Homepage » Windows XP » Come tenere traccia quando qualcuno accede a una cartella sul tuo computer

    Come tenere traccia quando qualcuno accede a una cartella sul tuo computer

    C'è una piccola funzionalità incorporata in Windows che ti consente di monitorare quando qualcuno visualizza, modifica o elimina qualcosa all'interno di una cartella specificata. Quindi se c'è una cartella o un file che vuoi sapere chi sta accedendo, allora questo è il metodo integrato senza dover usare software di terze parti.

    Questa funzione è in realtà parte di una funzionalità di sicurezza di Windows chiamata Politica di gruppo, che viene utilizzato dalla maggior parte dei professionisti IT che gestiscono i computer nella rete aziendale tramite server, tuttavia, può anche essere utilizzato localmente su un PC senza server. L'unico lato negativo dell'utilizzo di Criteri di gruppo è che non è disponibile nelle versioni inferiori di Windows. Per Windows 7, è necessario disporre di Windows 7 Professional o versione successiva. Per Windows 8, è necessario Pro o Enterprise.

    Il termine politica di gruppo si riferisce fondamentalmente a un insieme di impostazioni del registro che possono essere controllate tramite un'interfaccia utente grafica. Abilita o disabilita varie impostazioni e queste modifiche vengono quindi aggiornate nel registro di Windows.

    In Windows XP, per accedere all'editor dei criteri, fare clic su Inizio e poi Correre. Nella casella di testo, digita "gpedit.msc"Senza le virgolette come mostrato di seguito:

    In Windows 7, devi solo fare clic sul pulsante Start e digitare gpedit.msc nella casella di ricerca nella parte inferiore del menu Start. In Windows 8, vai semplicemente alla schermata Start e inizia a digitare o sposta il cursore del mouse in alto o in basso a destra dello schermo per aprire il Charms barra e fare clic su Ricerca. Quindi digita gpedit. Ora dovresti vedere qualcosa che è simile all'immagine qui sotto:

    Esistono due categorie principali di politiche: Utente e Computer. Come avrete intuito, le politiche utente controllano le impostazioni per ciascun utente, mentre le impostazioni del computer saranno impostazioni a livello di sistema e avranno effetto su tutti gli utenti. Nel nostro caso vorremmo che le nostre impostazioni fossero per tutti gli utenti, quindi espanderemo il Configurazione del computer sezione.

    Continua espandendo a Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Criteri di controllo. Non ho intenzione di spiegare molte delle altre impostazioni qui poiché questo è principalmente incentrato sul controllo di una cartella. Ora vedrai una serie di politiche e le loro impostazioni attuali sul lato destro. Il criterio di controllo è ciò che controlla indipendentemente dal fatto che il sistema operativo sia configurato e pronto a tracciare le modifiche.

    Ora controlla le impostazioni per Accesso agli oggetti di controllo facendo doppio clic su di esso e selezionando entrambi Successo e Fallimento. Fare clic su OK e ora abbiamo finito la prima parte che sta dicendo a Windows che vogliamo che sia pronto per monitorare le modifiche. Ora il prossimo passo è dirgli cosa ESATTAMENTE vogliamo tracciare. È possibile chiudere la console di criteri di gruppo ora.

    Ora vai alla cartella usando Windows Explorer che vorresti monitorare. In Explorer, fare clic con il tasto destro sulla cartella e fare clic Proprietà. Clicca sul Scheda sicurezza e vedi qualcosa di simile a questo:

    Ora fai clic sul Avanzate pulsante e fare clic su revisione scheda. Qui è dove configureremo effettivamente ciò che vogliamo monitorare per questa cartella.

    Vai avanti e clicca il Inserisci pulsante. Apparirà una finestra di dialogo che ti chiederà di selezionare un utente o un gruppo. Nella casella, digita la parola "utenti"E clicca Controlla i nomi. La casella si aggiornerà automaticamente con il nome del gruppo utenti locale per il tuo computer nel modulo COMPUTERNAME \ Users.

    Fai clic su OK e ora riceverai un'altra finestra chiamata "Voce di controllo per X“. Questa è la vera carne di quello che volevamo fare. Qui è dove selezioni ciò che vuoi guardare per questa cartella. Puoi scegliere individualmente i tipi di attività che desideri monitorare, ad esempio eliminare o creare nuovi file / cartelle, ecc. Per semplificare le cose, ti suggerisco di selezionare Controllo completo, che selezionerà automaticamente tutte le altre opzioni sottostanti. Fallo per Successo e Fallimento. In questo modo, qualunque cosa sia fatta per quella cartella o i file al suo interno, avrai un record.

