Hur man spårar när någon kommer åt en mapp på din dator
Det finns en trevlig liten funktion inbyggd i Windows som låter dig spåra när någon visar, redigerar eller tar bort något i en viss mapp. Så om det finns en mapp eller fil som du vill veta vem som har åtkomst till, så är detta den inbyggda metoden utan att behöva använda programvara från tredje part.
Denna funktion är faktiskt en del av en Windows -säkerhetsfunktion som kallas Group Policy , som används av de flesta IT-proffs(IT Professionals) som hanterar datorer i företagsnätverket via servrar, men den kan även användas lokalt på en PC utan några servrar. Den enda nackdelen med att använda gruppolicy(Group Policy) är att den inte är tillgänglig i lägre versioner av Windows . För Windows 7 måste du ha Windows 7 Professional eller högre. För Windows 8 behöver du Pro eller Enterprise .
Termen gruppolicy(Group Policy) syftar i grunden på en uppsättning registerinställningar som kan styras via ett grafiskt användargränssnitt. Du aktiverar eller inaktiverar olika inställningar och dessa redigeringar uppdateras sedan i Windows -registret.
I Windows XP , för att komma till policyredigeraren, klicka på Start och sedan Kör(Run) . I textrutan skriver du " gpedit.msc " utan citattecken som visas nedan:
I Windows 7 klickar du bara på Start -knappen och skriver gpedit.msc i sökrutan längst ner på Start-menyn(Start Menu) . I Windows 8 går du helt enkelt till startskärmen(Start Screen) och börjar skriva eller flyttar muspekaren längst upp eller längst ner till höger på skärmen för att öppna charmfältet(Charms) och klicka på Sök(Search) . Sedan är det bara att skriva in gpedit . Nu bör du se något som liknar bilden nedan:
Det finns två huvudkategorier av policyer: Användare(User) och Dator(Computer) . Som du kanske har gissat styr användarpolicyerna inställningarna för varje användare medan datorinställningarna kommer att vara systemomfattande inställningar och påverkar alla användare. I vårt fall kommer vi att vilja att vår inställning ska vara för alla användare, så vi utökar avsnittet Datorkonfiguration .(Computer Configuration)
Fortsätt att expandera till Windows-inställningar(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy . Jag tänker inte förklara mycket av de andra inställningarna här eftersom det här främst är inriktat på att granska en mapp. Nu ser du en uppsättning policyer och deras nuvarande inställningar till höger. Revisionspolicy är det som styr huruvida operativsystemet är konfigurerat och redo att spåra ändringar.
Kontrollera nu inställningen för Audit Object Access genom att dubbelklicka på den och välja både Framgång(Success) och Misslyckande(Failure) . Klicka på OK(Click OK) och nu är vi klara med den första delen som talar om för Windows att vi vill att den ska vara redo att övervaka ändringar. Nu är nästa steg att berätta vad EXAKT(EXACTLY) vi vill spåra. Du kan stänga av grupprincipkonsolen(Group Policy) nu.
Navigera nu till mappen med Windows Explorer som du vill övervaka. I Utforskaren(Explorer) högerklickar du på mappen och klickar på Egenskaper(Properties) . Klicka på säkerhetsfliken( Security Tab) och du ser något liknande detta:
Klicka nu på knappen Avancerat(Advanced) och klicka på fliken Revision . (Auditing)Det är här vi faktiskt kommer att konfigurera vad vi vill övervaka för den här mappen.
Gå vidare och klicka på knappen Lägg till . (Add)En dialogruta visas som ber dig att välja en användare(User) eller grupp(Group) . I rutan skriver du in ordet " användare(users) " och klickar på Kontrollera namn(Check Names) . Rutan kommer automatiskt att uppdateras med namnet på den lokala användargruppen för din dator i formen COMPUTERNAME\Users .
Klicka på OK(Click OK) och nu får du en annan dialogruta som heter " Revisionsinmatning för X(Audit Entry for X) ". Det här är det verkliga köttet av vad vi har velat göra. Här väljer du vad du vill titta på för den här mappen. Du kan individuellt välja vilka typer av aktiviteter du vill spåra, som att ta bort eller skapa nya filer/mappar etc. För att göra det enklare föreslår jag att du väljer Full kontroll(Full Control) , vilket automatiskt kommer att välja alla andra alternativ under den. Gör detta för framgång(Success) och misslyckande(Failure) . På detta sätt, vad som än görs med den mappen eller filerna i den, kommer du att ha en post.
Klicka nu på OK och klicka på OK igen och OK en gång till för att komma ur uppsättningen med flera dialogrutor. Och nu har du framgångsrikt konfigurerat revision på en mapp! Så du kanske frågar dig, hur ser du på händelserna?
