Πώς να παρακολουθείτε πότε κάποιος αποκτά πρόσβαση σε έναν φάκελο στον υπολογιστή σας
Υπάρχει μια ωραία μικρή δυνατότητα ενσωματωμένη στα Windows που σας επιτρέπει να παρακολουθείτε πότε κάποιος προβάλλει, επεξεργάζεται ή διαγράφει κάτι μέσα σε έναν καθορισμένο φάκελο. Επομένως, εάν υπάρχει ένας φάκελος ή ένα αρχείο που θέλετε να μάθετε ποιος έχει πρόσβαση, τότε αυτή είναι η ενσωματωμένη μέθοδος χωρίς να χρειάζεται να χρησιμοποιήσετε λογισμικό τρίτου κατασκευαστή.
Αυτή η δυνατότητα είναι στην πραγματικότητα μέρος μιας δυνατότητας ασφαλείας των Windows που ονομάζεται (Windows)Πολιτική ομάδας( Group Policy) , η οποία χρησιμοποιείται από τους περισσότερους επαγγελματίες πληροφορικής(IT Professionals) που διαχειρίζονται υπολογιστές στο εταιρικό δίκτυο μέσω διακομιστών, ωστόσο, μπορεί επίσης να χρησιμοποιηθεί τοπικά σε υπολογιστή χωρίς διακομιστές. Το μόνο μειονέκτημα στη χρήση της Πολιτικής ομάδας(Group Policy) είναι ότι δεν είναι διαθέσιμη σε χαμηλότερες εκδόσεις των Windows . Για τα Windows 7(Windows 7) , πρέπει να έχετε Windows 7 Professional ή νεότερη έκδοση. Για τα Windows 8(Windows 8) , χρειάζεστε Pro ή Enterprise .
Ο όρος Πολιτική ομάδας(Group Policy) αναφέρεται βασικά σε ένα σύνολο ρυθμίσεων μητρώου που μπορούν να ελεγχθούν μέσω μιας γραφικής διεπαφής χρήστη. Μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε διάφορες ρυθμίσεις και στη συνέχεια αυτές οι τροποποιήσεις ενημερώνονται στο μητρώο των Windows .
Στα Windows XP , για να μεταβείτε στο πρόγραμμα επεξεργασίας πολιτικών, κάντε κλικ στο Έναρξη(Start) και μετά στην επιλογή Εκτέλεση(Run) . Στο πλαίσιο κειμένου, πληκτρολογήστε “ gpedit.msc ” χωρίς τα εισαγωγικά όπως φαίνεται παρακάτω:
Στα Windows 7 , θα πρέπει απλώς να κάνετε κλικ στο κουμπί Έναρξη(Start) και να πληκτρολογήσετε gpedit.msc στο πλαίσιο αναζήτησης στο κάτω μέρος του μενού "Έναρξη(Start Menu) " . Στα Windows 8 , απλώς μεταβείτε στην οθόνη Έναρξης(Start Screen) και ξεκινήστε να πληκτρολογείτε ή μετακινήστε τον κέρσορα του ποντικιού στην επάνω ή κάτω δεξιά γωνία της οθόνης για να ανοίξετε τη γραμμή Charms και κάντε κλικ στην Αναζήτηση(Search) . Στη συνέχεια, απλώς πληκτρολογήστε gpedit . Τώρα θα πρέπει να δείτε κάτι παρόμοιο με την παρακάτω εικόνα:
Υπάρχουν δύο κύριες κατηγορίες πολιτικών: Χρήστης(User) και Υπολογιστής(Computer) . Όπως ίσως μαντέψατε, οι πολιτικές χρήστη ελέγχουν τις ρυθμίσεις για κάθε χρήστη, ενώ οι ρυθμίσεις του υπολογιστή θα είναι ρυθμίσεις σε όλο το σύστημα και θα επηρεάσουν όλους τους χρήστες. Στην περίπτωσή μας, θα θέλουμε η ρύθμισή μας να είναι για όλους τους χρήστες, επομένως θα επεκτείνουμε την ενότητα Διαμόρφωση υπολογιστή(Computer Configuration) .
