چگونگی پیگیری زمانی که کسی به یک پوشه در رایانه شما دسترسی پیدا می کند

یک ویژگی کوچک کوچک در ویندوز وجود دارد که به شما اجازه می دهد تا زمانی که یک فرد در یک پوشه مشخص، چیزی را مشاهده، ویرایش یا حذف می کند. بنابراین اگر یک پوشه یا فایل وجود دارد که شما می خواهید بدانید چه کسی دسترسی به آن را دارد، این روش داخلی بدون نیاز به استفاده از نرم افزار شخص ثالث است.

این ویژگی در واقع بخشی از ویژگی امنیتی ویندوز است به نام خط مشی گروه، که توسط اکثر متخصصان فناوری اطلاعات مورد استفاده قرار می گیرد که کامپیوتر را در شبکه شرکتی از طریق سرور مدیریت می کنند، اما می توان آن را بدون استفاده از سرور به صورت محلی در کامپیوتر استفاده کرد. تنها ناکامی در استفاده از Group Policy این است که در نسخه های پایین تر ویندوز موجود نمی باشد. برای ویندوز 7، شما باید ویندوز 7 یا بالاتر داشته باشید. برای ویندوز 8، شما نیاز به نرم افزار یا سازمانی دارید.

اصطلاح Group Policy اساسا به مجموعه ای از تنظیمات رجیستری اشاره می کند که می تواند از طریق یک رابط کاربری گرافیکی کنترل شود.

در ویندوز XP، برای دسترسی به ویرایشگر سیاست، روی <اجرای

در gpedit.msc، فقط روی دکمه Start کلیک کنید و gpedit.mscرا در کادر جستجو در پایین منوی شروع، تایپ کنید. در ویندوز 8، به سادگی به صفحه شروع بروید و شروع به تایپ کردن یا حرکت دادن نشانگر ماوس به سمت راست یا بالای صفحه بزرگ کنید تا نوار Charmsباز شود و روی جستجوکلیک کنید. >سپس فقط در gpeditتایپ کنید. حالا شما باید چیزی شبیه تصویر زیر را ببینید:

group policy editor

دو دسته اصلی از سیاست ها وجود دارد: کاربرو کامپیوتر. همانطور که ممکن است حدس بزنید، سیاست های کاربر تنظیمات را برای هر کاربر کنترل می کند در حالی که تنظیمات کامپیوتر تنظیمات گسترده سیستم می شود و تمام کاربران را تحت تاثیر قرار می دهد. در مورد ما قصد داریم که تنظیمات ما برای همه کاربران باشد، بنابراین بخش پیکربندی کامپیوتررا گسترش خواهیم داد.

همچنان به تنظیمات ویندوز - & gt؛ تنظیمات امنیتی - & gt؛ خط مشی های محلی - & gt؛ خط مشی حسابرسیمن نمی خواهم به توضیح بسیاری از تنظیمات دیگر در اینجا از آنجا که این در درجه اول در حسابرسی یک پوشه متمرکز است. حالا شما مجموعه ای از سیاست ها و تنظیمات فعلی خود را در سمت راست ببینید.

audit object access

اکنون تنظیمات مربوط به حسابرسی را بررسی کنید. دسترسی به شیرا با دوبار کلیک روی آن و انتخاب هر دو موفقیتو شکست. روی Ok کلیک کنید و حالا بخش اولی را که به ویندوز می گوید می خواهیم آماده شود تا تغییرات را نظارت کنیم. اکنون گام بعدی این است که بگوییم دقیقا همان چیزی است که ما می خواهیم پیگیری کنیم. شما هم اکنون می توانید از کنسول Policy Group خارج شوید.

اکنون با استفاده از ویندوز Explorer به پوشه ای بروید که می خواهید نظارت کنید. در اکسپلورر، راست کلیک بر روی پوشه و کلیک کنید خواص. روی Tab Securityکلیک کنید و چیزی شبیه به این را ببینید:

explorer security tab

اکنون روی دکمه Advancedکلیک کنید و روی برگه حسابرسیکلیک کنید.

auditing tab windows

بروید و روی دکمه افزودندکمه یک گفت و گو ظاهر می شود که از شما می خواهد یک کاربر یا گروه را انتخاب کنید. در کادر، کلمه "کاربران" را تایپ کنید و روی نامهایکلیک کنید. COMPUTERNAME \ Usersاین کادر به صورت خودکار با نام گروه کاربران محلی برای رایانه شما به روزرسانی خواهد شد.

user group permissions

روی OK کلیک کنید و در حال حاضر یک گفتگوی دیگر به نام "حسابرسی ورودی برای X" دریافت خواهید کرد. این گوشت واقعی چیزی است که ما میخواهیم انجام دهیم. در اینجا شما می توانید آنچه را که می خواهید برای این پوشه تماشا کنید را انتخاب کنید. شما می توانید به صورت جداگانه انتخاب کنید که کدام نوع فعالیتی که می خواهید پیگیری کنید، مانند پاک کردن یا ایجاد فایل ها / پوشه های جدید و غیره. برای ایجاد راحت تر، پیشنهاد می کنم گزینه Full Control را انتخاب کنید که به طور خودکار تمام گزینه های زیر را انتخاب می کند. این کار را برای موفقیتو شکستانجام دهید.

