โฮมเพจ » Windows XP » วิธีการติดตามเมื่อมีคนเข้าถึงโฟลเดอร์บนคอมพิวเตอร์ของคุณ

    วิธีการติดตามเมื่อมีคนเข้าถึงโฟลเดอร์บนคอมพิวเตอร์ของคุณ

    มีคุณสมบัติเล็ก ๆ น้อย ๆ ที่ดีในตัว Windows ซึ่งช่วยให้คุณติดตามเมื่อมีคนดูแก้ไขหรือลบบางสิ่งภายในโฟลเดอร์ที่ระบุ ดังนั้นหากมีโฟลเดอร์หรือไฟล์ที่คุณต้องการรู้ว่าใครกำลังเข้าถึงอยู่นี่เป็นวิธีการในตัวโดยไม่ต้องใช้ซอฟต์แวร์บุคคลที่สาม.

    คุณลักษณะนี้เป็นส่วนหนึ่งของคุณลักษณะความปลอดภัยของ Windows ที่เรียกว่า นโยบายกลุ่ม, ซึ่งใช้งานโดยผู้เชี่ยวชาญด้านไอทีส่วนใหญ่ที่จัดการคอมพิวเตอร์ในเครือข่ายขององค์กรผ่านเซิร์ฟเวอร์อย่างไรก็ตามสามารถใช้ในเครื่องพีซีโดยไม่มีเซิร์ฟเวอร์ใด ๆ ข้อเสียเพียงอย่างเดียวในการใช้นโยบายกลุ่มคือไม่สามารถใช้งานได้ใน Windows รุ่นที่ต่ำกว่า สำหรับ Windows 7 คุณต้องมี Windows 7 Professional ขึ้นไป สำหรับ Windows 8 คุณต้องใช้ Pro หรือ Enterprise.

    นโยบายกลุ่มคำโดยทั่วไปหมายถึงชุดของการตั้งค่ารีจิสทรีที่สามารถควบคุมผ่านทางส่วนต่อประสานผู้ใช้แบบกราฟิก คุณเปิดใช้งานหรือปิดใช้งานการตั้งค่าต่างๆจากนั้นการแก้ไขเหล่านี้จะได้รับการปรับปรุงในรีจิสทรีของ Windows.

    ใน Windows XP เพื่อไปที่ตัวแก้ไขนโยบายให้คลิกที่ เริ่มต้น แล้ว วิ่ง. ในกล่องข้อความพิมพ์“gpedit.msc” โดยไม่มีคำพูดดังแสดงด้านล่าง:

    ใน Windows 7 คุณจะคลิกที่ปุ่ม Start และพิมพ์ gpedit.msc ลงในช่องค้นหาที่ด้านล่างของเมนูเริ่ม ใน Windows 8 เพียงไปที่หน้าจอเริ่มและเริ่มพิมพ์หรือเลื่อนเคอร์เซอร์เมาส์ไปที่ด้านบนสุดหรือล่างขวาของหน้าจอเพื่อเปิด เสน่ห์ แถบและคลิกที่ ค้นหา. จากนั้นเพียงพิมพ์ gpedit. ตอนนี้คุณควรเห็นบางสิ่งที่คล้ายกับภาพด้านล่าง:

    นโยบายมีสองประเภทหลัก: ผู้ใช้งาน และ คอมพิวเตอร์. ดังที่คุณอาจคาดเดาได้นโยบายผู้ใช้จะควบคุมการตั้งค่าสำหรับผู้ใช้แต่ละคนในขณะที่การตั้งค่าคอมพิวเตอร์จะเป็นการตั้งค่าทั่วทั้งระบบและจะมีผลกับผู้ใช้ทุกคน ในกรณีของเราเราจะต้องการให้การตั้งค่าของเราเป็นสำหรับผู้ใช้ทั้งหมดดังนั้นเราจะขยาย การกำหนดค่าคอมพิวเตอร์ มาตรา.

    ดำเนินการต่อเพื่อขยายไปยัง การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> นโยบายการตรวจสอบ. ฉันจะไม่อธิบายการตั้งค่าอื่น ๆ อีกมากที่นี่เนื่องจากสิ่งนี้มุ่งเน้นไปที่การตรวจสอบโฟลเดอร์เป็นหลัก ตอนนี้คุณจะเห็นชุดของนโยบายและการตั้งค่าปัจจุบันของพวกเขาทางด้านขวามือ นโยบายการตรวจสอบเป็นสิ่งที่ควบคุมว่ามีการกำหนดค่าระบบปฏิบัติการหรือไม่และพร้อมที่จะติดตามการเปลี่ยนแปลง.

