Van egy jó kis funkció a Windowsba^(Windows) , amely lehetővé teszi annak nyomon követését, ha valaki megtekint, szerkeszt vagy töröl valamit egy adott mappában. Tehát ha van egy mappa vagy fájl, amelyhez tudni szeretné, hogy ki fér hozzá, akkor ez a beépített módszer anélkül, hogy harmadik féltől származó szoftvert kellene használnia.

Ez a funkció tulajdonképpen a Windows csoportházirend^{( Group Policy)} nevű biztonsági szolgáltatásának része , amelyet a legtöbb IT-szakember^{(IT Professionals)} használ, akik szervereken keresztül kezelik a vállalati hálózat számítógépeit, azonban helyben, szerverek nélkül is használható PC-n. A csoportházirend^{(Group Policy)} használatának egyetlen hátránya, hogy a Windows régebbi verzióiban nem érhető el . Windows 7 esetén Windows 7 Professional vagy újabb verzió szükséges . Windows 8 esetén Pro vagy Enterprise szükséges .

A csoportházirend^{(Group Policy)} kifejezés alapvetően a rendszerleíró adatbázis beállításainak halmazát jelenti, amelyek grafikus felhasználói felületen keresztül vezérelhetők. Különféle beállításokat engedélyez vagy tilt, és ezek a módosítások frissítésre kerülnek a Windows rendszerleíró adatbázisában.

Windows XP rendszerben^{(Windows XP)} a házirend - szerkesztő eléréséhez kattintson a Start gombra^(Start) , majd a Futtatás^(Run) gombra . A szövegmezőbe írja be a „ gpedit.msc ” kifejezést idézőjelek nélkül, az alábbiak szerint:

Windows 7 rendszerben^{(Windows 7)} egyszerűen kattintson a Start gombra, és írja be a gpedit.msc parancsot a ^{( gpedit.msc)}Start menü^{(Start Menu)} alján található keresőmezőbe . Windows 8 rendszerben^{(Windows 8)} egyszerűen lépjen a Start képernyőre^{(Start Screen)} , és kezdjen el gépelni, vagy vigye az egérkurzort a képernyő jobb felső vagy alsó részébe a Charms sáv megnyitásához, és kattintson a Keresés^(Search) gombra . Ezután írja be a gpedit parancsot^(gpedit) . Most valami hasonlót kell látnia, mint az alábbi képen:

A házirendeknek két fő kategóriája van: Felhasználói^(User) és Számítógép^(Computer) . Ahogy azt sejteni lehetett, a felhasználói házirendek szabályozzák az egyes felhasználók beállításait, míg a számítógép beállításai rendszerszintű beállítások lesznek, és minden felhasználóra hatással lesznek. A mi esetünkben azt szeretnénk, hogy a beállítások minden felhasználóra vonatkozzanak, ezért kibővítjük a Számítógép-konfiguráció^{(Computer Configuration)} részt.

Továbbra is bontsa ki a Windows beállítások^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy . Nem fogok itt sokat elmagyarázni a többi beállításról, mivel ez elsősorban egy mappa ellenőrzésére összpontosít. Most egy házirendet és azok jelenlegi beállításait láthatja a jobb oldalon. A naplózási házirend szabályozza, hogy az operációs rendszer konfigurálva van-e, és készen áll-e a változások követésére.

Most ellenőrizze az Audit Object Access beállítást úgy, hogy duplán kattintson rá, és válassza a Siker^(Success) és a Sikertelen^(Failure) lehetőséget . Kattintson az OK gombra^{(Click OK)} , és most elkészült az első rész, amely azt mondja a Windowsnak, hogy készen kell állnia a változások figyelésére. Most a következő lépés az, hogy elmondjuk neki, hogy PONTOSAN^(EXACTLY) mit akarunk követni. Most bezárhatja a csoportházirend-^{(Group Policy)} konzolt.

Most a Windows Intézővel^{(Windows Explorer)} keresse meg azt a mappát , amelyet figyelni szeretne. Az Intézőben^(Explorer) kattintson jobb gombbal a mappára, majd kattintson a Tulajdonságok parancsra^(Properties) . Kattintson a Biztonság fülre^{( Security Tab)} , és ehhez hasonlót lát:

Most kattintson a Speciális^(Advanced) gombra, majd kattintson az Auditálás^(Auditing) fülre. Itt fogjuk beállítani, hogy mit szeretnénk figyelni ehhez a mappához.

