Πώς να παρακολουθείτε πότε κάποιος αποκτά πρόσβαση σε έναν φάκελο στον υπολογιστή σας

Υπάρχει μια ωραία μικρή δυνατότητα ενσωματωμένη στα Windows που σας επιτρέπει να παρακολουθείτε πότε κάποιος προβάλλει, επεξεργάζεται ή διαγράφει κάτι μέσα σε έναν καθορισμένο φάκελο. Επομένως, εάν υπάρχει ένας φάκελος ή ένα αρχείο που θέλετε να μάθετε ποιος έχει πρόσβαση, τότε αυτή είναι η ενσωματωμένη μέθοδος χωρίς να χρειάζεται να χρησιμοποιήσετε λογισμικό τρίτου κατασκευαστή.

Αυτή η δυνατότητα είναι στην πραγματικότητα μέρος μιας δυνατότητας ασφαλείας των Windows που ονομάζεται (Windows)Πολιτική ομάδας( Group Policy) , η οποία χρησιμοποιείται από τους περισσότερους επαγγελματίες πληροφορικής(IT Professionals) που διαχειρίζονται υπολογιστές στο εταιρικό δίκτυο μέσω διακομιστών, ωστόσο, μπορεί επίσης να χρησιμοποιηθεί τοπικά σε υπολογιστή χωρίς διακομιστές. Το μόνο μειονέκτημα στη χρήση της Πολιτικής ομάδας(Group Policy) είναι ότι δεν είναι διαθέσιμη σε χαμηλότερες εκδόσεις των Windows . Για τα Windows 7(Windows 7) , πρέπει να έχετε Windows 7 Professional ή νεότερη έκδοση. Για τα Windows 8(Windows 8) , χρειάζεστε Pro ή Enterprise .

Ο όρος Πολιτική ομάδας(Group Policy) αναφέρεται βασικά σε ένα σύνολο ρυθμίσεων μητρώου που μπορούν να ελεγχθούν μέσω μιας γραφικής διεπαφής χρήστη. Μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε διάφορες ρυθμίσεις και στη συνέχεια αυτές οι τροποποιήσεις ενημερώνονται στο μητρώο των Windows .

Στα Windows XP , για να μεταβείτε στο πρόγραμμα επεξεργασίας πολιτικών, κάντε κλικ στο Έναρξη(Start) και μετά στην επιλογή Εκτέλεση(Run) . Στο πλαίσιο κειμένου, πληκτρολογήστε “ gpedit.msc ” χωρίς τα εισαγωγικά όπως φαίνεται παρακάτω:

τρέξτε το gpedit

Στα Windows 7 , θα πρέπει απλώς να κάνετε κλικ στο κουμπί Έναρξη(Start) και να πληκτρολογήσετε gpedit.msc στο πλαίσιο αναζήτησης στο κάτω μέρος του μενού "Έναρξη(Start Menu) " . Στα Windows 8 , απλώς μεταβείτε στην οθόνη Έναρξης(Start Screen) και ξεκινήστε να πληκτρολογείτε ή μετακινήστε τον κέρσορα του ποντικιού στην επάνω ή κάτω δεξιά γωνία της οθόνης για να ανοίξετε τη γραμμή Charms και κάντε κλικ στην Αναζήτηση(Search) . Στη συνέχεια, απλώς πληκτρολογήστε gpedit . Τώρα θα πρέπει να δείτε κάτι παρόμοιο με την παρακάτω εικόνα:

πρόγραμμα επεξεργασίας πολιτικής ομάδας

Υπάρχουν δύο κύριες κατηγορίες πολιτικών: Χρήστης(User) και Υπολογιστής(Computer) . Όπως ίσως μαντέψατε, οι πολιτικές χρήστη ελέγχουν τις ρυθμίσεις για κάθε χρήστη, ενώ οι ρυθμίσεις του υπολογιστή θα είναι ρυθμίσεις σε όλο το σύστημα και θα επηρεάσουν όλους τους χρήστες. Στην περίπτωσή μας, θα θέλουμε η ρύθμισή μας να είναι για όλους τους χρήστες, επομένως θα επεκτείνουμε την ενότητα Διαμόρφωση υπολογιστή(Computer Configuration) .

