Birisi bilgisayarınıza bir klasöre eriştiğinde nasıl izlenir


Windows'un içinde, birinin belirli bir klasörde bir şeyi görüntülediğinde, düzenlediğinde veya silen bir şeyi izleyebilmenizi sağlayan güzel küçük bir özelliği vardır. Bu nedenle, kimin erişmekte olduğunu bilmek istediğiniz bir klasör veya dosya varsa, üçüncü taraf yazılımları kullanmak zorunda kalmadan yerleşik yöntem budur.

Bu özellik aslında bir Windows güvenlik özelliğinin bir parçasıdır şirket ağındaki bilgisayarları sunucular üzerinden yöneten çoğu BT uzmanı tarafından kullanılan Grup İlkesiolarak adlandırılır, ancak yerel olarak herhangi bir sunucu olmadan PC'de de kullanılabilir. Grup İlkesi'ni kullanmanın tek dezavantajı, Windows'un daha düşük sürümlerinde bulunmamasıdır. Windows 7 için, Windows 7 Professional veya daha yüksek bir sürüme sahip olmanız gerekir. Windows 8 için Pro veya Enterprise'a ihtiyacınız vardır.

Grup İlkesi terimi temel olarak grafik kullanıcı arabirimi üzerinden denetlenebilen bir kayıt defteri ayarları kümesini ifade eder. Çeşitli ayarları etkinleştirir veya devre dışı bırakırsınız ve bu düzenlemeler daha sonra Windows kayıt defterinde güncellenir.

Windows XP'de, ilke düzenleyicisine ulaşmak için Başlat'a ve ardından seçeneğine tıklayın. Çalıştır. Metin kutusunda, aşağıda gösterildiği gibi tırnak işaretleri olmadan "gpedit.msc" yazın:

run gpedit

Windows 7'de Başlat menüsünün altındaki arama kutusuna sadece gpedit.mscyazıp Başlat düğmesine tıklarsınız. Windows 8'de, Başlangıç ​​Ekranına gidin ve yazmaya başlayın ya da Charmsçubuğunu açmak için farenizin imlecini ekranın en üst veya sağ tarafına getirin ve Ara. Sonra sadece gpedityazın. Şimdi, aşağıdaki resme benzer bir şey görmelisiniz:

group policy editor

İki ana politika kategorisi vardır: Kullanıcıve Bilgisayar. Tahmin edebileceğiniz gibi, kullanıcı ilkeleri her kullanıcı için ayarları kontrol ederken bilgisayar ayarları sistem genelinde olacak ve tüm kullanıcıları etkileyecektir. Bizim durumumuzda, ayarlarımızın tüm kullanıcılar için olmasını istiyoruz. Bu nedenle Bilgisayar Yapılandırmasıbölümünü genişleteceğiz.

Windows Ayarları - & gt; Güvenlik Ayarları - & gt; Yerel Politikalar - & gt; Denetim Politikası. Buradaki diğer ayarların çoğunu açıklamayacağım çünkü bu öncelikle bir klasörü denetlemeye odaklanmış durumda. Şimdi sağ tarafta bir dizi politika ve geçerli ayarları göreceksiniz. Denetim ilkesi, işletim sisteminin yapılandırıldığını ve değişiklikleri izlemeye hazır olup olmadığını denetleyen şeydir.

audit object access

Şimdi Denetim ayarını kontrol edin. Nesne Erişimi'nin üzerine çift tıklayarak ve Başarıve Başarısızlık' ı seçerek. Tamam'ı tıklayın ve şimdi Windows'a, değişiklikleri izlemek için hazır olmasını istediğimizi söyleyen ilk kısımdan bahsediyoruz. Şimdi sıradaki adım, izlemek istediğimiz EXACTLY'yi anlatmak. Artık Grup İlkesi konsolundan çıkabilirsiniz.

Şimdi izlemek istediğiniz Windows Gezgini'ni kullanarak klasöre gidin. Explorer'da, klasörü sağ tıklayın ve Özellikler'i tıklayın. Güvenlik Sekmesi'ni tıklayın ve buna benzer bir şey görürsünüz:

explorer security tab

Şimdi Gelişmişdüğmesini tıklayın ve Denetimsekmesini tıklayın. Burada, bu klasör için izlemek istediklerimizi yapılandıracağız.

auditing tab windows

Devam edin ve Ekledüğmesine basın. Bir Kullanıcı veya Grup seçmenizi isteyen bir iletişim kutusu görünecektir. Kutuya, "kullanıcılar" sözcüğünü yazın ve İsimleri Kontrol Et'i tıklayın. Kutu, bilgisayarınız için yerel kullanıcı grubunun adıyla otomatik olarak güncellenir BİLGİSAYARADI \ Kullanıcılar.

user group permissions

Tamam'a tıklayın ve şimdi “X için Denetim Girişi" adlı yeni bir iletişim kutusu alacaksınız. Bu yapmak istediğimiz şeyin gerçek etidir. Bu klasör için izlemek istediğiniz şeyi burada seçeceksiniz. Yeni dosya / klasörleri silmek veya silmek gibi, izlemek istediğiniz etkinlik türlerini tek tek seçebilirsiniz. İşleri kolaylaştırmak için, aşağıdaki tüm diğer seçenekleri otomatik olarak seçecek Tam Denetim'i seçmenizi öneririm. Bunu Başarıve Başarısızlıkiçin yapın. Bu şekilde, bu klasöre veya içindeki dosyalara ne yapılırsa yapılsın, bir kaydın olacak.

audit permissions explorer

Şimdi Tamam'a tıklayın ve tekrar Tamam'a tıklayın. ve birden çok iletişim kutusundan çıkmak için bir kez daha ayarlayın. Ve şimdi bir klasörde denetiminizi başarıyla yapılandırdınız! Bu durumda, olayları nasıl görüyorsunuz?