    ตอนนี้ตรวจสอบการตั้งค่าสำหรับ ตรวจสอบการเข้าถึงวัตถุ โดยดับเบิลคลิกที่มันและเลือกทั้งสอง ความสำเร็จ และ ความล้มเหลว. คลิกตกลงและตอนนี้เราทำส่วนแรกที่บอก Windows ว่าเราต้องการให้พร้อมที่จะตรวจสอบการเปลี่ยนแปลง ตอนนี้ขั้นตอนต่อไปคือการบอกสิ่งที่เราต้องการติดตาม คุณสามารถปิดคอนโซลกลุ่มได้ทันที.

    ตอนนี้นำทางไปยังโฟลเดอร์โดยใช้ Windows Explorer ที่คุณต้องการตรวจสอบ ใน Explorer คลิกขวาที่โฟลเดอร์และคลิก คุณสมบัติ. คลิกที่ แท็บความปลอดภัย และคุณเห็นบางสิ่งที่คล้ายกับสิ่งนี้:

    ตอนนี้คลิกที่ สูง และคลิกที่ปุ่ม การตรวจสอบบัญชี แถบ นี่คือที่เราจะกำหนดค่าสิ่งที่เราต้องการตรวจสอบสำหรับโฟลเดอร์นี้.

    ไปข้างหน้าและคลิก เพิ่ม ปุ่ม. กล่องโต้ตอบจะปรากฏขึ้นเพื่อขอให้คุณเลือกผู้ใช้หรือกลุ่ม ในกล่องพิมพ์คำว่า“ผู้ใช้” และคลิก ตรวจสอบชื่อ. กล่องจะอัปเดตโดยอัตโนมัติด้วยชื่อของกลุ่มผู้ใช้ท้องถิ่นสำหรับคอมพิวเตอร์ของคุณในแบบฟอร์ม COMPUTERNAME \ Users.

    คลิกตกลงและตอนนี้คุณจะได้รับกล่องโต้ตอบที่เรียกว่า“รายการตรวจสอบสำหรับ X“ นี่คือเนื้อสัตว์ที่แท้จริงของสิ่งที่เราอยากทำ ที่นี่คุณจะเลือกสิ่งที่คุณต้องการดูสำหรับโฟลเดอร์นี้ คุณสามารถเลือกประเภทของกิจกรรมที่คุณต้องการติดตามเช่นการลบหรือสร้างไฟล์ / โฟลเดอร์ใหม่ ฯลฯ เพื่อให้ง่ายขึ้นฉันขอแนะนำให้เลือกการควบคุมทั้งหมดซึ่งจะเลือกตัวเลือกอื่นทั้งหมดด้านล่างโดยอัตโนมัติ ทำเช่นนี้เพื่อ ความสำเร็จ และ ความล้มเหลว. ด้วยวิธีนี้สิ่งที่ทำไปยังโฟลเดอร์นั้นหรือไฟล์ที่อยู่ภายในคุณจะมีการบันทึก.

    ตอนนี้คลิกตกลงและคลิกตกลงอีกครั้งและตกลงอีกครั้งเพื่อออกจากกล่องโต้ตอบหลายชุด และตอนนี้คุณได้กำหนดค่าการตรวจสอบบัญชีเรียบร้อยแล้ว! ดังนั้นคุณอาจถามว่าคุณดูเหตุการณ์ได้อย่างไร?

    ในการดูเหตุการณ์คุณต้องไปที่แผงควบคุมและคลิกที่ เครื่องมือบริหาร. จากนั้นเปิดขึ้น ผู้ชมเหตุการณ์. คลิกที่ ความปลอดภัย และคุณจะเห็นรายการกิจกรรมขนาดใหญ่ทางด้านขวามือ:

    หากคุณไปข้างหน้าและสร้างไฟล์หรือเพียงแค่เปิดโฟลเดอร์และคลิกปุ่มรีเฟรชใน Event Viewer (ปุ่มที่มีลูกศรสีเขียวสองลูก) คุณจะเห็นเหตุการณ์มากมายในหมวดหมู่ของ ระบบไฟล์. สิ่งเหล่านี้เกี่ยวข้องกับการดำเนินการลบสร้างอ่านเขียนในโฟลเดอร์ / ไฟล์ที่คุณกำลังตรวจสอบ ใน Windows 7 ตอนนี้ทุกอย่างจะปรากฏขึ้นภายใต้หมวดหมู่งานระบบไฟล์ดังนั้นเพื่อดูว่าเกิดอะไรขึ้นคุณจะต้องคลิกที่แต่ละอันและเลื่อนดู.