    Ora fai clic su OK, quindi fai nuovamente clic su OK e OK ancora una volta per uscire dal gruppo di finestre multiple. E ora hai configurato correttamente il controllo su una cartella! Quindi potresti chiedere, come vedi gli eventi?

    Per visualizzare gli eventi, è necessario andare al Pannello di controllo e fare clic su Strumenti amministrativi. Quindi apri il Visualizzatore eventi. Clicca sul Sicurezza sezione e vedrai un ampio elenco di eventi sul lato destro:

    Se vai avanti e crei un file o semplicemente apri la cartella e fai clic sul pulsante Aggiorna nel Visualizzatore eventi (il pulsante con le due frecce verdi), vedrai una serie di eventi nella categoria di File System. Questi si riferiscono a qualsiasi operazione di cancellazione, creazione, lettura, scrittura sulle cartelle / file che si stanno verificando. In Windows 7, tutto ora appare nella categoria di attività File System, quindi per vedere cosa è successo, dovrai cliccare su ognuno di essi e scorrerlo.

    Per rendere più facile guardare attraverso così tanti eventi, puoi mettere un filtro e vedere solo le cose importanti. Clicca sul vista menu in alto e fare clic su Filtro. Se non è disponibile un'opzione per Filtro, fare clic con il pulsante destro del mouse sul registro Sicurezza nella pagina a sinistra e selezionare Filtra registro corrente. Nella casella ID evento, digitare il numero 4656. Questo è l'evento associato a un particolare utente che esegue a File System azione e ti fornirà le informazioni pertinenti senza dover esaminare migliaia di voci.

    Se si desidera ottenere maggiori informazioni su un evento, è sufficiente fare doppio clic su di esso per visualizzare.

    Questa è l'informazione dalla schermata sopra:

    È stato richiesto un handle per un oggetto.

    Soggetto:
    Codice di sicurezza: Aseem-Lenovo \ Aseem
    Nome account: Aseem
    Dominio dell'account: Aseem-Lenovo
    ID di accesso: 0x175a1

    Oggetto:
    Server degli oggetti: sicurezza
    Tipo di oggetto: file
    Nome oggetto: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
    ID handle: 0x16a0

    Informazioni sul processo:
    ID processo: 0x820
    Nome processo: C: \ Windows \ explorer.exe

    Informazioni sulla richiesta di accesso:
    ID transazione: 00000000-0000-0000-0000-000000000000
    Accesso: DELETE
    SINCRONIZZARE
    ReadAttributes

    Nell'esempio sopra, il file ha lavorato su New Text Document.txt nella cartella Tufu sul mio desktop e gli accessi che ho richiesto erano DELETE seguito da SYNCHRONIZE. Quello che ho fatto qui è stato cancellare il file. Ecco un altro esempio:

    Tipo di oggetto: file
    Nome oggetto: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
    ID handle: 0x178

    Informazioni sul processo:
    ID processo: 0x1008
    Nome processo: C: \ Programmi (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

    Informazioni sulla richiesta di accesso:
    ID transazione: 00000000-0000-0000-0000-000000000000
    Accesso: READ_CONTROL
    SINCRONIZZARE
    ReadData (o ListDirectory)
    WriteData (o AddFile)
    AppendData (o AddSubdirectory o CreatePipeInstance)
    ReadEA
    WriteEA
    ReadAttributes
    WriteAttributes

    Motivi di accesso: READ_CONTROL: concesso dalla proprietà
    SINCRONIZZAZIONE: concesso da D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

    Mentre leggi questo, puoi vedere che ho accesso all'indirizzo Labels.docx utilizzando il programma WINWORD.EXE e che i miei accessi includevano READ_CONTROL e che i miei motivi di accesso erano anche READ_CONTROL. Di solito, vedrai molti più accessi, ma concentrati solo sul primo, dato che solitamente è il tipo principale di accesso. In questo caso, ho semplicemente aperto il file usando Word. Ci vuole un po 'di test e la lettura degli eventi per capire cosa sta succedendo, ma una volta che ce l'hai, è un sistema molto affidabile. Suggerisco di creare una cartella di test con i file e di eseguire varie azioni per vedere cosa appare nel Visualizzatore eventi.

    Questo è praticamente tutto! Un modo rapido e gratuito per tracciare l'accesso o le modifiche a una cartella!