C'è una piccola funzionalità incorporata in Windows che ti consente di monitorare quando qualcuno visualizza, modifica o elimina qualcosa all'interno di una cartella specificata. Quindi se c'è una cartella o un file che vuoi sapere a chi sta accedendo, allora questo è il metodo integrato senza dover utilizzare software di terze parti.
Questa funzione fa parte di una funzionalità di sicurezza di Windows chiamato Criteri di gruppo, che viene utilizzato dalla maggior parte dei professionisti IT che gestiscono i computer nella rete aziendale tramite server, tuttavia, può anche essere utilizzato localmente su un PC senza server. L'unico lato negativo dell'utilizzo di Criteri di gruppo è che non è disponibile nelle versioni inferiori di Windows. Per Windows 7, è necessario disporre di Windows 7 Professional o versione successiva. Per Windows 8, è necessario Pro o Enterprise.
Il termine Criteri di gruppo si riferisce fondamentalmente a un set di impostazioni del Registro di sistema che possono essere controllate tramite un'interfaccia utente grafica. Abilita o disabilita varie impostazioni e queste modifiche vengono quindi aggiornate nel registro di Windows.
In Windows XP, per accedere all'editor dei criteri, fai clic su Avvia, quindi su Esegui. Nella casella di testo, digita "gpedit.msc" senza le virgolette come mostrato di seguito:
In Windows 7 , devi solo fare clic sul pulsante Start e digitare gpedit.mscnella casella di ricerca nella parte inferiore del menu Start. In Windows 8, vai semplicemente alla schermata Start e inizia a digitare o sposta il cursore del mouse in alto o in basso a destra dello schermo per aprire la barra Charmse fare clic su Cerca. Quindi digita gpedit. Ora dovresti vedere qualcosa che è simile all'immagine qui sotto:
Esistono due categorie principali di criteri: Utentee Computer. Come avrai intuito, le politiche utente controllano le impostazioni per ciascun utente, mentre le impostazioni del computer saranno impostazioni a livello di sistema e avranno effetto su tutti gli utenti. Nel nostro caso vorremmo che le nostre impostazioni fossero per tutti gli utenti, quindi espanderemo la sezione Configurazione computer.
Continua espandendo a Impostazioni di Windows - & gt; Impostazioni di sicurezza - & gt; Politiche locali - & gt; Politica di controllo. Non ho intenzione di spiegare molte delle altre impostazioni qui poiché questo è principalmente incentrato sul controllo di una cartella. Ora vedrai una serie di politiche e le loro impostazioni attuali sul lato destro. Il criterio di controllo è ciò che controlla indipendentemente dal fatto che il sistema operativo sia configurato e pronto a tenere traccia delle modifiche.
Ora controlla le impostazioni di Audit Accesso agli oggettifacendo doppio clic su di esso e selezionando entrambi Successoe Fallimento. Fare clic su OK e ora abbiamo finito la prima parte che sta dicendo a Windows che vogliamo che sia pronto per monitorare le modifiche. Ora il prossimo passo è quello di dirgli cosa ESATTAMENTE vogliamo tracciare. Ora puoi chiudere la console dei criteri di gruppo.
Ora vai alla cartella utilizzando Windows Explorer che desideri monitorare. In Explorer, fai clic con il pulsante destro del mouse sulla cartella e fai clic su Proprietà. Fai clic sulla scheda Sicurezzae vedi qualcosa di simile a questo:
Ora fai clic sul pulsante Avanzatee fai clic sulla scheda Controllo. Qui è dove configureremo effettivamente ciò che vogliamo monitorare per questa cartella.
Vai avanti e fai clic su Aggiungipulsante. Apparirà una finestra di dialogo che ti chiederà di selezionare un utente o un gruppo. Nella casella digita la parola "utenti" e fai clic su Controlla nomi. La casella verrà automaticamente aggiornata con il nome del gruppo utenti locale per il tuo computer nel formato COMPUTERNAME \ Users.
Fai clic su OK e ora riceverai un'altra finestra di dialogo chiamata "Voce di controllo per X". Questa è la vera carne di quello che volevamo fare. Qui è dove selezioni ciò che vuoi guardare per questa cartella. Puoi scegliere individualmente i tipi di attività che desideri monitorare, ad esempio eliminare o creare nuovi file / cartelle, ecc. Per semplificare le cose, ti suggerisco di selezionare Controllo completo, che selezionerà automaticamente tutte le altre opzioni sottostanti. Fai questo per Successoe Fallimento. In questo modo, qualunque cosa venga fatta a quella cartella o ai file al suo interno, avrai un record.