    เพื่อให้ง่ายต่อการมองผ่านเหตุการณ์มากมายคุณสามารถใส่ตัวกรองและดูสิ่งสำคัญ คลิกที่ ดู เมนูที่ด้านบนและคลิกที่ กรอง. หากไม่มีตัวเลือกสำหรับตัวกรองให้คลิกขวาที่บันทึกความปลอดภัยในหน้าซ้ายแล้วเลือก กรองบันทึกปัจจุบัน. ในกล่องรหัสเหตุการณ์พิมพ์หมายเลข 4656. นี่คือเหตุการณ์ที่เกี่ยวข้องกับผู้ใช้รายใดรายหนึ่งที่กำลังดำเนินการ ระบบไฟล์ การดำเนินการและจะให้ข้อมูลที่เกี่ยวข้องแก่คุณโดยไม่ต้องตรวจสอบข้อมูลนับพันรายการ.

    หากคุณต้องการรับข้อมูลเพิ่มเติมเกี่ยวกับกิจกรรมเพียงดับเบิลคลิกที่กิจกรรมเพื่อดู.

    นี่คือข้อมูลจากหน้าจอด้านบน:

    มีการร้องขอการจัดการกับวัตถุ.

    เรื่อง:
    รหัสความปลอดภัย: Aseem-Lenovo \ Aseem
    ชื่อบัญชี: Aseem
    โดเมนบัญชี: Aseem-Lenovo
    ID เข้าสู่ระบบ: 0x175a1

    วัตถุ:
    เซิร์ฟเวอร์วัตถุ: ความปลอดภัย
    ประเภทวัตถุ: ไฟล์
    ชื่อวัตถุ: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
    หมายเลขอ้างอิง: 0x16a0

    ข้อมูลกระบวนการ:
    ID กระบวนการ: 0x820
    ชื่อกระบวนการ: C: \ Windows \ explorer.exe

    ข้อมูลคำขอการเข้าถึง:
    รหัสธุรกรรม: 00000000-0000-0000-0000-000000000000
    การเข้าถึง: DELETE
    ประสาน
    ReadAttributes

    ในตัวอย่างข้างต้นไฟล์ที่ทำงานคือ New Text Document.txt ในโฟลเดอร์ Tufu บนเดสก์ท็อปของฉันและการเข้าถึงที่ฉันร้องขอคือ DELETE ตามด้วย SYNCHRONIZE สิ่งที่ฉันทำที่นี่คือลบไฟล์ นี่เป็นอีกตัวอย่าง:

    ประเภทวัตถุ: ไฟล์
    ชื่อวัตถุ: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
    หมายเลขอ้างอิง: 0x178

    ข้อมูลกระบวนการ:
    ID กระบวนการ: 0x1008
    ชื่อกระบวนการ: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

    ข้อมูลคำขอการเข้าถึง:
    รหัสธุรกรรม: 00000000-0000-0000-0000-000000000000
    เข้าถึง: READ_CONTROL
    ประสาน
    ReadData (หรือ ListDirectory)
    WriteData (หรือ AddFile)
    AppendData (หรือ AddSubdirectory หรือ CreatePipeInstance)
    ReadEA
    WriteEA
    ReadAttributes
    WriteAttributes

    เหตุผลในการเข้าถึง: READ_CONTROL: ได้รับสิทธิ์ความเป็นเจ้าของ
    การซิงโครไนซ์: ได้รับจาก D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

    เมื่อคุณอ่านสิ่งนี้คุณจะเห็นว่าฉันเข้าถึงที่อยู่ Labels.docx โดยใช้โปรแกรม WINWORD.EXE และการเข้าถึงของฉันรวมอยู่ด้วย READ_CONTROL และเหตุผลในการเข้าถึงของฉันก็คือ READ_CONTROL โดยปกติแล้วคุณจะเห็นการเข้าถึงมากกว่าปกติ แต่เพียงมุ่งเน้นไปที่การเข้าถึงกลุ่มแรกซึ่งโดยปกติแล้วจะเป็นประเภทการเข้าถึงหลัก ในกรณีนี้ฉันเพียงแค่เปิดไฟล์โดยใช้ Word มันต้องใช้การทดสอบและการอ่านผ่านเหตุการณ์เล็กน้อยเพื่อทำความเข้าใจว่าเกิดอะไรขึ้น แต่เมื่อคุณทำเสร็จแล้วมันเป็นระบบที่น่าเชื่อถือมาก ฉันขอแนะนำให้สร้างโฟลเดอร์ทดสอบพร้อมไฟล์และดำเนินการต่าง ๆ เพื่อดูว่ามีอะไรปรากฏใน Event Viewer.

    มันสวยมาก! วิธีที่รวดเร็วและอิสระในการติดตามการเข้าถึงหรือการเปลี่ยนแปลงในโฟลเดอร์!