วิธีการติดตามเมื่อมีคนเข้าถึงโฟลเดอร์บนคอมพิวเตอร์ของคุณ


มีคุณลักษณะเล็ก ๆ น้อย ๆ ที่มีอยู่ใน Windows ซึ่งช่วยให้คุณติดตามเมื่อมีคนดูแก้ไขหรือลบบางสิ่งบางอย่างภายในโฟลเดอร์ที่ระบุ ดังนั้นหากมีโฟลเดอร์หรือไฟล์ที่คุณต้องการทราบว่าใครกำลังเข้าใช้อยู่นี่เป็นวิธีที่ติดตั้งมาโดยไม่ต้องใช้ซอฟต์แวร์ของ บริษัท อื่น

คุณลักษณะนี้เป็นส่วนหนึ่งของคุณลักษณะด้านความปลอดภัยของ Windows เรียกว่า นโยบายกลุ่มซึ่งใช้โดยผู้เชี่ยวชาญด้านไอทีส่วนใหญ่ที่จัดการคอมพิวเตอร์ในเครือข่ายขององค์กรผ่านทางเซิร์ฟเวอร์อย่างไรก็ตามสามารถใช้งานได้เฉพาะเครื่องพีซีโดยไม่มีเซิร์ฟเวอร์ใด ๆ ข้อเสียเดียวที่จะใช้ Group Policy ก็คือไม่สามารถใช้งานได้กับ Windows รุ่นที่ต่ำกว่า สำหรับ Windows 7 คุณต้องมี Windows 7 Professional หรือสูงกว่า สำหรับ Windows 8 คุณต้องใช้ Pro หรือ Enterprise

คำว่า Group Policy หมายถึงชุดของการตั้งค่ารีจิสทรีที่สามารถควบคุมได้ผ่านส่วนติดต่อผู้ใช้แบบกราฟิก คุณเปิดหรือปิดใช้งานการตั้งค่าต่างๆและการแก้ไขเหล่านี้จะได้รับการอัปเดตแล้วในรีจิสทรีของ Windows

ใน Windows XP เพื่อไปที่เครื่องมือแก้ไขนโยบายให้คลิก เริ่มจากนั้นคลิก Runในกล่องข้อความให้พิมพ์ "gpedit.msc" โดยไม่มีเครื่องหมายคำพูดดังที่แสดงด้านล่าง:

run gpedit

ใน Windows 7 คุณเพียงแค่คลิกที่ปุ่ม Start และพิมพ์ gpedit.mscลงในช่องค้นหาที่ด้านล่างของ Start Menu ใน Windows 8 เพียงแค่ไปที่หน้าจอเริ่มต้นแล้วเริ่มพิมพ์หรือเลื่อนเคอร์เซอร์ไปที่ด้านบนสุดหรือด้านล่างขวาของหน้าจอเพื่อเปิดแถบ Charmsและคลิก Searchจากนั้นพิมพ์ gpeditตอนนี้คุณควรเห็นสิ่งที่คล้ายกับภาพด้านล่าง:

group policy editor

มี 2 ประเภทหลัก ๆ ดังนี้: ผู้ใช้และ คอมพิวเตอร์ตามที่คุณอาจคาดเดานโยบายผู้ใช้จะควบคุมการตั้งค่าสำหรับผู้ใช้แต่ละรายในขณะที่การตั้งค่าคอมพิวเตอร์จะเป็นการตั้งค่าระบบแบบกว้าง ๆ และจะส่งผลต่อผู้ใช้ทั้งหมด ในกรณีของเราเราจะต้องการการตั้งค่าของเราสำหรับผู้ใช้ทั้งหมดดังนั้นเราจะขยายส่วน การกำหนดค่าคอมพิวเตอร์

ดำเนินการต่อเพื่อขยายไปยัง การตั้งค่า Windows - & gt; การตั้งค่าความปลอดภัย - & gt; นโยบายท้องถิ่น - & gt; นโยบายการตรวจสอบฉันจะไม่อธิบายการตั้งค่าอื่น ๆ ที่นี่เนื่องจากนี่เน้นที่การตรวจสอบโฟลเดอร์เป็นหลัก ตอนนี้คุณจะเห็นชุดของนโยบายและการตั้งค่าปัจจุบันที่ด้านขวามือ นโยบายการตรวจสอบคือสิ่งที่ควบคุมว่าระบบปฏิบัติการมีการกำหนดค่าและพร้อมที่จะติดตามการเปลี่ยนแปลงหรือไม่

audit object access

ตรวจสอบการตั้งค่าสำหรับ การเข้าถึง Objectโดยการดับเบิ้ลคลิกและเลือก Successทั้งๆที่ Failureคลิกตกลงตอนนี้เรากำลังทำส่วนแรกที่บอก Windows ว่าเราต้องการให้พร้อมที่จะตรวจสอบการเปลี่ยนแปลง ขั้นต่อไปคือการบอกว่าเราต้องการติดตามอะไร ขณะนี้คุณสามารถปิดคอนโซล Group Policy ได้แล้ว

