В Windows^(Windows) встроена приятная маленькая функция , которая позволяет отслеживать, когда кто-то просматривает, редактирует или удаляет что-то внутри указанной папки. Поэтому, если есть папка или файл^{(folder or file)} , к которым вы хотите знать, кто к ним обращается, то это встроенный метод без использования стороннего программного обеспечения.

Эта функция на самом деле является частью функции безопасности Windows^{(Windows security)} , называемой групповой политикой^{( Group Policy)} , которая используется большинством ИТ-специалистов^{(IT Professionals)} , управляющих компьютерами в корпоративной сети через серверы, однако ее также можно использовать локально на ПК без каких-либо серверов. Единственным недостатком использования групповой политики^{(Group Policy)} является то, что она недоступна в более ранних версиях Windows . Для Windows 7 требуется Windows 7 Professional или выше. Для Windows 8 вам потребуется Pro или Enterprise .

Термин групповая политика^{(Group Policy)} в основном относится к набору параметров реестра, которыми можно управлять с помощью графического пользовательского интерфейса^{(user interface)} . Вы включаете или отключаете различные настройки, и эти изменения затем обновляются в реестре Windows^{(Windows registry)} .

В Windows XP для доступа к редактору политик^{(policy editor)} нажмите « Пуск^(Start) », а затем « Выполнить»^(Run) . В текстовом поле введите « gpedit.msc » без кавычек, как показано ниже:

запустить gpedit

В Windows 7 достаточно нажать кнопку « Пуск» и ввести ^{(Start button and type)}gpedit.msc в поле поиска^{(search box)} в нижней части меню « Пуск^{(Start Menu)} » . В Windows 8 просто перейдите на начальный экран^{(Start Screen)} и начните вводить текст или переместите курсор мыши^{(mouse cursor)} в крайнюю верхнюю или нижнюю правую часть экрана, чтобы открыть панель чудо^(Charms) -кнопок , и нажмите « Поиск^(Search) » . Затем просто введите gpedit . Теперь вы должны увидеть что-то похожее на изображение ниже:

редактор групповой политики

Существует две основные категории политик: User и Computer . Как вы могли догадаться, пользовательские политики управляют настройками для каждого пользователя, в то время как настройки компьютера будут общесистемными и будут влиять на всех пользователей. В нашем случае мы хотим, чтобы наша настройка была для всех пользователей, поэтому мы расширим раздел « Конфигурация компьютера^{(Computer Configuration)} ».

Продолжайте расширяться до Параметры Windows^{(Windows Settings)} -> Security Settings -> Local Policies -> Audit Policy . Я не буду здесь объяснять многие другие настройки, так как они в основном сосредоточены на аудите папки. Теперь вы увидите набор политик и их текущие настройки с правой стороны^{(hand side)} . Политика аудита определяет^{(Audit policy)} , настроена ли операционная система^{(operating system)} и готова ли она отслеживать изменения.

доступ к объекту аудита

Теперь проверьте параметр « Аудит доступа^{(Audit Object Access )} к объекту», дважды щелкнув его и выбрав « Успех»^(Success) и « Отказ^(Failure) » . Нажмите «ОК»^{(Click OK)} , и теперь мы закончили первую часть, которая сообщает Windows, что мы хотим, чтобы она была готова отслеживать изменения. Теперь следующий шаг — сообщить ему, что именно мы^(EXACTLY) хотим отслеживать. Теперь вы можете закрыть консоль групповой политики^{(Group Policy console)} .

Теперь перейдите к папке с помощью проводника Windows^{(Windows Explorer)} , которую вы хотите отслеживать. В проводнике^(Explorer) щелкните правой кнопкой мыши папку и выберите « ^{(folder and click)} Свойства^(Properties) » . Нажмите на вкладку « Безопасность»^{( Security Tab)} , и вы увидите что-то похожее на это:

вкладка безопасности проводника

Теперь нажмите кнопку « Дополнительно^(Advanced) » и перейдите на вкладку « Аудит^(Auditing) ». Здесь мы фактически настроим то, что мы хотим отслеживать для этой папки.

