Kā izsekot, kad kāds piekļūst mapei datorā
Sistēmā Windows ir iebūvēta jauka neliela funkcija, kas ļauj izsekot, kad kāds skatās, rediģē vai dzēš kādu noteiktu mapi. Tātad, ja ir mape vai fails, kuru vēlaties zināt, kurš piekļūst, tad šī ir iebūvēta metode, neizmantojot trešās puses programmatūru.
Šī funkcija faktiski ir daļa no Windows drošības līdzekļa, ko sauc par Grupu politika, ko izmanto lielākā daļa IT speciālistu, kuri pārvalda datorus korporatīvajā tīklā, izmantojot serverus, tomēr to var izmantot arī lokāli datorā bez serveriem. Vienīgā negatīvā puse, lietojot grupas politiku, ir tā, ka tā nav pieejama zemākās Windows versijās. Operētājsistēmai Windows 7 ir nepieciešama Windows 7 Professional vai jaunāka versija. Operētājsistēmai Windows 8 ir nepieciešams Pro vai Enterprise.
Termins Grupas politika pamatā attiecas uz reģistra iestatījumu kopumu, ko var kontrolēt, izmantojot grafisko lietotāja interfeisu. Jūs iespējojat vai atspējojat dažādus iestatījumus, un šie labojumi tiek atjaunināti Windows reģistrā.
Sistēmā Windows XP, lai nokļūtu politikas redaktorā, noklikšķiniet uz Sākt un tad Palaist. Teksta lodziņā ierakstiet “gpedit.msc“Bez pēdiņām, kā parādīts tālāk:
Sistēmā Windows 7 jūs vienkārši noklikšķiniet uz pogas Sākt un ierakstiet gpedit.msc meklēšanas lodziņā, kas atrodas izvēlnes Sākt apakšā. Sistēmā Windows 8 vienkārši dodieties uz sākuma ekrānu un sāciet rakstīt vai pārvietot peles kursoru uz ekrāna augšējo vai apakšējo labo pusi, lai atvērtu Piekariņi un noklikšķiniet uz Meklēt. Tad vienkārši ierakstiet gpedīts. Tagad jums vajadzētu redzēt kaut ko līdzīgu attēlam:
Ir divas galvenās politikas kategorijas: Lietotājs un Dators. Kā jūs varētu būt uzminējis, lietotāja politika kontrolē katra lietotāja iestatījumus, savukārt datora iestatījumi būs sistēmas plaši iestatījumi un ietekmēs visus lietotājus. Mūsu gadījumā mēs vēlamies, lai mūsu iestatījums būtu visiem lietotājiem, tāpēc mēs paplašināsim to Datora konfigurācija sadaļā.
Turpināt paplašināšanu līdz Windows iestatījumi -> Drošības iestatījumi -> Vietējās politikas -> Revīzijas politika. Es neesmu gatavojies izskaidrot daudzus citus iestatījumus šeit, jo tas galvenokārt ir vērsts uz mapes auditu. Tagad jūs redzēsiet politiku kopumu un to pašreizējos iestatījumus labajā pusē. Revīzijas politika ir tā, kas kontrolē, vai operētājsistēma ir konfigurēta vai gatava sekot izmaiņām.
Tagad pārbaudiet iestatījumu Revīzijas objekta piekļuve veicot dubultklikšķi uz tā un izvēloties abus Panākumi un Kļūme. Noklikšķiniet uz Labi, un tagad mēs esam paveikuši pirmo daļu, kas stāsta Windows, ka mēs vēlamies, lai tā būtu gatava uzraudzīt izmaiņas. Tagad nākamais solis ir pateikt to, ko tieši mēs vēlamies izsekot. Tagad varat aizvērt grupas politikas konsoli.
Tagad dodieties uz mapi, izmantojot Windows Explorer, kuru vēlaties uzraudzīt. Programmā Explorer noklikšķiniet ar peles labo pogu uz mapes un noklikšķiniet uz Rekvizīti. Noklikšķiniet uz Drošības cilne un jūs redzat kaut ko līdzīgu šim:
Tagad noklikšķiniet uz Uzlabots pogu un noklikšķiniet uz Audits cilnē. Tieši šeit mēs konfigurēsim to, ko mēs vēlamies pārraudzīt šai mapei.
Iet uz priekšu un noklikšķiniet uz Pievienot poga. Parādīsies dialoglodziņš, kurā tiek prasīts izvēlēties lietotāju vai grupu. Lodziņā ierakstiet vārdu “lietotājiemUn noklikšķiniet uz Pārbaudiet vārdus. Lodziņā automātiski tiks atjaunināts ar jūsu datora vietējo lietotāju grupas nosaukumu COMPUTERNAME Lietotāji.
Noklikšķiniet uz Labi un tagad jūs saņemsiet vēl vienu dialogu ar nosaukumu “Revīzijas ieraksts X“. Tā ir patiesā gaļa, ko mēs gribējām darīt. Šeit jūs atradīsiet, ko vēlaties skatīties šajā mapē. Jūs varat individuāli izvēlēties, kādus darbības veidus vēlaties izsekot, piemēram, dzēst vai izveidot jaunus failus / mapes utt. Lai atvieglotu lietas, es iesaku izvēlēties Pilna kontrole, kas automātiski atlasīs visas citas opcijas zem tā. Dariet to Panākumi un Kļūme. Tādā veidā, neatkarīgi no tā, kas tiek darīts ar šo mapi vai tajā esošajiem failiem, jums būs ieraksts.