ตอนนี้ไปที่โฟลเดอร์โดยใช้ Windows Explorer ที่คุณต้องการตรวจสอบ ใน Explorer คลิกขวาที่โฟลเดอร์และคลิก Propertiesคลิกที่ แท็บการรักษาความปลอดภัยและคุณเห็นข้อความที่คล้ายกับข้อความต่อไปนี้:

explorer security tab

คลิกที่ปุ่ม ขั้นสูงแล้วคลิกแท็บ การตรวจสอบนี่คือที่ที่เราจะกำหนดค่าสิ่งที่เราต้องการตรวจสอบสำหรับโฟลเดอร์นี้

auditing tab windows

ไปข้างหน้าและคลิก เพิ่ม กล่องโต้ตอบจะปรากฏขึ้นเพื่อขอให้คุณเลือกผู้ใช้หรือกลุ่ม ในช่องพิมพ์คำว่า "ผู้ใช้" แล้วคลิก ตรวจสอบชื่อกล่องจะอัปเดตโดยอัตโนมัติพร้อมกับชื่อกลุ่มผู้ใช้ภายในเครื่องคอมพิวเตอร์ของคุณในรูปแบบ COMPUTERNAME \ Users

user group permissions

คลิกตกลงแล้วเดี๋ยวนี้คุณจะได้รับข้อความโต้ตอบว่า "ตรวจสอบรายการสำหรับ X" นี่คือเนื้อสัตว์ที่แท้จริงของสิ่งที่เราต้องการทำ นี่คือที่ที่คุณจะเลือกสิ่งที่คุณต้องการดูสำหรับโฟลเดอร์นี้ คุณสามารถเลือกชนิดของกิจกรรมที่คุณต้องการติดตามเช่นลบหรือสร้างไฟล์ / โฟลเดอร์ใหม่ ฯลฯ เพื่อให้ง่ายขึ้นผมขอแนะนำให้เลือก Full Control ซึ่งจะเลือกตัวเลือกอื่น ๆ ทั้งหมดด้านล่างนี้โดยอัตโนมัติ ทำเช่นนี้เพื่อ Successและ Failureคุณจะมีเรคคอร์ด

audit permissions explorer

คลิกตกลงแล้วคลิกตกลงอีกครั้ง และตกลงอีกครั้งหนึ่งเพื่อออกจากกล่องโต้ตอบหลายชุด และตอนนี้คุณได้กำหนดค่าการตรวจสอบในโฟลเดอร์เรียบร้อยแล้ว! คุณสามารถดูเหตุการณ์ได้อย่างไร

เพื่อดูกิจกรรมคุณต้องไปที่แผงควบคุมและคลิก Administrative Toolsจากนั้นเปิด Event Viewerคลิกที่ส่วน ความปลอดภัยและคุณจะเห็นรายการเหตุการณ์ใหญ่ทางด้านขวา:

event viewer security

หากคุณดำเนินการต่อและสร้างไฟล์หรือเพียงแค่เปิดโฟลเดอร์แล้วคลิกปุ่มรีเฟรชใน Event Viewer (ปุ่มที่มีลูกศรสีเขียวสองปุ่ม) คุณจะเห็นพวงของกิจกรรมในหมวด File System ข้อมูลเหล่านี้เกี่ยวข้องกับการลบสร้างอ่านเขียนข้อมูลในโฟลเดอร์ / ไฟล์ที่คุณกำลังตรวจสอบ ใน Windows 7 ทุกอย่างจะแสดงขึ้นในหมวดหมู่ของระบบไฟล์ดังนั้นเพื่อดูว่าเกิดอะไรขึ้นคุณจะต้องคลิกที่แต่ละส่วนและเลื่อนไปที่

