Cách theo dõi khi ai đó truy cập thư mục trên máy tính của bạn

Có một tính năng nhỏ được tích hợp trong Windows cho phép bạn theo dõi khi ai đó xem, chỉnh sửa hoặc xóa nội dung nào đó trong thư mục đã chỉ định. Vì vậy, nếu có một thư mục hoặc tệp mà bạn muốn biết ai đang truy cập, thì đây là phương thức tích hợp mà không phải sử dụng phần mềm của bên thứ ba.

Tính năng này thực sự là một phần của tính năng bảo mật Windows được gọi là Chính sách nhóm, được sử dụng bởi hầu hết các Chuyên gia CNTT quản lý các máy tính trong mạng công ty thông qua các máy chủ, tuy nhiên, nó cũng có thể được sử dụng cục bộ trên PC mà không cần bất kỳ máy chủ nào. Nhược điểm duy nhất khi sử dụng Chính sách nhóm là nó không có sẵn trong các phiên bản Windows thấp hơn. Đối với Windows 7, bạn cần có Windows 7 Professional trở lên. Đối với Windows 8, bạn cần Pro hoặc Enterprise.

Thuật ngữ Nhóm chính sách về cơ bản dùng để chỉ một tập hợp các cài đặt đăng ký có thể được kiểm soát thông qua giao diện người dùng đồ họa. Bạn bật hoặc tắt các cài đặt khác nhau và các chỉnh sửa này sau đó được cập nhật trong sổ đăng ký Windows.

Trong Windows XP, để đến trình chỉnh sửa chính sách, nhấp vào Khởi đầu và sau đó Chạy. Trong hộp văn bản, gõ vàogpedit.mscKhông có dấu ngoặc kép như hình dưới đây:

Trong Windows 7, bạn chỉ cần nhấp vào nút Bắt đầu và nhập gpedit.msc vào hộp tìm kiếm ở cuối Menu Bắt đầu. Trong Windows 8, chỉ cần truy cập Màn hình Bắt đầu và bắt đầu nhập hoặc di chuyển con trỏ chuột của bạn đến góc trên cùng hoặc dưới cùng bên phải của màn hình để mở Bùa chú thanh và bấm vào Tìm kiếm. Sau đó chỉ cần gõ gpedit. Bây giờ bạn sẽ thấy một cái gì đó tương tự như hình ảnh dưới đây:

Có hai loại chính sách chính: Người dùng và Máy vi tính. Như bạn có thể đoán, chính sách người dùng kiểm soát cài đặt cho từng người dùng trong khi cài đặt máy tính sẽ là cài đặt toàn hệ thống và sẽ ảnh hưởng đến tất cả người dùng. Trong trường hợp của chúng tôi, chúng tôi sẽ muốn cài đặt của mình dành cho tất cả người dùng, vì vậy chúng tôi sẽ mở rộng cấu hình máy tính phần.

Tiếp tục mở rộng để Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Chính sách kiểm toán. Tôi sẽ không giải thích nhiều về các cài đặt khác ở đây vì điều này chủ yếu tập trung vào việc kiểm tra một thư mục. Bây giờ bạn sẽ thấy một tập hợp các chính sách và cài đặt hiện tại của chúng ở phía bên tay phải. Chính sách kiểm toán là những gì kiểm soát xem hệ điều hành có được cấu hình hay không và sẵn sàng theo dõi các thay đổi.

Bây giờ hãy kiểm tra cài đặt cho Truy cập đối tượng kiểm toán bằng cách nhấp đúp vào nó và chọn cả hai Sự thành công và Thất bại. Nhấp vào OK và bây giờ chúng tôi đã hoàn thành phần đầu tiên nói với Windows rằng chúng tôi muốn nó sẵn sàng theo dõi các thay đổi. Bây giờ bước tiếp theo là nói với nó những gì CHÍNH XÁC mà chúng tôi muốn theo dõi. Bạn có thể đóng khỏi bảng điều khiển Chính sách nhóm ngay bây giờ.

Bây giờ điều hướng đến thư mục bằng Windows Explorer mà bạn muốn theo dõi. Trong Explorer, nhấp chuột phải vào thư mục và nhấp Tính chất. Bấm vào Thẻ bảo mật và bạn thấy một cái gì đó tương tự như thế này:

Bây giờ bấm vào Nâng cao và bấm vào nút Kiểm toán chuyển hướng. Đây là nơi chúng tôi thực sự định cấu hình những gì chúng tôi muốn theo dõi cho thư mục này.

Đi trước và nhấp vào Thêm vào nút. Một hộp thoại sẽ xuất hiện yêu cầu bạn chọn Người dùng hoặc Nhóm. Trong hộp, nhập từngười dùngNghiêng và bấm Kiểm tra tên. Hộp sẽ tự động cập nhật với tên của nhóm người dùng cục bộ cho máy tính của bạn ở dạng MÁY TÍNH \ Người dùng.

Nhấn OK và bây giờ bạn sẽ nhận được một hộp thoại khác có tên làMục kiểm toán cho XSầu. Đây là thịt thực sự của những gì chúng tôi đã muốn làm. Đây là nơi bạn sẽ chọn những gì bạn muốn xem cho thư mục này. Bạn có thể chọn riêng từng loại hoạt động bạn muốn theo dõi, chẳng hạn như xóa hoặc tạo tệp / thư mục mới, v.v. Để làm cho mọi việc dễ dàng hơn, tôi khuyên bạn nên chọn Toàn quyền, sẽ tự động chọn tất cả các tùy chọn khác bên dưới. Làm điều này cho Sự thành công và Thất bại. Bằng cách này, bất cứ điều gì được thực hiện cho thư mục đó hoặc các tệp trong đó, bạn sẽ có một bản ghi.