Συνεχίστε την επέκταση στις Ρυθμίσεις των Windows(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy . Δεν πρόκειται να εξηγήσω πολλές από τις υπόλοιπες ρυθμίσεις εδώ, καθώς αυτό επικεντρώνεται κυρίως στον έλεγχο ενός φακέλου. Τώρα θα δείτε ένα σύνολο πολιτικών και τις τρέχουσες ρυθμίσεις τους στη δεξιά πλευρά. Η πολιτική ελέγχου είναι αυτή που ελέγχει εάν το λειτουργικό σύστημα είναι διαμορφωμένο και έτοιμο να παρακολουθεί τις αλλαγές.
Τώρα ελέγξτε τη ρύθμιση για Πρόσβαση αντικειμένου ελέγχου(Audit Object Access ) κάνοντας διπλό κλικ πάνω της και επιλέγοντας και Επιτυχία(Success) και Αποτυχία(Failure) . Κάντε κλικ στο OK(Click OK) και τώρα τελειώσαμε το πρώτο μέρος που λέει στα Windows ότι θέλουμε να είναι έτοιμα για την παρακολούθηση των αλλαγών. Τώρα το επόμενο βήμα είναι να του πούμε τι ΑΚΡΙΒΩΣ(EXACTLY) θέλουμε να παρακολουθήσουμε. Μπορείτε να κλείσετε την κονσόλα πολιτικής ομάδας τώρα.(Group Policy)
Τώρα μεταβείτε στον φάκελο χρησιμοποιώντας την Εξερεύνηση των Windows(Windows Explorer) που θέλετε να παρακολουθήσετε. Στον Explorer , κάντε δεξί κλικ στο φάκελο και κάντε κλικ στην επιλογή Ιδιότητες(Properties) . Κάντε κλικ στην καρτέλα Ασφάλεια( Security Tab) και βλέπετε κάτι παρόμοιο με αυτό:
Τώρα κάντε κλικ στο κουμπί Για προχωρημένους(Advanced) και κάντε κλικ στην καρτέλα Έλεγχος . (Auditing)Εδώ θα διαμορφώσουμε πραγματικά τι θέλουμε να παρακολουθούμε για αυτόν τον φάκελο.
Προχωρήστε και κάντε κλικ στο κουμπί Προσθήκη(Add) . Θα εμφανιστεί ένα παράθυρο διαλόγου που σας ζητά να επιλέξετε έναν χρήστη(User) ή μια ομάδα(Group) . Στο πλαίσιο, πληκτρολογήστε τη λέξη « χρήστες(users) » και κάντε κλικ στην επιλογή Έλεγχος ονομάτων(Check Names) . Το πλαίσιο θα ενημερωθεί αυτόματα με το όνομα της ομάδας τοπικών χρηστών για τον υπολογιστή σας με τη μορφή COMPUTERNAME\Users .
Κάντε κλικ στο OK(Click OK) και τώρα θα εμφανιστεί ένα άλλο παράθυρο διαλόγου που ονομάζεται " Καταχώριση ελέγχου για X(Audit Entry for X) ". Αυτό είναι το πραγματικό κρέας αυτού που θέλαμε να κάνουμε. Εδώ θα επιλέξετε τι θέλετε να παρακολουθήσετε για αυτόν τον φάκελο. Μπορείτε να επιλέξετε μεμονωμένα ποιους τύπους δραστηριότητας θέλετε να παρακολουθείτε, όπως διαγραφή ή δημιουργία νέων αρχείων/φακέλων κ.λπ. Για να διευκολύνετε τα πράγματα, προτείνω να επιλέξετε Πλήρης έλεγχος(Full Control) , ο οποίος θα επιλέξει αυτόματα όλες τις άλλες επιλογές κάτω από αυτό. Κάντε αυτό για την επιτυχία(Success) και την αποτυχία(Failure) . Με αυτόν τον τρόπο, ό,τι κι αν γίνει σε αυτόν τον φάκελο ή τα αρχεία μέσα σε αυτόν, θα έχετε μια εγγραφή.