เพื่อให้ง่ายต่อการใช้งาน มองผ่านเหตุการณ์มากมายคุณสามารถใส่ตัวกรองและดูสิ่งที่สำคัญได้ คลิกเมนู ดูที่ด้านบนและคลิกที่ ตัวกรองหากไม่มีตัวเลือกสำหรับตัวกรองให้คลิกขวาที่บันทึกการรักษาความปลอดภัยในหน้าซ้ายและเลือก บันทึกตัวกรองปัจจุบันในช่องรหัสเหตุการณ์พิมพ์หมายเลข 4656นี่เป็นเหตุการณ์ที่เกี่ยวข้องกับผู้ใช้รายใดที่ดำเนินการ File Systemและจะให้ข้อมูลที่เกี่ยวข้องโดยไม่ต้องมองผ่านรายการนับพันรายการ

8

หากคุณต้องการรับข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ให้คลิกสองครั้งเพื่อดู

นี่คือข้อมูลจากหน้าจอด้านบน:

มีการร้องขอหมายเลขอ้างอิงไปยังออบเจ็กต์

เรื่อง:
รหัสความปลอดภัย: Aseem-Lenovo \ Aseem
ชื่อบัญชี: Aseem
โดเมนบัญชี: Aseem-Lenovo
รหัสการเข้าสู่ระบบ: 0x175a1

ออบเจ็กต์:เซิร์ฟเวอร์อ็อบเจ็กต์: ความปลอดภัยประเภทออบเจกต์: ไฟล์
ชื่อวัตถุ: C : \ Users \ Aseem \ Desktop \ Tufu \ New Document.txt ข้อความ
รหัสจัดการ: 0x16a0

ข้อมูลกระบวนการ:
รหัสกระบวนการ: 0x820
ชื่อกระบวนการ: C: \ Windows \ explorer.exe

/ em>
รหัสธุรกรรม: {00000000-0000-0000-0000-000000000000}
เข้าถึง: DELETE
SYNCHRONIZE
ReadAttributes

ในตัวอย่างข้างต้นไฟล์ที่ใช้คือ New Text Document.txt ในโฟลเดอร์ Tufu บนเดสก์ทอปของฉันและการเข้าถึงที่ฉันร้องขอถูก DELETE ตาม โดย SYNCHRONIZE สิ่งที่ฉันทำที่นี่คือลบไฟล์ นี่คือตัวอย่างอื่น:

ประเภทออบเจกต์: ไฟล์
ชื่อออบเจ็กต์: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
รหัสจัดการ: 0x178

ข้อมูลกระบวนการ:
รหัสกระบวนการ: 0x1008
ชื่อกระบวนการ: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

ข้อมูลคำขอการเข้าถึง:
การทำธุรกรรม ID: {00000000-0000-0000-0000-000000000000}
เข้าถึง: READ_CONTROL
SYNCHRONIZE
ReadData (หรือ ListDirectory)
WriteData (หรือ AddFile)AppendData (หรือ AddSubdirectory หรือ CreatePipeInstance)ReadEA
WriteEAReadAttributes
WriteAttributes

เหตุผลในการเข้าถึง: READ_CONTROL: ได้รับจากเจ้าของSYNCHRONIZE: ได้รับจาก D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

เมื่อคุณอ่านข้อความนี้คุณจะเห็นฉันเข้าถึง Address Labels.docx โดยใช้ WINWORD.EXE progr am และการเข้าถึงของฉันรวม READ_CONTROL และเหตุผลในการเข้าถึงของฉันก็ READ_CONTROL โดยปกติแล้วคุณจะเห็นกลุ่มที่เข้าถึงได้มากขึ้น แต่ให้เน้นที่ส่วนแรกเพราะเป็นประเภทหลักของการเข้าถึง ในกรณีนี้ฉันเพียงแค่เปิดไฟล์โดยใช้ Word จะใช้เวลาเพียงเล็กน้อยทดสอบและอ่านผ่านเหตุการณ์ที่จะเข้าใจสิ่งที่เกิดขึ้น แต่เมื่อคุณมีมันลงก็เป็นระบบที่เชื่อถือได้มาก ฉันขอแนะนำให้สร้างโฟลเดอร์ทดสอบด้วยไฟล์และดำเนินการต่างๆเพื่อดูว่ามีอะไรปรากฏใน Event Viewer

นั่นสวยมาก! วิธีที่รวดเร็วและอิสระในการติดตามการเข้าถึงหรือการเปลี่ยนแปลงไปยังโฟลเดอร์!

วิธีแชร์ไฟล์ Windows 10 และกำหนดสิทธิ์ User ใช้ข้อมูลในโฟลเดอร์

กระทู้ที่เกี่ยวข้อง:


3.08.2014