Συνεχίστε την επέκταση στις Ρυθμίσεις των Windows(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . Δεν πρόκειται να εξηγήσω πολλές από τις υπόλοιπες ρυθμίσεις εδώ, καθώς αυτό επικεντρώνεται κυρίως στον έλεγχο ενός φακέλου. Τώρα θα δείτε ένα σύνολο πολιτικών και τις τρέχουσες ρυθμίσεις τους στη δεξιά πλευρά. Η πολιτική ελέγχου είναι αυτή που ελέγχει εάν το λειτουργικό σύστημα είναι διαμορφωμένο και έτοιμο να παρακολουθεί τις αλλαγές.

πρόσβαση αντικειμένου ελέγχου

Τώρα ελέγξτε τη ρύθμιση για Πρόσβαση αντικειμένου ελέγχου(Audit Object Access ) κάνοντας διπλό κλικ πάνω της και επιλέγοντας και Επιτυχία(Success) και Αποτυχία(Failure) . Κάντε κλικ στο OK(Click OK) και τώρα τελειώσαμε το πρώτο μέρος που λέει στα Windows ότι θέλουμε να είναι έτοιμα για την παρακολούθηση των αλλαγών. Τώρα το επόμενο βήμα είναι να του πούμε τι ΑΚΡΙΒΩΣ(EXACTLY) θέλουμε να παρακολουθήσουμε. Μπορείτε να κλείσετε την κονσόλα πολιτικής ομάδας τώρα.(Group Policy)

Τώρα μεταβείτε στον φάκελο χρησιμοποιώντας την Εξερεύνηση των Windows(Windows Explorer) που θέλετε να παρακολουθήσετε. Στον Explorer , κάντε δεξί κλικ στο φάκελο και κάντε κλικ στην επιλογή Ιδιότητες(Properties) . Κάντε κλικ στην καρτέλα Ασφάλεια( Security Tab) και βλέπετε κάτι παρόμοιο με αυτό:

καρτέλα ασφαλείας του εξερευνητή

Τώρα κάντε κλικ στο κουμπί Για προχωρημένους(Advanced) και κάντε κλικ στην καρτέλα Έλεγχος . (Auditing)Εδώ θα διαμορφώσουμε πραγματικά τι θέλουμε να παρακολουθούμε για αυτόν τον φάκελο.

έλεγχος παραθύρων καρτελών

Προχωρήστε και κάντε κλικ στο κουμπί Προσθήκη(Add) . Θα εμφανιστεί ένα παράθυρο διαλόγου που σας ζητά να επιλέξετε έναν χρήστη(User) ή μια ομάδα(Group) . Στο πλαίσιο, πληκτρολογήστε τη λέξη « χρήστες(users) » και κάντε κλικ στην επιλογή Έλεγχος ονομάτων(Check Names) . Το πλαίσιο θα ενημερωθεί αυτόματα με το όνομα της ομάδας τοπικών χρηστών για τον υπολογιστή σας με τη μορφή COMPUTERNAME\Users .

δικαιώματα ομάδας χρηστών

Κάντε κλικ στο OK(Click OK) και τώρα θα εμφανιστεί ένα άλλο παράθυρο διαλόγου που ονομάζεται " Καταχώριση ελέγχου για X(Audit Entry for X) ". Αυτό είναι το πραγματικό κρέας αυτού που θέλαμε να κάνουμε. Εδώ θα επιλέξετε τι θέλετε να παρακολουθήσετε για αυτόν τον φάκελο. Μπορείτε να επιλέξετε μεμονωμένα ποιους τύπους δραστηριότητας θέλετε να παρακολουθείτε, όπως διαγραφή ή δημιουργία νέων αρχείων/φακέλων κ.λπ. Για να διευκολύνετε τα πράγματα, προτείνω να επιλέξετε Πλήρης έλεγχος(Full Control) , ο οποίος θα επιλέξει αυτόματα όλες τις άλλες επιλογές κάτω από αυτό. Κάντε αυτό για την επιτυχία(Success) και την αποτυχία(Failure) . Με αυτόν τον τρόπο, ό,τι κι αν γίνει σε αυτόν τον φάκελο ή τα αρχεία μέσα σε αυτόν, θα έχετε μια εγγραφή.