Τώρα κάντε κλικ στο OK και κάντε ξανά κλικ στο OK και στο ΟΚ άλλη μια φορά για να βγείτε από το σύνολο πολλαπλών πλαισίων διαλόγου. Και τώρα ρυθμίσατε με επιτυχία τον έλεγχο σε έναν φάκελο! Μπορείτε λοιπόν να ρωτήσετε, πώς βλέπετε τα γεγονότα;
Για να δείτε τα συμβάντα, πρέπει να μεταβείτε στον Πίνακα Ελέγχου(Control Panel) και να κάνετε κλικ στα Εργαλεία διαχείρισης(Administrative Tools) . Στη συνέχεια, ανοίξτε το πρόγραμμα προβολής συμβάντων(Event Viewer) . Κάντε κλικ στην ενότητα Ασφάλεια(Security) και θα δείτε μια μεγάλη λίστα συμβάντων στη δεξιά πλευρά:
Εάν προχωρήσετε και δημιουργήσετε ένα αρχείο ή απλά ανοίξετε το φάκελο και κάνετε κλικ στο κουμπί Ανανέωση(Refresh) στην Προβολή συμβάντων(Event Viewer) (το κουμπί με τα δύο πράσινα βέλη), θα δείτε μια δέσμη συμβάντων στην κατηγορία Συστήματος αρχείων( File System) . Αυτά αφορούν οποιεσδήποτε λειτουργίες διαγραφής, δημιουργίας, ανάγνωσης, εγγραφής στους φακέλους/αρχεία που ελέγχετε. Στα Windows 7 , τα πάντα εμφανίζονται τώρα στην κατηγορία εργασιών "Σύστημα αρχείων(File System) ", οπότε για να δείτε τι συνέβη, θα πρέπει να κάνετε κλικ σε κάθε ένα και να μετακινηθείτε σε αυτό.
Για να διευκολύνετε την εξέταση τόσων πολλών συμβάντων, μπορείτε να βάλετε ένα φίλτρο και απλώς να δείτε τα σημαντικά πράγματα. Κάντε κλικ(Click) στο μενού Προβολή(View) στο επάνω μέρος και κάντε κλικ στο Φίλτρο(Filter) . Εάν δεν υπάρχει επιλογή για το Φίλτρο(Filter) , κάντε δεξί κλικ στο αρχείο καταγραφής ασφαλείας(Security) στην αριστερή σελίδα και επιλέξτε Φιλτράρισμα τρέχοντος αρχείου καταγραφής(Filter Current Log) . Στο πλαίσιο Αναγνωριστικό συμβάντος(Event ID) , πληκτρολογήστε τον αριθμό 4656 . Αυτό είναι το συμβάν που σχετίζεται με έναν συγκεκριμένο χρήστη που εκτελεί μια ενέργεια συστήματος αρχείων (File System ) και θα σας δώσει τις σχετικές πληροφορίες χωρίς να χρειάζεται να αναζητήσετε χιλιάδες καταχωρήσεις.
Εάν θέλετε να λάβετε περισσότερες πληροφορίες σχετικά με ένα συμβάν, απλώς κάντε διπλό κλικ σε αυτό για προβολή.
Αυτές είναι οι πληροφορίες από την παραπάνω οθόνη:
Ζητήθηκε μια λαβή για ένα αντικείμενο.(A handle to an object was requested.)
Θέμα: (Subject:)
Security ID: Aseem-Lenovo\Aseem
: Τομέας ( Account Name: Aseem)
λογαριασμού Aseem: Αναγνωριστικό σύνδεσης Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
: 0x175a1( Logon ID: 0x175a1)
Αντικείμενο: (Object:)
Διακομιστής αντικειμένου: Ασφάλεια ( Object Server: Security)
Τύπος αντικειμένου: Αρχείο ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Αναγνωριστικό χειρισμού: 0x16a0( Handle ID: 0x16a0)
Πληροφορίες (Process Information:)
διαδικασίας: Αναγνωριστικό διαδικασίας: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Πληροφορίες αιτήματος πρόσβασης: (Access Request Information:)
Αναγνωριστικό συναλλαγής: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Προσβάσεις: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
Στο παραπάνω παράδειγμα, το αρχείο στο οποίο εργαζόμουν ήταν το New Text Document.txt στον φάκελο Tufu στην επιφάνεια εργασίας μου και οι προσβάσεις που ζήτησα ήταν ΔΙΑΓΡΑΦΗ(DELETE) και μετά SYNCHRONIZE . Αυτό που έκανα εδώ ήταν να διαγράψω το αρχείο. Εδώ είναι ένα άλλο παράδειγμα:
Τύπος αντικειμένου: Αρχείο ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Αναγνωριστικό χειρισμού: 0x178( Handle ID: 0x178)