Menjen tovább, és kattintson a Hozzáadás^(Add) gombra. Megjelenik egy párbeszédpanel, amely arra kéri, hogy válasszon egy felhasználót^(User) vagy csoportot^(Group) . A mezőbe írja be a „ felhasználók^(users) ” szót, és kattintson a Nevek ellenőrzése^{(Check Names)} gombra . A mező automatikusan frissül a számítógép helyi felhasználói csoportjának nevével COMPUTERNAME\Users formában .

Kattintson az OK gombra^{(Click OK)} , és egy másik párbeszédpanel jelenik meg, melynek neve „ X auditálási bejegyzés^{(Audit Entry for X)} ”. Ez az igazi húsa annak, amit csinálni akartunk. Itt választhatja ki, hogy mit szeretne nézni ebben a mappában. Egyénileg kiválaszthatja, hogy milyen típusú tevékenységeket kíván nyomon követni, például törlést vagy új fájlok/mappák létrehozását stb. A dolgok megkönnyítése érdekében azt javaslom, hogy válassza a Full Control lehetőséget, amely automatikusan kiválasztja az összes többi lehetőséget is. Tedd ezt a siker^(Success) és a kudarc^(Failure) érdekében . Így bármit is csinálnak az adott mappával vagy a benne lévő fájlokkal, rekord lesz.

Most kattintson az OK gombra, majd kattintson ismét az OK gombra, majd még egyszer az OK gombra, hogy kilépjen a többszörös párbeszédpanel-készletből. És most sikeresen konfigurálta az auditálást egy mappán! Felmerülhet tehát a kérdés, hogyan látja az eseményeket?

Az események megtekintéséhez lépjen a Vezérlőpultra^{(Control Panel)} , és kattintson a Felügyeleti eszközök^{(Administrative Tools)} elemre . Ezután nyissa meg az Eseménynaplót^{(Event Viewer)} . Kattintson a Biztonság^(Security) szakaszra, és a jobb oldalon egy nagy eseménylista jelenik meg:

Ha továbblép és létrehoz egy fájlt, vagy egyszerűen megnyitja a mappát, és rákattint a Frissítés^(Refresh) gombra az Eseménynaplóban^{(Event Viewer)} (a két zöld nyíllal ellátott gomb), akkor egy csomó eseményt fog látni a Fájlrendszer^{( File System)} kategóriában . Ezek az auditált mappákban/fájlokban végzett törlési, létrehozási, olvasási és írási műveletekre vonatkoznak. A Windows 7 rendszerben^{(Windows 7)} most már minden a Fájlrendszer^{(File System)} feladatkategória alatt jelenik meg, így annak megtekintéséhez, hogy mi történt, rá kell kattintania mindegyikre, és végig kell görgetnie.

Annak érdekében, hogy megkönnyítse a sok esemény áttekintését, behelyezhet egy szűrőt, és csak a fontos dolgokat láthatja. Kattintson^(Click) a Nézet^(View) menüre a tetején, majd kattintson a Szűrő^(Filter) gombra . Ha nincs lehetőség Szűrés^(Filter) lehetőségre , kattintson jobb gombbal a Biztonsági^(Security) naplóra a bal oldali oldalon, és válassza az Aktuális napló szűrése^{(Filter Current Log)} lehetőséget . Az Eseményazonosító^{(Event ID)} mezőbe írja be a 4656 -os számot . Ez az esemény egy adott felhasználóhoz kapcsolódik, aki fájlrendszer ^{(File System )} -műveletet hajt végre, és megadja a releváns információkat anélkül, hogy több ezer bejegyzést kellene átnéznie.

Ha több információt szeretne kapni egy eseményről, egyszerűen kattintson duplán a megtekintéséhez.

Ez az információ a fenti képernyőről:

Egy objektum fogantyúját kérték.^{(A handle to an object was requested.)}

Tárgy: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
fiók neve: Aseem ^{( Account Name: Aseem)}
fiók tartománya: Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
bejelentkezési azonosító: 0x175a1^{( Logon ID: 0x175a1)}

Objektum: ^(Object:)
Objektumszerver: Biztonság ^{( Object Server: Security)}
Objektumtípus ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Kezelőazonosító: 0x16a0^{( Handle ID: 0x16a0)}

