Как отслеживать, когда кто-то обращается к папке на вашем компьютере
В Windows(Windows) встроена приятная маленькая функция , которая позволяет отслеживать, когда кто-то просматривает, редактирует или удаляет что-то внутри указанной папки. Поэтому, если есть папка или файл(folder or file) , к которым вы хотите знать, кто к ним обращается, то это встроенный метод без использования стороннего программного обеспечения.
Эта функция на самом деле является частью функции безопасности Windows(Windows security) , называемой групповой политикой( Group Policy) , которая используется большинством ИТ-специалистов(IT Professionals) , управляющих компьютерами в корпоративной сети через серверы, однако ее также можно использовать локально на ПК без каких-либо серверов. Единственным недостатком использования групповой политики(Group Policy) является то, что она недоступна в более ранних версиях Windows . Для Windows 7 требуется Windows 7 Professional или выше. Для Windows 8 вам потребуется Pro или Enterprise .
Термин групповая политика(Group Policy) в основном относится к набору параметров реестра, которыми можно управлять с помощью графического пользовательского интерфейса(user interface) . Вы включаете или отключаете различные настройки, и эти изменения затем обновляются в реестре Windows(Windows registry) .
В Windows XP для доступа к редактору политик(policy editor) нажмите « Пуск(Start) », а затем « Выполнить»(Run) . В текстовом поле введите « gpedit.msc » без кавычек, как показано ниже:
В Windows 7 достаточно нажать кнопку « Пуск» и ввести (Start button and type)gpedit.msc в поле поиска(search box) в нижней части меню « Пуск(Start Menu) » . В Windows 8 просто перейдите на начальный экран(Start Screen) и начните вводить текст или переместите курсор мыши(mouse cursor) в крайнюю верхнюю или нижнюю правую часть экрана, чтобы открыть панель чудо(Charms) -кнопок , и нажмите « Поиск(Search) » . Затем просто введите gpedit . Теперь вы должны увидеть что-то похожее на изображение ниже:
Существует две основные категории политик: User и Computer . Как вы могли догадаться, пользовательские политики управляют настройками для каждого пользователя, в то время как настройки компьютера будут общесистемными и будут влиять на всех пользователей. В нашем случае мы хотим, чтобы наша настройка была для всех пользователей, поэтому мы расширим раздел « Конфигурация компьютера(Computer Configuration) ».
Продолжайте расширяться до Параметры Windows(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy . Я не буду здесь объяснять многие другие настройки, так как они в основном сосредоточены на аудите папки. Теперь вы увидите набор политик и их текущие настройки с правой стороны(hand side) . Политика аудита определяет(Audit policy) , настроена ли операционная система(operating system) и готова ли она отслеживать изменения.
Теперь проверьте параметр « Аудит доступа(Audit Object Access ) к объекту», дважды щелкнув его и выбрав « Успех»(Success) и « Отказ(Failure) » . Нажмите «ОК»(Click OK) , и теперь мы закончили первую часть, которая сообщает Windows, что мы хотим, чтобы она была готова отслеживать изменения. Теперь следующий шаг — сообщить ему, что именно мы(EXACTLY) хотим отслеживать. Теперь вы можете закрыть консоль групповой политики(Group Policy console) .
Теперь перейдите к папке с помощью проводника Windows(Windows Explorer) , которую вы хотите отслеживать. В проводнике(Explorer) щелкните правой кнопкой мыши папку и выберите « (folder and click) Свойства(Properties) » . Нажмите на вкладку « Безопасность»( Security Tab) , и вы увидите что-то похожее на это:
Теперь нажмите кнопку « Дополнительно(Advanced) » и перейдите на вкладку « Аудит(Auditing) ». Здесь мы фактически настроим то, что мы хотим отслеживать для этой папки.
Идите вперед и нажмите кнопку « Добавить(Add) » . Появится диалоговое окно с предложением выбрать пользователя или группу(User or Group) . В поле введите слово « (word “)пользователи(users) » и нажмите « Проверить имена(Check Names) » . Поле автоматически обновится именем локальной группы пользователей для вашего компьютера в форме COMPUTERNAME\Users .
Нажмите OK(Click OK) , и теперь вы получите другое диалоговое окно под названием « Audit Entry for X ». Это настоящее мясо того, что мы хотели сделать. Здесь вы можете выбрать, что вы хотите смотреть для этой папки. Вы можете индивидуально выбрать, какие типы действий вы хотите отслеживать, например, удаление или создание новых файлов/папок и т. д. Чтобы упростить задачу, я предлагаю выбрать « Полный доступ(Full Control) », который автоматически выберет все остальные параметры под ним. Сделайте это для Успеха(Success) и Неудачи(Failure) . Таким образом, что бы ни делалось с этой папкой или файлами в ней, у вас будет запись.
Теперь нажмите «ОК», затем снова нажмите «ОК» и еще раз «ОК», чтобы выйти из множества диалоговых окон(dialog box) . И вот вы успешно настроили аудит папки! Вы можете спросить, как вы смотрите на события?