Πληροφορίες (Process Information:)
διαδικασίας: Αναγνωριστικό διαδικασίας: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Πληροφορίες αιτήματος πρόσβασης: (Access Request Information:)
Αναγνωριστικό συναλλαγής: {00000000-0000-0000-0000-0000000000000} Πρόσβαση ( Transaction ID: {00000000-0000-0000-0000-000000000000})
: READ_CONTROL ( Accesses: READ_CONTROL)
ΣΥΝΧΡΟΝΙΣΜΟΣ ( SYNCHRONIZE)Αναγνωσμένων Δεδομένων (ή Καταλόγου Καταλόγου) WriteData (ή AddFile) ( WriteData (or AddFile))
AppenddirectoryAIntributionAtributeAddate ( ReadData (or ListDirectory))ή ( ReadEA)Addritates ( AppendData (or AddSubdirectory or CreatePipeInstance))Writeapeettes ( WriteEA)Writeaitub ( ReadAttributes).( WriteAttributes)
Λόγοι πρόσβασης: READ_CONTROL: Χορηγείται από την ιδιοκτησία ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Χορηγείται από D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
Καθώς διαβάζετε αυτό, μπορείτε να δείτε ότι είχα πρόσβαση στο Address Labels.docx(Address Labels.docx) χρησιμοποιώντας το πρόγραμμα WINWORD.EXE και οι προσβάσεις μου περιελάμβαναν το READ_CONTROL και οι λόγοι πρόσβασής μου ήταν επίσης READ_CONTROL . Συνήθως, θα δείτε πολλές περισσότερες προσβάσεις, αλλά απλώς εστιάστε στην πρώτη, καθώς αυτός είναι συνήθως ο κύριος τύπος πρόσβασης. Σε αυτήν την περίπτωση, άνοιξα απλώς το αρχείο χρησιμοποιώντας το Word . Χρειάζεται όντως λίγη δοκιμή και ανάγνωση των γεγονότων για να καταλάβετε τι συμβαίνει, αλλά μόλις το κατεβάσετε, είναι ένα πολύ αξιόπιστο σύστημα. Προτείνω να δημιουργήσετε έναν δοκιμαστικό φάκελο με αρχεία και να εκτελέσετε διάφορες ενέργειες για να δείτε τι εμφανίζεται στο πρόγραμμα προβολής συμβάντων(Event Viewer) .
Αυτό είναι λίγο πολύ! Ένας γρήγορος και δωρεάν τρόπος για να παρακολουθείτε την πρόσβαση ή τις αλλαγές σε έναν φάκελο!
Related posts
Πώς να δημιουργήσετε έναν ασφαλή και κλειδωμένο φάκελο στα Windows XP
Πώς να αποθηκεύσετε τη διάταξη εικονιδίων της επιφάνειας εργασίας σας στα Windows XP, 7, 8
Πώς να διορθώσετε το σφάλμα "Λείπει ή είναι κατεστραμμένο NTFS.sys" στα Windows XP
Απομακρυσμένη πρόσβαση σε υπολογιστή Windows XP ή Windows Server 2003
Εγκαταστήστε έναν εκτυπωτή δικτύου από τα Windows XP χρησιμοποιώντας το πρόγραμμα οδήγησης Setup
Πώς να αλλάξετε την ιδιοκτησία ενός αρχείου ή φακέλου στα Windows 11/10
Διαμορφώστε ή απενεργοποιήστε το DEP (Αποτροπή εκτέλεσης δεδομένων) στα Windows
Πώς να βρείτε το μοντέλο του υπολογιστή σας στα Windows
Τι είναι ο φάκελος PerfLogs στα Windows 10
Πώς να αυξήσετε το προεπιλεγμένο μέγεθος μικρογραφίας του Windows Explorer για εικόνες
Πώς να παίξετε δίσκους Blu-Ray στον υπολογιστή σας
Πώς να διορθώσετε το MBR σε Windows XP και Vista
Δωρεάν λογισμικό για τη διαγραφή κενών φακέλων στα Windows 11/10
Πώς να αλλάξετε ή να επαναφέρετε το προεπιλεγμένο εικονίδιο για έναν φάκελο στα Windows 11/10
Πώς να ορίσετε δικαιώματα αρχείων και φακέλων στα Windows
Συνδέστε έναν υπολογιστή Windows XP σε μια Οικιακή ομάδα των Windows 7/8/10
15 Συμβουλές για να αυξήσετε την ταχύτητα του υπολογιστή σας
Πώς να εγκαταστήσετε έναν ιστότοπο δοκιμής WordPress στον υπολογιστή σας
Επισυνάψτε ένα αρχείο VHD στα Windows XP
Τα Windows δεν έχουν πρόσβαση σε Κοινόχρηστο φάκελο ή μονάδα δίσκου στα Windows 11/10