Tagad noklikšķiniet uz Labi un vēlreiz noklikšķiniet uz Labi un vēlreiz vēlreiz, lai izietu no vairākiem dialoglodziņiem. Un tagad esat veiksmīgi konfigurējis auditu mapē! Tātad jūs varētu jautāt, kā jūs skatāt notikumus?
Lai apskatītu notikumus, jums jādodas uz vadības paneli un noklikšķiniet uz Administratīvie rīki. Tad atveriet Notikumu skatītājs. Noklikšķiniet uz Drošība sadaļā un redzēsiet lielu notikumu sarakstu labajā pusē:
Ja dodaties uz priekšu un izveidojat failu vai vienkārši atverat mapi un noklikšķiniet uz pogas Atsvaidzināt notikumu skatītājā (poga ar divām zaļām bultiņām), jūs redzēsiet virkni notikumu kategorijā Failu sistēma. Tie attiecas uz jebkādām dzēstām, izveidotām, lasītām un rakstāmām darbībām ar mapēm / failiem, kurus veicat. Operētājsistēmā Windows 7 viss tagad parādās sadaļā Failu sistēmas uzdevumu kategorija, tāpēc, lai redzētu, kas noticis, jums būs jānoklikšķina uz katra un ritiniet to.
Lai būtu vieglāk aplūkot tik daudzus notikumus, varat ievietot filtru un vienkārši apskatīt svarīgās lietas. Noklikšķiniet uz Skatīt augšējā izvēlnē un noklikšķiniet uz Filtrēt. Ja nav filtra izvēles, ar peles labo pogu noklikšķiniet uz drošības žurnāla kreisajā pusē un izvēlieties Filtrēt pašreizējo žurnālu. Laukā Event ID ierakstiet numuru 4656. Šis ir notikums, kas saistīts ar konkrētu lietotāju, kurš veic a Failu sistēma rīcību un sniegs jums attiecīgo informāciju, neizskatot tūkstošiem ierakstu.
Ja vēlaties iegūt vairāk informācijas par notikumu, vienkārši noklikšķiniet uz tā, lai to apskatītu.
Šī ir informācija no iepriekš redzamā ekrāna:
Tika pieprasīts objekta rokturis.
Temats:
Drošības ID: Aseem-Lenovo
Konta nosaukums: Aseem
Konta domēns: Aseem-Lenovo
Pieteikšanās ID: 0x175a1
Objekts:
Objekta serveris: drošība
Objekta veids: fails
Objekta nosaukums: C: Lietotāji Eseem Desktopufu Jauns teksts Document.txt
Roktura ID: 0x16a0
Informācijas apstrāde:
Procesa ID: 0x820
Procesa nosaukums: C: Windows Explorer.exe
Piekļuves pieprasījuma informācija:
Darījuma ID: 00000000-0000-0000-0000-000000000000
Piekļuve: DELETE
SYNCHRONIZE
ReadAttributes
Iepriekš minētajā piemērā fails, kas strādāts, bija darbvirsmas mapē Tufu jauns teksts Document.txt, un pieprasītās piekļuves bija DELETE, kam sekoja SYNCHRONIZE. Tas, ko es šeit darīju, bija izdzēst failu. Šeit ir vēl viens piemērs:
Objekta veids: fails
Objekta nosaukums: C: Lietotāji Eseem Desktopufu Adrese Labels.docx
Roktura ID: 0x178
Informācijas apstrāde:
Procesa ID: 0x1008
Process Name: C: Failu faili (x86) Microsoft Office Office 14 WINWORD.EXE
Piekļuves pieprasījuma informācija:
Darījuma ID: 00000000-0000-0000-0000-000000000000
Piekļuve: READ_CONTROL
SYNCHRONIZE
ReadData (vai ListDirectory)
WriteData (vai AddFile)
Papildu dati (vai AddSubdirectory vai CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Piekļuves iemesli: READ_CONTROL: piešķirts ar īpašumtiesībām
SYNCHRONIZE: piešķir D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Izlasot šo informāciju, jūs varat redzēt, ka es piekļuvu adresei Labels.docx, izmantojot WINWORD.EXE programmu, un manas piekļuves ir iekļautas READ_CONTROL, un mani piekļuves iemesli bija arī READ_CONTROL. Parasti jūs redzēsiet vairākus piekļuves punktus, bet tikai koncentrējieties uz pirmo, kas parasti ir galvenais piekļuves veids. Šajā gadījumā es vienkārši atvēru failu, izmantojot programmu Word. Tajā notiek neliela pārbaude un lasīšana caur notikumiem, lai saprastu, kas notiek, bet, kad esat to nolaupījis, tā ir ļoti uzticama sistēma. Es iesaku izveidot pārbaudes mapi ar failiem un veikt dažādas darbības, lai redzētu, kas parādās notikumu skatītājā.
Tas ir diezgan daudz! Ātrs un bezmaksas veids, kā izsekot piekļuvi vai izmaiņas mapē!