audit permissions explorer

حالا OK را بزنید و دوباره OK را بزنید و یک بار دیگر برای خارج شدن از مجموعه جعبه محاوره ای یک بار دیگر. و اکنون شما با موفقیت پیکربندی حسابرسی در یک پوشه! بنابراین شما ممکن است بپرسید که چگونه رویدادها را مشاهده می کنید؟

برای مشاهده رویدادها، باید به کنترل پنل بروید و روی ابزارهای اداریکلیک کنید. سپس نمایشگر رویدادرا باز کنید.بخش امنیترا کلیک کنید و لیستی از رویدادهای بزرگ را در سمت راست مشاهده خواهید کرد:

event viewer security

اگر پیش بروید و یک پرونده را ایجاد کنید یا به سادگی پرونده را باز کنید و دکمه Refresh را در رویداد Viewer (دکمه با دو فلش سبز) کلیک کنید، یک دسته از رویدادها را در دسته سیستم فایل این مربوط به حذف، ایجاد، خواندن و نوشتن عملیات در پوشه ها / فایل های شما حسابرسی است. در ویندوز 7، همه چیز در حال حاضر در زیر گروه کاری File System ظاهر می شود، بنابراین برای دیدن آنچه رخ داده است، شما باید بر روی هر یک کلیک کنید و از طریق آن پیمایش کنید.

برای آسان ساختن آن از طریق رویدادهای بسیاری نگاه کنید، می توانید یک فیلتر بگذارید و چیزهای مهم را ببینید. روی منوی مشاهدهدر بالای صفحه کلیک کنید و روی فیلترکلیک کنید. اگر گزینه ای برای فیلتر وجود نداشته باشد، سپس بر روی ورودی امنیتی در صفحه سمت چپ راست کلیک کرده و فیلتر Current Logرا انتخاب کنید. در کادر شناسه رویداد، شماره 4656را تایپ کنید. این رویداد مربوط به یک کاربر خاص است که یک سیستم فایل سیستمرا اجرا می کند و به شما اطلاعات مرتبط را بدون نیاز به جستجوی هزاران ورودی می دهد.

filter log

اگر میخواهید اطلاعات بیشتری در مورد یک رویداد بدست آورید، به دوبار روی آن کلیک کنید تا ببینید.

event id delete

این اطلاعات از روی صفحه بالای صفحه است:

موضوع:
شناسه امنیتی: Aseem-Lenovo \ Aseem
نام حساب: Aseem
Domain Account: Asem-Lenovo
شناسه ورود به سیستم: 0x175a1

Object:
Object Server: امنیت
نوع شی: فایل
نام شی: C : \ Users \ Aseem \ Desktop \ Tufu \ Text.txt جدید
شناسه دستگیره: 0x16a0

اطلاعات پردازش:
شناسه پردازش: 0x820
نام پروسس: C: \ Windows \ explorer.exe

اطلاعات درخواست دسترسی:
شناسه تراکنش: {00000000-0000-0000-0000-000000000000}
دسترسی: DELETE
SYNCHRONIZEReadAttributes

در مثال بالا، فایل مورد استفاده در New Document Document.txt در پوشه Tufu روی دسکتاپ من بود و دسترسی هایی که درخواست کردم حذف شده بود توسط SYNCHRONIZE آنچه که من در اینجا انجام دادم فایل را حذف کردم. مثال دیگر:

نوع شی: فایل
نام شی: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
شناسه دستگیره: 0x178

اطلاعات پردازش:
شناسه پردازش: 0x1008
نام پرونده: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

اطلاعات درخواست دسترسی:
ID: {00000000-0000-0000-0000-000000000000}
دسترسی: READ_CONTROL
SYNCHRONIZE
ReadData (یا ListDirectory)
WriteData (یا AddFile)
AppendData (یا AddSubdirectory یا CreatePipeInstance)
ReadEA<ReadEAntributes
WriteAttributes

دسترسی به دلایل: READ_CONTROL:
SYNCHRONIZE: D: (A؛ ID؛ FA ؛؛؛ S-1-5-21-597862309-2018615179-2090787082-1000)

همانطور که از طریق این مطلب می خوانید، می توانید ببینید که با استفاده از برنامه WINWORD.EXE به آدرس برچسب ها.docx دسترسی پیدا کردم من و دسترسی هایم شامل READ_CONTROL بود و دلایل دسترسی من نیز READ_CONTROL بود. معمولا یک دسته از دسترسی های بیشتر را مشاهده می کنید، اما فقط بر روی اولین تمرکز می کنید زیرا معمولا نوع اصلی دسترسی است. در این مورد، من به سادگی فایل را با استفاده از ورد باز کردم. این یک تست کمی و خواندن از طریق وقایع را برای درک آنچه در حال انجام است، اما هنگامی که شما آن را پایین، این یک سیستم بسیار قابل اعتماد است. من پیشنهاد می کنم ایجاد یک پوشه تست با فایل ها و انجام اقدامات مختلف برای دیدن آنچه که در نمایشگر رویداد نشان می دهد.

این بسیار آن است! یک راه سریع و رایگان برای پیگیری دسترسی یا تغییر در پوشه!

How To Rip Audio CD to MP3 in Windows Media Player | Windows 10 Tutorial

پست های مرتبط:


3.08.2014