Olayları görebilmek için Kontrol Paneli'ne gidip Yönetimsel Araçlar'a tıklamanız gerekir. Ardından Etkinlik Görüntüleyici'ni açın. Güvenlikbölümünü tıklayın ve sağ taraftaki etkinliklerin büyük bir listesini göreceksiniz:

event viewer security

Devam edip bir dosya oluşturursanız veya klasörü açarsanız ve Olay Görüntüleyicisi'ndeki Yenile düğmesini (iki yeşil ok içeren tuş) tıklarsanız, Dosya Sistemi güçlü. Bunlar, denetlemekte olduğunuz klasörlerde / dosyalarda silme, oluşturma, okuma, yazma işlemleriyle ilgilidir. Windows 7'de, şimdi her şey Dosya Sistemi görev kategorisi altında görünecek, böylece ne olduğunu görmek için her birinin üzerine tıklamanız ve üzerinde gezinmeniz gerekecek.

Daha kolay hale getirmek için Pek çok olaya göz at, bir filtre koyabilir ve sadece önemli şeyleri görebilirsiniz. En üstteki Görüntülemenüsünü tıklayın ve Filtrele'yi tıklayın. Filtre seçeneği yoksa, sol taraftaki sayfada Güvenlik günlüğüne sağ tıklayın ve Geçerli Günlüğü Süzdür'ü seçin. Etkinlik Kimliği kutusuna 4656sayısını girin. Bu, Dosya Sistemiişlemini gerçekleştiren belirli bir kullanıcıyla ilişkili olaydır ve binlerce girişe bakmak zorunda kalmadan ilgili bilgileri size verecektir.

filter log

Bir etkinlik hakkında daha fazla bilgi almak isterseniz, görüntülemek için üzerine çift tıklayın.

event id delete

Yukarıdaki ekrandan gelen bilgiler:

Bir nesnenin tanıtıcısı istendi.

Konu:
Güvenlik Kimliği: Aseem-Lenovo \ Aseem
Hesap Adı: Aseem
Hesap Alanı: Aseem-Lenovo
Oturum Açma Kimliği: 0x175a1

Nesne:
Nesne Sunucusu: Güvenlik
Nesne Türü: Dosya
Nesne Adı: C : \ Kullanıcılar \ Aseem \ Desktop \ Tufu \ Yeni Metin Belgesi.txt
İşlem Kimliği: 0x16a0

İşlem Bilgileri:
İşlem Kimliği: 0x820
İşlem Adı: C: ​​\ Windows \ explorer.exe

Erişim İsteği Bilgileri:
İşlem Kimliği: {00000000-0000-0000-0000-000000000000}
Erişimler: DELETE
SENKRONİZASYON
ReadAttributes

Yukarıdaki örnekte, üzerinde çalışılan dosya masaüstümdeki Tufu klasöründeki New Text Document.txt idi ve istediğim erişimler DELETE takip edildi SYNCHRONIZE tarafından. Burada yaptığım dosya silindi. İşte başka bir örnek:

Nesne Türü: Dosya
Nesne Adı: C: ​​\ Kullanıcılar \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Kimlik Kimliği: 0x178

İşlem Bilgileri:
İşlem Kimliği: 0x1008
İşlem Adı: C: ​​\ Program Dosyaları (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Erişim İsteği Bilgileri:
Transaction Kimlik: {00000000-0000-0000-0000-000000000000}
Erişim: READ_CONTROL
SENKRONİZASYON
ReadData (veya ListDirectory)
WriteData (veya AddFile)
AppendData (veya AddSubdirectory veya CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Erişim Sebepleri: READ_CONTROL: Sahiplik Tarafından Verildi
SENKRONİZASYON: D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000) tarafından verilir.

Bunu okuduğunuzda, WINWORD.EXE programını kullanarak Address Labels.docx dosyasına eriştiğimi görebilirsiniz. erişimim READ_CONTROL ve benim erişim nedenlerim de READ_CONTROL idi. Genellikle, bir grup daha fazla erişim görürsünüz, ancak ilk olarak genellikle ana erişim türü olan ilk konuya odaklanabilirsiniz. Bu durumda, sadece Word kullanarak dosyayı açtım. Neler olup bittiğini anlamak için bazı testler yapıyor ve olayları okuyor, ancak bir kez düşürdüğünüzde, bu çok güvenilir bir sistem. Dosyaları içeren bir test klasörü oluşturmanızı ve Etkinlik Görüntüleyicisi'nde nelerin görüneceğini görmek için çeşitli işlemler gerçekleştirmenizi öneririm.

Bu oldukça fazla! Bir klasörde erişimi veya değişiklikleri izlemenin hızlı ve ücretsiz bir yolu!

Related posts:


3.08.2014