Kako pratiti kada netko pristupi mapi na vašem računalu

Postoji lijepa mala značajka ugrađena u Windows koja vam omogućuje praćenje kada netko pregleda, uređuje ili izbriše nešto unutar određene mape. Dakle, ako postoji mapa ili datoteka kojoj želite znati tko pristupa, onda je ovo ugrađena metoda bez potrebe za korištenjem softvera treće strane.

Ova je značajka zapravo dio sigurnosne značajke sustava Windows(Windows) koja se zove Group Policy , koju koristi većina IT stručnjaka(IT Professionals) koji upravljaju računalima u korporativnoj mreži putem poslužitelja, međutim, može se koristiti i lokalno na računalu bez ikakvih poslužitelja. Jedina mana korištenja pravila grupe(Group Policy) je ta što nije dostupna u nižim verzijama sustava Windows . Za Windows 7 morate imati Windows 7 Professional ili noviji. Za Windows 8 trebate Pro ili Enterprise .

Pojam pravila grupe(Group Policy) u osnovi se odnosi na skup postavki registra koji se mogu kontrolirati putem grafičkog korisničkog sučelja. Omogućite ili onemogućite razne postavke i ta se uređivanja zatim ažuriraju u registru sustava Windows(Windows) .

U sustavu Windows XP(Windows XP) , da biste došli do uređivača pravila, kliknite Start , a zatim Pokreni(Run) . U tekstualni okvir upišite “ gpedit.msc ” bez navodnika kao što je prikazano u nastavku:

pokrenite gpedit

U sustavu Windows 7(Windows 7) samo biste kliknuli gumb Start i upisali gpedit.msc( gpedit.msc) u okvir za pretraživanje na dnu izbornika Start(Start Menu) . U sustavu Windows 8(Windows 8) jednostavno idite na početni zaslon(Start Screen) i počnite tipkati ili pomaknite pokazivač miša u krajnji gornji ili donji desni dio zaslona da biste otvorili traku s dugmadima(Charms) i kliknite na Traži(Search) . Zatim samo upišite gpedit . Sada biste trebali vidjeti nešto što je slično slici ispod:

urednik grupne politike

Postoje dvije glavne kategorije pravila: korisnička(User) i računalna(Computer) . Kao što ste mogli pretpostaviti, korisnička pravila kontroliraju postavke za svakog korisnika, dok će postavke računala biti postavke cijelog sustava i utjecati na sve korisnike. U našem slučaju želimo da naša postavka bude za sve korisnike, pa ćemo proširiti odjeljak Konfiguracija računala(Computer Configuration) .

Nastavite širiti na Postavke sustava Windows(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . Ovdje neću puno objašnjavati druge postavke jer je ovo prvenstveno usmjereno na reviziju mape. Sada ćete vidjeti skup pravila i njihove trenutne postavke na desnoj strani. Politika revizije je ono što kontrolira je li operativni sustav konfiguriran i spreman za praćenje promjena.

pristup objektu revizije

Sada provjerite postavku za pristup objektu revizije(Audit Object Access ) dvostrukim klikom na nju i odabirom i Uspjeh(Success) i Neuspjeh(Failure) . Kliknite OK(Click OK) i sada smo gotovi s prvim dijelom koji govori Windowsu da želimo da bude spreman za praćenje promjena. Sada je sljedeći korak reći što TOČNO(EXACTLY) želimo pratiti. Sada možete zatvoriti konzolu grupnih pravila .(Group Policy)

Sada idite do mape pomoću Windows Explorera(Windows Explorer) koju želite pratiti. U Exploreru(Explorer) desnom tipkom miša kliknite mapu i kliknite Svojstva(Properties) . Kliknite na karticu Sigurnost( Security Tab) i vidjet ćete nešto slično ovome:

Sigurnosna kartica Explorera

Sada kliknite na gumb Napredno(Advanced) i kliknite na karticu Revizija(Auditing) . Ovdje ćemo zapravo konfigurirati ono što želimo pratiti za ovu mapu.

pregled prozora kartica

Samo naprijed i kliknite gumb Dodaj(Add) . Pojavit će se dijaloški okvir u kojem se od vas traži da odaberete korisnika(User) ili grupu(Group) . U okvir upišite riječ " korisnici(users) " i kliknite Provjeri imena(Check Names) . Okvir će se automatski ažurirati imenom lokalne grupe korisnika za vaše računalo u obliku COMPUTERNAME\Users .

dopuštenja korisničke grupe

Kliknite OK(Click OK) i sada ćete dobiti još jedan dijaloški okvir pod nazivom " Unos revizije za X(Audit Entry for X) ". Ovo je pravo meso onoga što smo željeli učiniti. Ovdje ćete odabrati što želite gledati za ovu mapu. Možete pojedinačno odabrati koje vrste aktivnosti želite pratiti, kao što je brisanje ili stvaranje novih datoteka/mapa itd. Da biste olakšali stvari, predlažem odabir Puna kontrola(Full Control) , koja će automatski odabrati sve ostale opcije ispod nje. Učinite to za uspjeh(Success) i neuspjeh(Failure) . Na ovaj način, sve što se učini s tom mapom ili datotekama u njoj, imat ćete zapis.