εξερευνητής αδειών ελέγχου

Τώρα κάντε κλικ στο OK και κάντε ξανά κλικ στο OK και στο ΟΚ άλλη μια φορά για να βγείτε από το σύνολο πολλαπλών πλαισίων διαλόγου. Και τώρα ρυθμίσατε με επιτυχία τον έλεγχο σε έναν φάκελο! Μπορείτε λοιπόν να ρωτήσετε, πώς βλέπετε τα γεγονότα;

Για να δείτε τα συμβάντα, πρέπει να μεταβείτε στον Πίνακα Ελέγχου(Control Panel) και να κάνετε κλικ στα Εργαλεία διαχείρισης(Administrative Tools) . Στη συνέχεια, ανοίξτε το πρόγραμμα προβολής συμβάντων(Event Viewer) . Κάντε κλικ στην ενότητα Ασφάλεια(Security) και θα δείτε μια μεγάλη λίστα συμβάντων στη δεξιά πλευρά:

ασφάλεια προβολής συμβάντων

Εάν προχωρήσετε και δημιουργήσετε ένα αρχείο ή απλά ανοίξετε το φάκελο και κάνετε κλικ στο κουμπί Ανανέωση(Refresh) στην Προβολή συμβάντων(Event Viewer) (το κουμπί με τα δύο πράσινα βέλη), θα δείτε μια δέσμη συμβάντων στην κατηγορία Συστήματος αρχείων( File System) . Αυτά αφορούν οποιεσδήποτε λειτουργίες διαγραφής, δημιουργίας, ανάγνωσης, εγγραφής στους φακέλους/αρχεία που ελέγχετε. Στα Windows 7 , τα πάντα εμφανίζονται τώρα στην κατηγορία εργασιών "Σύστημα αρχείων(File System) ", οπότε για να δείτε τι συνέβη, θα πρέπει να κάνετε κλικ σε κάθε ένα και να μετακινηθείτε σε αυτό.

Για να διευκολύνετε την εξέταση τόσων πολλών συμβάντων, μπορείτε να βάλετε ένα φίλτρο και απλώς να δείτε τα σημαντικά πράγματα. Κάντε κλικ(Click) στο μενού Προβολή(View) στο επάνω μέρος και κάντε κλικ στο Φίλτρο(Filter) . Εάν δεν υπάρχει επιλογή για το Φίλτρο(Filter) , κάντε δεξί κλικ στο αρχείο καταγραφής ασφαλείας(Security) στην αριστερή σελίδα και επιλέξτε Φιλτράρισμα τρέχοντος αρχείου καταγραφής(Filter Current Log) . Στο πλαίσιο Αναγνωριστικό συμβάντος(Event ID) , πληκτρολογήστε τον αριθμό 4656 . Αυτό είναι το συμβάν που σχετίζεται με έναν συγκεκριμένο χρήστη που εκτελεί μια ενέργεια συστήματος αρχείων (File System ) και θα σας δώσει τις σχετικές πληροφορίες χωρίς να χρειάζεται να αναζητήσετε χιλιάδες καταχωρήσεις.

αρχείο καταγραφής φίλτρου

Εάν θέλετε να λάβετε περισσότερες πληροφορίες σχετικά με ένα συμβάν, απλώς κάντε διπλό κλικ σε αυτό για προβολή.

διαγραφή αναγνωριστικού συμβάντος

Αυτές είναι οι πληροφορίες από την παραπάνω οθόνη:

Ζητήθηκε μια λαβή για ένα αντικείμενο.(A handle to an object was requested.)