окна вкладок аудита

Идите вперед и нажмите кнопку « Добавить^(Add) » . Появится диалоговое окно с предложением выбрать пользователя или группу^{(User or Group)} . В поле введите слово « ^{(word “)}пользователи^(users) » и нажмите « Проверить имена^{(Check Names)} » . Поле автоматически обновится именем локальной группы пользователей для вашего компьютера в форме COMPUTERNAME\Users .

разрешения группы пользователей

Нажмите OK^{(Click OK)} , и теперь вы получите другое диалоговое окно под названием « Audit Entry for X ». Это настоящее мясо того, что мы хотели сделать. Здесь вы можете выбрать, что вы хотите смотреть для этой папки. Вы можете индивидуально выбрать, какие типы действий вы хотите отслеживать, например, удаление или создание новых файлов/папок и т. д. Чтобы упростить задачу, я предлагаю выбрать « Полный доступ^{(Full Control)} », который автоматически выберет все остальные параметры под ним. Сделайте это для Успеха^(Success) и Неудачи^(Failure) . Таким образом, что бы ни делалось с этой папкой или файлами в ней, у вас будет запись.

проводник разрешений аудита

Теперь нажмите «ОК», затем снова нажмите «ОК» и еще раз «ОК», чтобы выйти из множества диалоговых окон^{(dialog box)} . И вот вы успешно настроили аудит папки! Вы можете спросить, как вы смотрите на события?

Чтобы просмотреть события, вам нужно зайти в панель управления и нажать^{(Control Panel and click)} « Администрирование^{(Administrative Tools)} » . Затем откройте средство просмотра событий^{(Event Viewer)} . Нажмите на раздел « Безопасность ^(Security)»^{(hand side)} , и справа вы увидите большой список событий :

безопасность средства просмотра событий

Если вы создадите файл или просто откроете папку и нажмете кнопку « Обновить^{(Refresh button)} » в средстве просмотра событий^{(Event Viewer)} (кнопка с двумя зелеными стрелками), вы увидите кучу событий в категории « Файловая система»^{( File System)} . Они относятся к любым операциям удаления, создания, чтения и записи в папках/файлах, которые вы проверяете. В Windows 7 все теперь отображается в категории задач «Файловая система^{(File System task)} », поэтому, чтобы увидеть, что произошло, вам нужно щелкнуть по каждому из них и прокрутить его.

Чтобы было проще просматривать такое количество событий, можно поставить фильтр и посмотреть только важные вещи. Нажмите^(Click) на меню « Вид^(View) » вверху и нажмите « Фильтр^(Filter) » . Если параметр « Фильтр^(Filter) » отсутствует, щелкните правой кнопкой мыши журнал безопасности^{(Security log)} на левой странице и выберите « Фильтровать текущий журнал^{(Filter Current Log)} » . В поле Event ID^{(Event ID box)} введите число 4656 . Это событие, связанное с конкретным пользователем, выполняющим действие файловой системы ^{(File System )} , предоставит вам соответствующую информацию без необходимости просматривать тысячи записей.

журнал фильтрации

Если вы хотите получить больше информации о событии, просто дважды щелкните по нему для просмотра.

идентификатор события удалить

Это информация с экрана выше:

Запрошен дескриптор объекта.^{(A handle to an object was requested.)}

Тема: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Имя учетной записи: Домен учетной записи Asem ^{( Account Name: Aseem)}
: Asem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
Logon ID: 0x175a1

Объект: ^(Object:)
Объектный сервер: Безопасность ^{( Object Server: Security)}
Тип объекта: Файл ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Идентификатор дескриптора: 0x16a0^{( Handle ID: 0x16a0)}

Информация о ^{(Process Information:)}
процессе: Идентификатор процесса: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Информация о запросе на доступ: ^{(Access Request Information:)}
Идентификатор транзакции: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Доступы: УДАЛИТЬ ^{( Accesses: DELETE)}
СИНХРОНИЗИРОВАТЬ ^{( SYNCHRONIZE)}
ReadAttributes