Folyamatinformációk: ^{(Process Information:)}
Folyamatazonosító: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Hozzáférési kérelem információi: ^{(Access Request Information:)}
Tranzakció azonosítója: 00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Hozzáférések: Olvasási attribútumok ^{( Accesses: DELETE)}
SZINKRONIZÁLÁSA ^{( SYNCHRONIZE)}
TÖRLÉSE^{( ReadAttributes)}

A fenti példában a fájl, amelyen dolgoztunk, a New Text Document.txt volt az asztalomon lévő Tufu mappában, és a kért hozzáférések a DELETE , majd a SYNCHRONIZE parancs voltak . Itt töröltem a fájlt. Íme egy másik példa:

Objektum típusa: Fájl ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
: 0x178^{( Handle ID: 0x178)}

Folyamatinformációk: ^{(Process Information:)}
Folyamatazonosító: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Hozzáférési kérelem információi: ^{(Access Request Information:)}
Tranzakcióazonosító: 00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Hozzáférések: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SZINKRONIZÁLÁSA ^{( SYNCHRONIZE)}
ReadData (vagy ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (vagy AddFile) ^{( WriteData (or AddFile))}AppendData ^{( WriteAttributes)}
(vagy WriteAttributes ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}) ^{( ReadAttributes)}
ReadAttributes ^{( ReadEA)}
ReadAtPiriteInstance^{( WriteEA)}

Hozzáférési okok: READ_CONTROL: A tulajdonjog által biztosított ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SZINKRONIZÁLÁS: Megadta: D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Amint ezt végigolvassa, láthatja, hogy a WINWORD.EXE programmal fértem hozzá az ^{(WINWORD.EXE)}Address Labels.docx fájlhoz^{(Address Labels.docx)} , és a hozzáféréseim között szerepel a READ_CONTROL , valamint a hozzáférési okok is a READ_CONTROL . Általában egy csomó több hozzáférést fog látni, de csak az elsőre koncentráljon, mivel általában ez a hozzáférés fő típusa. Ebben az esetben egyszerűen megnyitottam a fájlt a Word segítségével . Egy kis tesztelésre és az események átolvasására van szükség ahhoz, hogy megértsük, mi történik, de ha egyszer megvan, ez egy nagyon megbízható rendszer. Azt javaslom, hogy hozzon létre egy tesztmappát fájlokkal, és hajtson végre különféle műveleteket, hogy megnézze, mi jelenik meg az Eseménynaplóban^{(Event Viewer)} .

Nagyjából ennyi! Gyors és ingyenes módja annak, hogy nyomon kövesse a hozzáférést vagy a mappa módosításait!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built into Windows that allows you to track when someone views, edits, or deletes something inѕide of a specified folder. So if there’s a folder or file that you want tо know who is accessing, then this is the built-in method without having to use third-party softwarе.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Biztonságos és zárolt mappák létrehozása Windows XP rendszerben

• Az asztali ikonok elrendezésének mentése Windows XP, 7, 8 rendszerben

• A „Hiányzó vagy sérült NTFS.sys” hiba elhárítása Windows XP rendszerben

• Windows XP vagy Windows Server 2003 számítógép távoli elérése

• Telepítsen hálózati nyomtatót Windows XP rendszerből az Driver Setup segítségével

• 8 olcsóbb alternatíva a Geek Squad számára a számítógép megjavításához

• Mi az a PerfLogs mappa a Windows 10 rendszerben?

• Hogyan blokkolhat bármely webhelyet számítógépén, telefonján vagy hálózatán

• Hogyan ellenőrizheti a proxykiszolgáló beállításait a számítógépén

• Szinkronizáljon bármilyen Windows mappát a Google Drive, a OneDrive és a Dropbox segítségével

• WordPress tesztoldal telepítése a számítógépére

• 8 olcsóbb alternatíva a Geek Squad számára a számítógép megjavításához

• Ingyenes szoftver az üres mappák törléséhez a Windows 11/10 rendszerben

• Az OTT elmagyarázza: Mi az a bloatware, és hogyan lehet azonosítani a számítógépén

• A Windows Vezérlőpultja – Hogyan válthat át a klasszikus Windows XP nézetre

• A Windows Intéző alapértelmezett miniatűrméretének növelése a képekhez

• Csatoljon VHD-fájlt a Windows XP rendszerben

• Az MBR javítása Windows XP és Vista rendszerben

• Telepítsen hálózati nyomtatót Windows XP rendszerből a Nyomtató hozzáadása varázsló segítségével

• A 10 legfontosabb különbség a Windows XP és a Windows 7 között