Θέμα: (Subject:)
Security ID: Aseem-Lenovo\Aseem
: Τομέας ( Account Name: Aseem)
λογαριασμού Aseem: Αναγνωριστικό σύνδεσης Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
: 0x175a1( Logon ID: 0x175a1)

Αντικείμενο: (Object:)
Διακομιστής αντικειμένου: Ασφάλεια ( Object Server: Security)
Τύπος αντικειμένου: Αρχείο ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Αναγνωριστικό χειρισμού: 0x16a0( Handle ID: 0x16a0)

Πληροφορίες (Process Information:)
διαδικασίας: Αναγνωριστικό διαδικασίας: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Πληροφορίες αιτήματος πρόσβασης: (Access Request Information:)
Αναγνωριστικό συναλλαγής: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Προσβάσεις: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

Στο παραπάνω παράδειγμα, το αρχείο στο οποίο εργαζόμουν ήταν το New Text Document.txt στον φάκελο Tufu στην επιφάνεια εργασίας μου και οι προσβάσεις που ζήτησα ήταν ΔΙΑΓΡΑΦΗ(DELETE) και μετά SYNCHRONIZE . Αυτό που έκανα εδώ ήταν να διαγράψω το αρχείο. Εδώ είναι ένα άλλο παράδειγμα:

Τύπος αντικειμένου: Αρχείο ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Αναγνωριστικό χειρισμού: 0x178( Handle ID: 0x178)

Πληροφορίες (Process Information:)
διαδικασίας: Αναγνωριστικό διαδικασίας: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Πληροφορίες αιτήματος πρόσβασης: (Access Request Information:)
Αναγνωριστικό συναλλαγής: {00000000-0000-0000-0000-0000000000000} Πρόσβαση ( Transaction ID: {00000000-0000-0000-0000-000000000000})
: READ_CONTROL ( Accesses: READ_CONTROL)
ΣΥΝΧΡΟΝΙΣΜΟΣ ( SYNCHRONIZE)Αναγνωσμένων Δεδομένων (ή Καταλόγου Καταλόγου) WriteData (ή AddFile) ( WriteData (or AddFile))
AppenddirectoryAIntributionAtributeAddate ( ReadData (or ListDirectory))ή ( ReadEA)Addritates ( AppendData (or AddSubdirectory or CreatePipeInstance))Writeapeettes ( WriteEA)Writeaitub ( ReadAttributes).( WriteAttributes)





Λόγοι πρόσβασης: READ_CONTROL: Χορηγείται από την ιδιοκτησία ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Χορηγείται από D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Καθώς διαβάζετε αυτό, μπορείτε να δείτε ότι είχα πρόσβαση στο Address Labels.docx(Address Labels.docx) χρησιμοποιώντας το πρόγραμμα WINWORD.EXE και οι προσβάσεις μου περιελάμβαναν το READ_CONTROL και οι λόγοι πρόσβασής μου ήταν επίσης READ_CONTROL . Συνήθως, θα δείτε πολλές περισσότερες προσβάσεις, αλλά απλώς εστιάστε στην πρώτη, καθώς αυτός είναι συνήθως ο κύριος τύπος πρόσβασης. Σε αυτήν την περίπτωση, άνοιξα απλώς το αρχείο χρησιμοποιώντας το Word . Χρειάζεται όντως λίγη δοκιμή και ανάγνωση των γεγονότων για να καταλάβετε τι συμβαίνει, αλλά μόλις το κατεβάσετε, είναι ένα πολύ αξιόπιστο σύστημα. Προτείνω να δημιουργήσετε έναν δοκιμαστικό φάκελο με αρχεία και να εκτελέσετε διάφορες ενέργειες για να δείτε τι εμφανίζεται στο πρόγραμμα προβολής συμβάντων(Event Viewer) .

Αυτό είναι λίγο πολύ! Ένας γρήγορος και δωρεάν τρόπος για να παρακολουθείτε την πρόσβαση ή τις αλλαγές σε έναν φάκελο!



About the author

Είμαι προγραμματιστής ιστοσελίδων με πάνω από 10 χρόνια εμπειρία. Ειδικεύομαι στην ανάπτυξη του Chrome OS και έχω εργαστεί σε ένα ευρύ φάσμα έργων από μικρές νεοφυείς επιχειρήσεις έως εταιρείες του Fortune 500. Είμαι επίσης ειδικός στους λογαριασμούς χρηστών και την οικογενειακή ασφάλεια και έχω αναπτύξει αρκετές επιτυχημένες εφαρμογές Android.



Related posts