För att se händelserna måste du gå till kontrollpanelen(Control Panel) och klicka på Administrationsverktyg(Administrative Tools) . Öppna sedan Event Viewer . Klicka på avsnittet Säkerhet(Security) så ser du en stor lista med händelser till höger:
Om du går vidare och skapar en fil eller helt enkelt öppnar mappen och klickar på Uppdatera-(Refresh) knappen i händelsevisaren(Event Viewer) (knappen med de två gröna pilarna), kommer du att se ett gäng händelser i kategorin Filsystem( File System) . Dessa hänför sig till alla raderings-, skapa-, läs-, skrivoperationer på mappar/filer du granskar. I Windows 7 visas nu allt under filsystemuppgiftskategorin(File System) , så för att se vad som hände måste du klicka på var och en och bläddra igenom den.
För att göra det lättare att titta igenom så många händelser kan du sätta ett filter och bara se det viktiga. Klicka(Click) på menyn Visa(View) högst upp och klicka på Filter . Om det inte finns något alternativ för Filter högerklickar du på säkerhetsloggen(Security) på vänster sida och väljer Filtrera aktuell logg(Filter Current Log) . I rutan Händelse-ID(Event ID) anger du numret 4656 . Detta är händelsen som är kopplad till en viss användare som utför en filsystemåtgärd (File System ) och ger dig relevant information utan att behöva titta igenom tusentals poster.
Om du vill få mer information om ett evenemang, dubbelklicka helt enkelt på det för att se det.
Detta är informationen från skärmen ovan:
Ett handtag till ett föremål begärdes.(A handle to an object was requested.)
Ämne: (Subject:)
Security ID: Aseem-Lenovo\Aseem
: ( Account Name: Aseem)
Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
Inloggnings-ID: 0x175a1( Logon ID: 0x175a1)
Objekt: (Object:)
Objekt Server: Säkerhet ( Object Server: Security)
Objekttyp: Fil ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handtag ID: 0x16a0( Handle ID: 0x16a0)
Processinformation:
Process-ID: 0x820 Processnamn ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Information om åtkomstbegäran: (Access Request Information:)
Transaktions-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Åtkomster: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
I exemplet ovan var filen som arbetade med New Text Document.txt i Tufu- mappen på mitt skrivbord och åtkomsterna som jag begärde var DELETE följt av SYNCHRONIZE . Det jag gjorde här var att ta bort filen. Här är ett annat exempel:
Objekttyp: Fil ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handtags-ID: 0x178( Handle ID: 0x178)
Processinformation:
Process-ID: 0x1008 Processnamn ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Information om åtkomstbegäran: (Access Request Information:)Transaktions - ( WriteAttributes)
ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Åtkomster: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (eller ListDirectory) ( ReadData (or ListDirectory))
WriteData (eller AddFile) ( WriteData (or AddFile))
AppendData (eller AddSubData (eller AddSubEditA ( AppendData (or AddSubdirectory or CreatePipeInstance))) ( ReadAttributes)
WritePipeAtributes ( ReadEA)
ReadPipeAtributes( WriteEA)
Åtkomstskäl: READ_CONTROL: Beviljats av ägande ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Beviljat av D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
När du läser igenom detta kan du se att jag fick åtkomst till Address Labels.docx(Address Labels.docx) med programmet WINWORD.EXE och mina åtkomster inkluderade READ_CONTROL och mina åtkomstskäl var också READ_CONTROL . Vanligtvis kommer du att se ett gäng fler åtkomster, men fokusera bara på den första eftersom det vanligtvis är den huvudsakliga typen av åtkomst. I det här fallet öppnade jag helt enkelt filen med Word . Det krävs lite testning och genomläsning av händelserna för att förstå vad som händer, men när du väl har det nere är det ett mycket tillförlitligt system. Jag föreslår att du skapar en testmapp med filer och utför olika åtgärder för att se vad som dyker upp i Event Viewer .
Det är ganska mycket det! Ett snabbt och gratis sätt att spåra åtkomst eller ändringar i en mapp!
Related posts
Hur man skapar en säker och låst mapp i Windows XP
Hur du sparar din skrivbordsikonlayout i Windows XP, 7, 8
Så här åtgärdar du felet "saknas eller är korrupt NTFS.sys" i Windows XP
Fjärråtkomst till en dator med Windows XP eller Windows Server 2003
Installera en nätverksskrivare från Windows XP med hjälp av drivrutinsinställningarna
Hur man ändrar eller återställer standardikonen för en mapp i Windows 11/10
Fix mapp finns inte - Ursprungsfel på Windows PC
Installera en nätverksskrivare från Windows XP med hjälp av guiden Lägg till skrivare
Så här installerar du en nätverksskrivare i ditt hem- eller kontorsnätverk
15 tips för att öka datorns hastighet
Hur man installerar en WordPress-testwebbplats på din dator
Anslut en Windows XP-dator till en Windows 7/8/10-hemgrupp
Fix registerredigering har inaktiverats av ditt administratörsfel
msvcr120.dll Saknas på din dator? 8 sätt att fixa
Hur man spelar Blu-Ray-skivor på din dator
Gratis programvara för att ta bort tomma mappar i Windows 11/10
Hur man ökar Windows Explorers standardminiatyrstorlek för bilder
Konfigurera eller stänga av DEP (Data Execution Prevention) i Windows
Topp 10 skillnader mellan Windows XP och Windows 7
Bifoga en VHD-fil i Windows XP