriekš minētajā piemērā darbotos fails bija New Text Document.txt mapē Tufu manā darbvirsmā, un piekļuves, kuras es pieprasīju, bija DELETE, kam seko SYNCHRONIZE. Tas, ko es izdarīju, bija dzēst failu. Šis ir vēl viens piemērs:

Objekta tips: fails
Objekta nosaukums: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Rokturis ID: 0x178

Procesa informācija:
Procesa ID: 0x1008
Procesa nosaukums: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Piekļuves pieprasījuma informācija:
Darījuma ID: 00000000-0000-0000-0000-000000000000
Pieejas: READ_CONTROL
SYNCHRONIZE
ReadData (vai ListDirectory)
WriteData (vai AddFile)
AppendData (vai AddSubdirectory vai CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Piekļuves iemesli: READ_CONTROL: piešķirts īpašumtiesības
SYNCHRONIZE: piešķir D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Kad jūs to izlasījāt, varat redzēt, ka es piekļuvu adreses etiķetēm.docx, izmantojot programmu WINWORD.EXE, un manos piekļūt bija READ_CONTROL, un mani piekļuves iemesli bija arī READ_CONTROL. Parasti jūs redzēsit vairāk saites, bet uzmanība tiks pievērsta tikai pirmajam, jo ​​tas parasti ir galvenais piekļuves veids. Šajā gadījumā es vienkārši atveru failu, izmantojot Word. Lai izprastu, kas notiek, nedaudz jāpārbauda un jālasa notikumi, bet, kad tas ir noticis, tā ir ļoti uzticama sistēma. Es iesaku izveidot testa mapi ar failiem un veikt dažādas darbības, lai redzētu, kas parādās notikumu skatītājā.

Tas ir diezgan daudz! Ātri un bezmaksas veids, kā izsekot piekļuvei vai mainīt mapi!