Windowsissa on mukava pieni ominaisuus, jonka avulla voit seurata, kun joku tarkastelee, muokkaa tai poistaa jotain määritetyn kansion sisällä. Joten jos sinulla on kansio tai tiedosto, josta haluat tietää, kuka käyttää, niin tämä on sisäänrakennettu menetelmä ilman, että sinun tarvitsee käyttää kolmannen osapuolen ohjelmistoja.
Tämä ominaisuus on itse asiassa osa Windows-suojausominaisuutta Ryhmäpolitiikka, jota useimmat IT-ammattilaiset käyttävät, jotka hallitsevat tietokoneita yritysverkossa palvelinten kautta, mutta sitä voidaan käyttää myös paikallisesti tietokoneella ilman palvelimia. Ainoa haittapuoli ryhmäkäytännön käyttämiseen on se, että sitä ei ole saatavana pienemmissä Windows-versioissa. Windows 7 -käyttöjärjestelmässä sinulla on oltava Windows 7 Professional tai uudempi. Windows 8: ssa tarvitaan Pro tai Enterprise.
Termi Group Policy tarkoittaa periaatteessa joukkoa rekisteriasetuksia, joita voidaan hallita graafisen käyttöliittymän avulla. Voit ottaa käyttöön tai poistaa käytöstä eri asetuksia ja nämä muokkaukset päivitetään sitten Windowsin rekisterissä.
Windows XP: ssä pääset käytäntöeditoriin klikkaamalla alkaa ja sitten Juosta. Kirjoita tekstikenttään "gpedit.msc"Ilman allaolevia lainauksia:
Windows 7: ssä napsautat Käynnistä-painiketta ja kirjoita gpedit.msc Aloita-valikon alaosassa oleva hakukenttä. Windows 8: ssa voit siirtyä aloitusnäyttöön ja aloittaa hiiren osoittimen kirjoittamisen tai siirtää hiiren osoittimen näytön ylhäältä tai alhaalta oikealle. hurmaa bar ja napsauta Hae. Sitten kirjoittaudu sisään gpedit. Nyt sinun pitäisi nähdä jotain, joka on samanlainen kuin alla oleva kuva:
Politiikassa on kaksi pääluokkaa: käyttäjä ja Tietokone. Kuten olette arvottaneet, käyttäjäkäytännöt ohjaavat kunkin käyttäjän asetuksia, kun taas tietokoneen asetukset ovat järjestelmänlaajuisia asetuksia ja vaikuttavat kaikkiin käyttäjiin. Meidän tapauksessamme haluamme, että asetuksemme on kaikille käyttäjille, joten laajennamme Tietokoneen kokoonpano osiossa.
Jatka laajentamista Windowsin asetukset -> Suojausasetukset -> Paikalliset politiikat -> Audit Policy. En aio selittää paljon muita asetuksia täällä, koska se keskittyy ensisijaisesti kansion tarkistamiseen. Nyt näet oikeanlaiset käytännöt ja niiden nykyiset asetukset. Tarkastuspolitiikka on mikä hallitsee onko käyttöjärjestelmä konfiguroitu ja valmis seuraamaan muutoksia.
Tarkista nyt asetukset Tarkastusobjektin käyttöoikeus kaksoisnapsauttamalla sitä ja valitsemalla molemmat Menestys ja vika. Napsauta OK ja nyt olemme valmiina ensimmäinen osa, joka kertoo Windowsille, että haluamme sen olevan valmis seuraamaan muutoksia. Nyt seuraava askel on kertoa se, mitä me tarkalleen haluamme seurata. Voit sulkea pois ryhmäkäytännön konsolin nyt.
Siirry nyt kansioon Windows Explorerin avulla, jota haluat seurata. Napsauta Explorerissa hiiren kakkospainikkeella kansiota ja napsauta ominaisuudet. Klikkaa Suojausvälilehti ja näet jotain vastaavaa:
Napsauta sitten Pitkälle kehittynyt painiketta ja napsauta tilintarkastus välilehti. Tässä me määritämme, mitä haluamme seurata tätä kansiota varten.
Siirry eteenpäin ja napsauta Lisätä painiketta. Näyttöön tulee valintaikkuna, jossa pyydetään valitsemaan käyttäjä tai ryhmä. Kirjoita ruutuun sana "käyttäjät"Ja napsauta Tarkista nimet. Laatikko päivittyy automaattisesti tietokoneen paikallisten käyttäjien ryhmään COMPUTERNAME \ Users.
Napsauta OK ja saat nyt toisen valintaikkunan nimeltä "Auditointilomake X: lle”. Tämä on todellinen liha, mitä olemme halunneet tehdä. Tässä voit valita, mitä haluat katsella tämän kansion kohdalla. Voit valita, minkä tyyppisiä toimintoja haluat seurata, esimerkiksi poistaa tai luoda uusia tiedostoja tai kansioita jne. Jotta asiat olisivat helpommin, ehdotan, että valitset täydellisen valinnan, joka valitsee automaattisesti kaikki muut sen alapuolella olevat vaihtoehdot. Tee tämä Menestys ja vika. Tällä tavalla, mitä tahansa kyseiselle kansioon tai sen sisältämiin tiedostoihin tehdään, sinulla on tietue.