Чтобы просмотреть события, вам нужно зайти в панель управления и нажать(Control Panel and click) « Администрирование(Administrative Tools) » . Затем откройте средство просмотра событий(Event Viewer) . Нажмите на раздел « Безопасность (Security)»(hand side) , и справа вы увидите большой список событий :
Если вы создадите файл или просто откроете папку и нажмете кнопку « Обновить(Refresh button) » в средстве просмотра событий(Event Viewer) (кнопка с двумя зелеными стрелками), вы увидите кучу событий в категории « Файловая система»( File System) . Они относятся к любым операциям удаления, создания, чтения и записи в папках/файлах, которые вы проверяете. В Windows 7 все теперь отображается в категории задач «Файловая система(File System task) », поэтому, чтобы увидеть, что произошло, вам нужно щелкнуть по каждому из них и прокрутить его.
Чтобы было проще просматривать такое количество событий, можно поставить фильтр и посмотреть только важные вещи. Нажмите(Click) на меню « Вид(View) » вверху и нажмите « Фильтр(Filter) » . Если параметр « Фильтр(Filter) » отсутствует, щелкните правой кнопкой мыши журнал безопасности(Security log) на левой странице и выберите « Фильтровать текущий журнал(Filter Current Log) » . В поле Event ID(Event ID box) введите число 4656 . Это событие, связанное с конкретным пользователем, выполняющим действие файловой системы (File System ) , предоставит вам соответствующую информацию без необходимости просматривать тысячи записей.
Если вы хотите получить больше информации о событии, просто дважды щелкните по нему для просмотра.
Это информация с экрана выше:
Запрошен дескриптор объекта.(A handle to an object was requested.)
Тема: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Имя учетной записи: Домен учетной записи Asem ( Account Name: Aseem)
: Asem-Lenovo ( Account Domain: Aseem-Lenovo)
Logon ID: 0x175a1
Объект: (Object:)
Объектный сервер: Безопасность ( Object Server: Security)
Тип объекта: Файл ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Идентификатор дескриптора: 0x16a0( Handle ID: 0x16a0)
Информация о (Process Information:)
процессе: Идентификатор процесса: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Информация о запросе на доступ: (Access Request Information:)
Идентификатор транзакции: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Доступы: УДАЛИТЬ ( Accesses: DELETE)
СИНХРОНИЗИРОВАТЬ ( SYNCHRONIZE)
ReadAttributes
В приведенном выше примере работал файл New Text Document.txt в папке Tufu(Tufu folder) на моем рабочем столе, а доступ, который я запрашивал, был DELETE с последующим SYNCHRONIZE . Что я сделал здесь, так это удалил файл. Вот еще один пример:
Тип объекта: Файл ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Идентификатор дескриптора: 0x178( Handle ID: 0x178)
Информация о процессе: (Process Information:)
ID процесса: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Информация запроса доступа: (Access Request Information:)
Идентификатор транзакции: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Доступы: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (или ListDirectory) ( ReadData (or ListDirectory))
WriteData (или AddFile) ( WriteData (or AddFile))
AppendData (или AddSubdirectory или CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Причины доступа: READ_CONTROL: Предоставлено владельцем ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Предоставлено D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
Когда вы читаете это, вы можете видеть, что я получил доступ к Address Labels.docx с помощью программы WINWORD.EXE,(WINWORD.EXE program) и мои доступы включали READ_CONTROL, и мои причины доступа также были READ_CONTROL . Как правило, вы увидите еще кучу доступов, но просто сосредоточьтесь на первом, так как это обычно основной тип доступа. В данном случае я просто открыл файл с помощью Word . Требуется небольшое тестирование и чтение(testing and reading) событий, чтобы понять, что происходит, но как только вы это сделаете, это очень надежная система. Я предлагаю создать тестовую папку(test folder) с файлами и выполнить различные действия, чтобы увидеть, что отображается в окне просмотра событий(Event Viewer) .
Вот и все! Быстрый и бесплатный способ отслеживать доступ или изменения(access or changes) в папке!
Related posts
Как создать защищенную и заблокированную папку в Windows XP
Как сохранить макет значка на рабочем столе в Windows XP, 7, 8
Как исправить ошибку «Отсутствует или поврежден NTFS.sys» в Windows XP
Удаленный доступ к компьютеру с Windows XP или Windows Server 2003
Установите сетевой принтер из Windows XP с помощью программы установки драйвера.
Синхронизируйте любую папку Windows с Google Диском, OneDrive и Dropbox
Как получить уведомления вашего Android-устройства на вашем компьютере
Установите сетевой принтер из Windows XP с помощью мастера установки принтера.
Запуск старых игр и программ DOS в Windows XP, Vista, 7/8/10
Как установить права доступа к файлам и папкам в Windows
Присоединение компьютера с Windows XP к домашней группе Windows 7/8/10
Как использовать Obsidian в качестве личной вики на вашем компьютере
Как изменить средство просмотра изображений по умолчанию в Windows
Отключите или удалите «Ваш компьютер может быть в опасности» в Windows XP
Как проверить настройки прокси-сервера на вашем компьютере
Что такое папка перфологии в Windows 10
msvcr120.dll отсутствует на вашем компьютере? 8 способов исправить
Как включить ON or OFF Public Folder Sharing на Windows 10
Как установить сетевой принтер в домашней или офисной сети
Устранение неполадок с беспроводным сетевым подключением Windows XP