Ora fai clic su OK e fai nuovamente clic su OK e OK un'altra volta per uscire dalla finestra di dialogo multipla. E ora hai configurato correttamente il controllo su una cartella! Quindi potresti chiedere, come vedi gli eventi?
Per visualizzare gli eventi, devi andare al Pannello di controllo e fare clic su Strumenti di amministrazione. Quindi apri il Visualizzatore eventi. Fai clic sulla sezione Sicurezzae vedrai un ampio elenco di eventi sul lato destro:
Se vai avanti e crei un file o semplicemente apri la cartella e fai clic sul pulsante Aggiorna nel Visualizzatore eventi (il pulsante con le due frecce verdi), vedrai una serie di eventi nella categoria di File System . Questi si riferiscono a qualsiasi operazione di cancellazione, creazione, lettura, scrittura sulle cartelle / file che si stanno verificando. In Windows 7, tutto ora compare nella categoria di attività File System, quindi per vedere cosa è successo, dovrai fare clic su ognuno di essi e scorrerlo.
Per semplificare guarda attraverso tanti eventi, puoi mettere un filtro e vedere solo le cose importanti. Fai clic sul menu Visualizzain alto e fai clic su Filtro. Se non è disponibile un'opzione per Filtro, fai clic con il pulsante destro del mouse sul registro Sicurezza nella pagina a sinistra e seleziona Filtra registro corrente. Nella casella ID evento, digita il numero 4656. Questo è l'evento associato a un particolare utente che esegue un'azione File Systeme ti fornirà le informazioni pertinenti senza dover esaminare migliaia di voci.
Se desideri ottenere maggiori informazioni su un evento, fai doppio clic su di esso per visualizzarlo.
Questa è l'informazione dalla schermata sopra:
È stato richiesto un handle per un oggetto.
Oggetto:
Security ID: Aseem-Lenovo \ Aseem
Nome account: Aseem
Dominio account: Aseem-Lenovo
ID accesso: 0x175a1
Oggetto:
Server oggetto: sicurezza
Tipo oggetto: file
Nome oggetto: C : \ Users \ Aseem \ Desktop \ Tufu \ Nuovo testo Document.txt
ID handle: 0x16a0
Informazioni sul processo:
ID processo: 0x820
Nome processo: C: \ Windows \ explorer.exe
Informazioni sulla richiesta di accesso:
ID transazione: {00000000-0000-0000-0000-000000000000}
Accesso: DELETE
SINCRONIZZA
ReadAttributes
Nell'esempio sopra, il file ha lavorato su New Text Document.txt nella cartella Tufu sul mio desktop e gli accessi che ho richiesto erano DELETE seguito da SINCRONIZZA. Quello che ho fatto qui è stato cancellare il file. Ecco un altro esempio:
Tipo oggetto: file
Nome oggetto: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID handle: 0x178
Informazioni di processo:
ID processo: 0x1008
>Nome processo: C: \ Programmi (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informazioni sulla richiesta di accesso:
Transazione ID: {00000000-0000-0000-0000-000000000000}
Accesso: READ_CONTROL
SYNCHRONIZE
ReadData (o ListDirectory)
WriteData (o AddFile)
AppendData (o AddSubdirectory o CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Motivi di accesso: READ_CONTROL: concesso dalla proprietà
SINCRONIZZAZIONE: concesso da D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Mentre leggi questo, puoi vedere che ho accesso all'indirizzo Labels.docx usando il progr di WINWORD.EXE io e i miei accessi abbiamo incluso READ_CONTROL e i miei motivi di accesso erano anche READ_CONTROL. Di solito, vedrai un mucchio di accessi in più, ma concentrati solo sul primo perché solitamente è il tipo principale di accesso. In questo caso, ho semplicemente aperto il file usando Word. Ci vuole un po 'di test e la lettura degli eventi per capire cosa sta succedendo, ma una volta che ce l'hai, è un sistema molto affidabile. Suggerisco di creare una cartella di prova con file e di eseguire varie azioni per vedere cosa appare nel Visualizzatore eventi.
Questo è praticamente tutto! Un modo rapido e gratuito per monitorare l'accesso o le modifiche a una cartella!