В приведенном выше примере работал файл New Text Document.txt в папке Tufu^{(Tufu folder)} на моем рабочем столе, а доступ, который я запрашивал, был DELETE с последующим SYNCHRONIZE . Что я сделал здесь, так это удалил файл. Вот еще один пример:

Тип объекта: Файл ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Идентификатор дескриптора: 0x178^{( Handle ID: 0x178)}

Информация о процессе: ^{(Process Information:)}
ID процесса: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Информация запроса доступа: ^{(Access Request Information:)}
Идентификатор транзакции: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Доступы: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (или ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (или AddFile) ^{( WriteData (or AddFile))}
AppendData (или AddSubdirectory или CreatePipeInstance) ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Причины доступа: READ_CONTROL: Предоставлено владельцем ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SYNCHRONIZE: Предоставлено D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Когда вы читаете это, вы можете видеть, что я получил доступ к Address Labels.docx с помощью программы WINWORD.EXE,^{(WINWORD.EXE program)} и мои доступы включали READ_CONTROL, и мои причины доступа также были READ_CONTROL . Как правило, вы увидите еще кучу доступов, но просто сосредоточьтесь на первом, так как это обычно основной тип доступа. В данном случае я просто открыл файл с помощью Word . Требуется небольшое тестирование и чтение^{(testing and reading)} событий, чтобы понять, что происходит, но как только вы это сделаете, это очень надежная система. Я предлагаю создать тестовую папку^{(test folder)} с файлами и выполнить различные действия, чтобы увидеть, что отображается в окне просмотра событий^{(Event Viewer)} .

Вот и все! Быстрый и бесплатный способ отслеживать доступ или изменения^{(access or changes)} в папке!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built into Windows that allows you to track when someone vіews, edits, or deletes something inside of a spеcified folder. So if there’s a folder or file that you want to know who is accessing, then this is the built-in method without having to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

run gpedit

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

group policy editor

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

audit object access

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

explorer security tab

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

auditing tab windows

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

user group permissions

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

audit permissions explorer

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

event viewer security

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

filter log

If you want to get more information about an event, simply double click on it to view.

event id delete

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Флорентина Успенская

About the author

Я инженер-программист с более чем 15-летним опытом работы с Microsoft Office и Edge. Я также разработал несколько инструментов, используемых конечными пользователями, например, приложение для отслеживания важных медицинских данных и детектор программ-вымогателей. Мои навыки заключаются в разработке элегантного кода, который хорошо работает на различных платформах, а также в отличном понимании взаимодействия с пользователем.

Как отслеживать, когда кто-то обращается к папке на вашем компьютере

How to Track When Someone Accesses a Folder on Your Computer

Флорентина Успенская

About the author

Related posts

Как создать защищенную и заблокированную папку в Windows XP

Как сохранить макет значка на рабочем столе в Windows XP, 7, 8

Как исправить ошибку «Отсутствует или поврежден NTFS.sys» в Windows XP

Удаленный доступ к компьютеру с Windows XP или Windows Server 2003

Установите сетевой принтер из Windows XP с помощью программы установки драйвера.

Синхронизируйте любую папку Windows с Google Диском, OneDrive и Dropbox

Как получить уведомления вашего Android-устройства на вашем компьютере

Установите сетевой принтер из Windows XP с помощью мастера установки принтера.

Запуск старых игр и программ DOS в Windows XP, Vista, 7/8/10

Как установить права доступа к файлам и папкам в Windows

Присоединение компьютера с Windows XP к домашней группе Windows 7/8/10

Как использовать Obsidian в качестве личной вики на вашем компьютере

Как изменить средство просмотра изображений по умолчанию в Windows

Отключите или удалите «Ваш компьютер может быть в опасности» в Windows XP

Как проверить настройки прокси-сервера на вашем компьютере

Что такое папка перфологии в Windows 10

msvcr120.dll отсутствует на вашем компьютере? 8 способов исправить

Как включить ON or OFF Public Folder Sharing на Windows 10

Как установить сетевой принтер в домашней или офисной сети

Устранение неполадок с беспроводным сетевым подключением Windows XP