Napsauta OK ja valitse OK uudestaan ja OK vielä kerran päästäksesi ulos useasta valintaikkunasta. Ja nyt olet määrittänyt tilintarkastuksen kansioon! Voit siis kysyä, miten näet tapahtumia?
Jotta voit tarkastella tapahtumia, sinun on mentävä Ohjauspaneeliin ja klikkaa Ylläpidon työkalut. Avaa sitten Tapahtuman katselija. Klikkaa turvallisuus ja näet oikeanpuoleisen tapahtuman suuren listan:
Jos et mene eteenpäin ja luo tiedosto tai avaa kansio ja napsauta Päivitä-painiketta Tapahtumien tarkastelussa (näppäin, jossa on kaksi vihreää nuolta), näet sarjan tapahtumia Tiedostojärjestelmä. Nämä koskevat kaikkia poistettavia, luodaan, lukea ja kirjoittaa toimintoja tilastoiduissa kansioissa / tiedostoissa. Windows 7: ssa kaikki näkyy nyt Tiedostojärjestelmän tehtäväryhmässä. Jotta voit nähdä, mitä tapahtui, sinun on napsautettava jokaista ja selaa sitä.
Jotta helpompi katsella niin monta tapahtumaa, voit laittaa suodattimen ja nähdä tärkeät asiat. Klikkaa näkymä yläreunassa ja napsauta Suodattaa. Jos suodatinta ei ole, napsauta hiiren kakkospainikkeella suojauslokia vasemmalla sivulla ja valitse Suodattimen nykyinen loki. Kirjoita Tunnin tunnus -ruutuun numero 4656. Tämä on tapahtuma, joka liittyy tiettyyn käyttäjän suorittamiseen Tiedostojärjestelmäja antaa sinulle tarvittavat tiedot tarvitsematta katsoa tuhansia merkintöjä.
Jos haluat lisätietoja tapahtumasta, kaksoisnapsauta sitä nähdäksesi.
Tämä on yllä olevan näytön tiedot:
Pyydettiin kahvaa esineelle.
Aihe:
Turvatunnus: Aseem-Lenovo \ Aseem
Tilin nimi: Aseem
Tilin verkkotunnus: Aseem-Lenovo
Sisäänkirjautumisnumero: 0x175a1
Esine:
Object Server: Suojaus
Kohteen tyyppi: Tiedosto
Objektin nimi: C: \ Käyttäjät \ Aseem \ Desktop \ Tufu \ Uusi teksti Document.txt
Kahvan tunnus: 0x16a0
Prosessitiedot:
Prosessin tunnus: 0x820
Prosessin nimi: C: \ Windows \ explorer.exe
Access Request Information:
Tapahtumien tunnus: 00000000-0000-0000-0000-000000000000
Pääsy: DELETE
SYNKRONOIDA
ReadAttributes
Yllä olevassa esimerkissä käsiteltävä tiedosto oli New Text Document.txt Tufu-kansioon työpöydällä ja pyytämät kohteet olivat DELETE ja sen jälkeen SYNCHRONIZE. Täällä tekemäni oli poistaa tiedosto. Tässä on toinen esimerkki:
Kohteen tyyppi: Tiedosto
Objektin nimi: C: \ Käyttäjät \ Aseem \ Desktop \ Tufu \ Osoitetarrat.docx
Kahvan tunnus: 0x178
Prosessitiedot:
Prosessin tunnus: 0x1008
Prosessin nimi: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Access Request Information:
Tapahtumien tunnus: 00000000-0000-0000-0000-000000000000
Pääsy: READ_CONTROL
SYNKRONOIDA
ReadData (tai ListDirectory)
WriteData (tai AddFile)
AppendData (tai AddSubdirectory tai CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Pääsy syistä: READ_CONTROL: Omistusoikeus
SYNCHRONIZE: myöntää D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Kun luet tämän, näet, että käytin Osoitemerkinnöt.docx -ohjelmaa käyttäen WINWORD.EXE -ohjelmaa ja minun käyttöoikeuteni sisälsi READ_CONTROL ja käyttöoikeusperustani olivat myös READ_CONTROL. Yleensä näet, että joukko voi käyttää enemmän, mutta keskittyä vain ensimmäiseen, koska se on pääsääntöisesti pääsyy. Tässä tapauksessa avasin tiedoston vain Wordilla. Se vie vähän kokeilemalla ja lukemalla tapahtumia ymmärtääkseen, mitä tapahtuu, mutta kun se on alas, se on erittäin luotettava järjestelmä. Ehdotan, että luot testikansio, jossa on tiedostoja ja suoritat erilaisia toimia, jotta näet, mikä näkyy Tapahtumien katseluohjelmassa.
Se on aika paljon! Nopea ja ilmainen tapa seurata kansioon pääsyä tai muutoksia!