Istraživač dopuštenja revizije

Sada kliknite OK i ponovno kliknite OK i OK još jednom da izađete iz više dijaloških okvira. I sada ste uspješno konfigurirali reviziju u mapi! Pa se možete pitati, kako gledate na događaje?

Da biste vidjeli događaje, morate otići na upravljačku ploču(Control Panel) i kliknuti na Administrativni alati(Administrative Tools) . Zatim otvorite preglednik događaja(Event Viewer) . Kliknite na odjeljak Sigurnost(Security) i vidjet ćete veliki popis događaja na desnoj strani:

sigurnost gledatelja događaja

Ako krenete naprijed i stvorite datoteku ili jednostavno otvorite mapu i kliknete gumb Osvježi u (Refresh)pregledniku događaja(Event Viewer) (gumb s dvije zelene strelice), vidjet ćete hrpu događaja u kategoriji Datotečni sustav( File System) . One se odnose na sve operacije brisanja, stvaranja, čitanja, pisanja na mape/datoteke koje revidirate. U sustavu Windows 7(Windows 7) sve se sada prikazuje u kategoriji zadatka datotečnog sustava(File System) , pa da biste vidjeli što se dogodilo, morat ćete kliknuti na svaki od njih i pomicati se kroz njega.

Kako biste lakše pregledavali toliko događaja, možete staviti filter i vidjeti samo važne stvari. Kliknite(Click) na izbornik Prikaz(View) na vrhu i kliknite na Filter . Ako ne postoji opcija za Filter , tada desnom tipkom miša kliknite sigurnosni(Security) zapisnik na lijevoj stranici i odaberite Filtriraj trenutni zapisnik(Filter Current Log) . U okvir ID događaja(Event ID) upišite broj 4656 . Ovo je događaj povezan s određenim korisnikom koji izvodi radnju datotečnog sustava (File System ) i dat će vam relevantne informacije bez potrebe za pregledavanjem tisuća unosa.

zapisnik filtera

Ako želite dobiti više informacija o događaju, jednostavno dvaput kliknite na njega za pregled.

brisanje ID-a događaja

Ovo su informacije s gornjeg ekrana:

Zatraženo je rukovanje objektom.(A handle to an object was requested.)

Predmet: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Naziv računa: Aseem ( Account Name: Aseem)
Domena računa: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
ID za prijavu: 0x175a1( Logon ID: 0x175a1)

Objekt: (Object:)
Poslužitelj objekata: ( Object Server: Security)
Vrsta sigurnosnog objekta: ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID ručke: 0x16a0( Handle ID: 0x16a0)

Informacije o procesu: (Process Information:)
ID procesa: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Informacije o zahtjevu za pristup: (Access Request Information:)
ID transakcije: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Pristupi: IZBRIŠI ( Accesses: DELETE)
SINKRONIZIRAJ ( SYNCHRONIZE)
ReadAttribute( ReadAttributes)

U gornjem primjeru, datoteka na kojoj se radilo bila je New Text Document.txt u mapi Tufu na mojoj radnoj površini, a pristupi koje sam tražio bili su DELETE nakon čega slijedi SYNCHRONIZE . Ovdje sam izbrisao datoteku. Evo još jednog primjera:

Vrsta objekta: datoteka ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID ručke: 0x178( Handle ID: 0x178)

Informacije o procesu: (Process Information:)
ID procesa: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Informacije o zahtjevu za pristup: (Access Request Information:)
ID transakcije: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Pristupi: READ_CONTROL SYNCHRONIZE ( Accesses: READ_CONTROL)
ReadData ( SYNCHRONIZE)
(ili ListDirectory) ( ReadData (or ListDirectory))
WriteData (ili AddFile) ( WriteData (or AddFile))
AppendData (ili AddSubdirectory ili AddSubdirectory ili AddSubdirectory ili AddSubdirectory ( AppendData (or AddSubdirectory or CreatePipeInstance))ili ( ReadAttributes)
ReadtributeAtributeAtributeA ( ReadEA)
ReadEaTEA ( WriteEA))( WriteAttributes)

Razlozi pristupa: READ_CONTROL: Odobreno vlasništvom SYNCHRONIZE: Dodijeljeno od ( Access Reasons: READ_CONTROL: Granted by Ownership)
strane D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Dok čitate ovo, možete vidjeti da sam pristupio Address Labels.docx pomoću programa WINWORD.EXE i moji pristupi su uključivali READ_CONTROL , a razlozi mog pristupa također su bili READ_CONTROL . Obično ćete vidjeti hrpu više pristupa, ali samo se usredotočite na prvi jer je to obično glavna vrsta pristupa. U ovom slučaju, jednostavno sam otvorio datoteku koristeći Word . Potrebno je malo testiranja i čitanja kroz događaje da biste razumjeli što se događa, ali kada ga spustite, to je vrlo pouzdan sustav. Predlažem stvaranje probne mape s datotekama i izvođenje raznih radnji kako biste vidjeli što se prikazuje u pregledniku događaja(Event Viewer) .

To je poprilično to! Brz i besplatan način praćenja pristupa ili promjena u mapi!



Stela Adamić

About the author

Ja sam softverski inženjer i istraživač. Imam iskustva s Microsoft Xbox 360 i Google Explorerom. U mogućnosti sam pružiti stručne preporuke za određene alate za razvoj softvera, kao i pomoći ljudima u otklanjanju uobičajenih pogrešaka Explorera.


Related posts