Bây giờ bấm OK và bấm OK lần nữa và OK thêm một lần nữa để thoát khỏi bộ hộp thoại nhiều bộ. Và bây giờ bạn đã cấu hình kiểm toán thành công trên một thư mục! Vì vậy, bạn có thể hỏi, làm thế nào để bạn xem các sự kiện?

Để xem các sự kiện, bạn cần vào Bảng điều khiển và nhấp vào Công cụ quản trị. Sau đó mở ra Trình xem sự kiện. Bấm vào Bảo vệ và bạn sẽ thấy một danh sách lớn các sự kiện ở phía bên tay phải:

Nếu bạn tiếp tục và tạo một tệp hoặc chỉ cần mở thư mục và nhấp vào nút Làm mới trong Trình xem sự kiện (nút có hai mũi tên màu xanh lá cây), bạn sẽ thấy một loạt các sự kiện trong danh mục Hệ thống tập tin. Chúng liên quan đến mọi thao tác xóa, tạo, đọc, ghi trên các thư mục / tệp bạn đang kiểm toán. Trong Windows 7, mọi thứ hiện hiển thị trong danh mục tác vụ Hệ thống tệp, vì vậy để xem điều gì đã xảy ra, bạn sẽ phải nhấp vào từng mục và cuộn qua nó.

Để dễ dàng xem qua rất nhiều sự kiện, bạn có thể đặt bộ lọc và chỉ xem những nội dung quan trọng. Bấm vào Lượt xem menu ở trên cùng và nhấp vào Bộ lọc. Nếu không có tùy chọn cho Bộ lọc, sau đó nhấp chuột phải vào Nhật ký bảo mật ở trang bên trái và chọn Lọc Nhật ký hiện tại. Trong hộp ID sự kiện, nhập số 4656. Đây là sự kiện liên quan đến một người dùng cụ thể thực hiện Hệ thống tập tin hành động và sẽ cung cấp cho bạn thông tin liên quan mà không cần phải xem qua hàng ngàn mục.

Nếu bạn muốn biết thêm thông tin về một sự kiện, chỉ cần nhấp đúp vào nó để xem.

Đây là thông tin từ màn hình trên:

Một xử lý cho một đối tượng đã được yêu cầu.

Môn học:
ID bảo mật: Aseem-Lenovo \ Aseem
Tên tài khoản: Aseem
Tên miền tài khoản: Aseem-Lenovo
ID đăng nhập: 0x175a1

Vật:
Máy chủ đối tượng: Bảo mật
Loại đối tượng: Tệp
Tên đối tượng: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
ID xử lý: 0x16a0

Thông tin quy trình:
ID quy trình: 0x820
Tên quy trình: C: \ Windows \ explorer.exe

Thông tin yêu cầu truy cập:
ID giao dịch: 00000000-0000-0000-0000-000000000000
Truy cập: XÓA
Đồng bộ hóa
ReadAttribution

Trong ví dụ ở trên, tệp được xử lý là New Text Document.txt trong thư mục Tufu trên máy tính để bàn của tôi và các truy cập mà tôi yêu cầu đã được XÓA theo sau bởi SYNCHRONIZE. Những gì tôi đã làm ở đây là xóa các tập tin. Đây là một ví dụ khác:

Loại đối tượng: Tệp
Tên đối tượng: C: \ Users \ Aseem \ Desktop \ Tufu \ Địa chỉ Nhãn.docx
ID xử lý: 0x178

Thông tin quy trình:
ID quy trình: 0x1008
Tên quy trình: C: \ Tệp chương trình (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Thông tin yêu cầu truy cập:
ID giao dịch: 00000000-0000-0000-0000-000000000000
Truy cập: READ_CONTROL
Đồng bộ hóa
ReadData (hoặc ListDirectory)
WriteData (hoặc AddFile)
AppendData (hoặc AddSubdirectory hoặc CreatePipeInstance)
ĐọcEA
ViếtEA
ReadAttribution
WriteAttribution

Lý do truy cập: READ_CONTROL: Được cấp bởi quyền sở hữu
TỔNG HỢP: Được cấp bởi D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Khi bạn đọc qua điều này, bạn có thể thấy tôi đã truy cập Địa chỉ Nhãn.docx bằng chương trình WINWORD.EXE và các truy cập của tôi bao gồm READ_CONTROL và lý do truy cập của tôi cũng là READ_CONTROL. Thông thường, bạn sẽ thấy nhiều lượt truy cập hơn, nhưng chỉ tập trung vào truy cập đầu tiên vì đó thường là loại truy cập chính. Trong trường hợp này, tôi chỉ cần mở tệp bằng Word. Phải mất một chút thử nghiệm và đọc qua các sự kiện để hiểu những gì đang diễn ra, nhưng một khi bạn đã hạ nó xuống, đó là một hệ thống rất đáng tin cậy. Tôi khuyên bạn nên tạo thư mục kiểm tra với các tệp và thực hiện các hành động khác nhau để xem nội dung hiển thị trong Trình xem sự kiện.

Nó khá là nhiều! Một cách nhanh chóng và miễn phí để theo dõi truy cập hoặc thay đổi thư mục!