So verfolgen Sie, wenn jemand auf einen Ordner auf Ihrem Computer zugreift


Es gibt ein nettes kleines Feature in Windows, mit dem Sie verfolgen können, wenn jemand etwas in einem bestimmten Ordner anzeigt, bearbeitet oder löscht. Wenn also ein Ordner oder eine Datei bekannt ist, auf die zugegriffen werden soll, ist dies die integrierte Methode, ohne dass Software von Drittanbietern verwendet werden muss.

Diese Funktion ist Teil einer Windows-Sicherheitsfunktion Gruppenrichtlinie, die von den meisten IT-Experten verwendet wird, die Computer im Unternehmensnetzwerk über Server verwalten, kann jedoch auch lokal auf einem PC ohne Server verwendet werden. Der einzige Nachteil bei der Verwendung von Gruppenrichtlinien besteht darin, dass sie in niedrigeren Versionen von Windows nicht verfügbar sind. Unter Windows 7 benötigen Sie Windows 7 Professional oder höher. Für Windows 8 benötigen Sie Pro oder Enterprise.

Der Begriff Gruppenrichtlinie bezieht sich grundsätzlich auf eine Reihe von Registrierungseinstellungen, die über eine grafische Benutzeroberfläche gesteuert werden können. Sie aktivieren oder deaktivieren verschiedene Einstellungen und diese Änderungen werden dann in der Windows-Registrierung aktualisiert.

Um in Windows XP zum Richtlinieneditor zu gelangen, klicken Sie auf Startund dann auf Führen Sieaus. Geben Sie in das Textfeld "gpedit.msc" ohne die Anführungszeichen wie folgt ein:

run gpedit

In Windows 7 , klicken Sie einfach auf die Schaltfläche Start und geben Sie gpedit.mscin das Suchfeld am unteren Rand des Startmenüs ein. In Windows 8 gehen Sie einfach zum Startbildschirm und beginnen Sie mit der Eingabe oder bewegen Sie den Mauszeiger ganz nach oben oder unten rechts auf dem Bildschirm, um die Charms-Leiste zu öffnen und klicken Sie auf Suche. Gib dann einfach gpeditein. Jetzt sollten Sie etwas sehen, das dem folgenden Bild ähnelt:

group policy editor

Es gibt zwei Hauptkategorien von Richtlinien: Benutzerund Computer. Wie Sie vielleicht vermutet haben, steuern die Benutzerrichtlinien die Einstellungen für jeden Benutzer, während die Computereinstellungen systemweite Einstellungen sind und sich auf alle Benutzer auswirken. In unserem Fall möchten wir, dass unsere Einstellung für alle Benutzer gilt. Daher erweitern wir den Abschnitt Computerkonfiguration.

Fahren Sie mit der Erweiterung auf Windows-Einstellungen - & gt; Sicherheitseinstellungen - & gt; Lokale Richtlinien - & gt; ÜberwachungsrichtlinieIch werde hier nicht viel von den anderen Einstellungen erklären, da dies hauptsächlich auf das Auditing eines Ordners ausgerichtet ist. Jetzt sehen Sie auf der rechten Seite eine Reihe von Richtlinien und ihre aktuellen Einstellungen. Über Überwachungsrichtlinien wird gesteuert, ob das Betriebssystem konfiguriert ist und Änderungen gespeichert werden können.

audit object access

Überprüfen Sie jetzt die Einstellung für Überwachung Objektzugriffdurch Doppelklicken und Auswählen von Erfolgund Fehler. Klicken Sie auf "OK", und jetzt ist der erste Teil fertig, der Windows mitteilt, dass es bereit sein soll, Änderungen zu überwachen. Jetzt ist der nächste Schritt, es zu erzählen, was GENAU wir verfolgen wollen. Sie können jetzt die Gruppenrichtlinienkonsole schließen.

Navigieren Sie jetzt mit dem Windows-Explorer zu dem Ordner, den Sie überwachen möchten. Klicken Sie im Explorer mit der rechten Maustaste auf den Ordner und klicken Sie auf Eigenschaften. Klicken Sie auf die Registerkarte Sicherheit, und Sie sehen etwas Ähnliches:

explorer security tab

Klicken Sie nun auf die Schaltfläche Erweitertund anschließend auf die Registerkarte Auditing. Hier konfigurieren wir tatsächlich, was wir für diesen Ordner überwachen möchten.

auditing tab windows

Gehen Sie weiter und klicken Sie auf HinzufügenTaste. In einem Dialogfeld werden Sie aufgefordert, einen Benutzer oder eine Gruppe auszuwählen. Geben Sie in das Feld das Wort "Benutzer" ein und klicken Sie auf Namen überprüfen. Die Box wird automatisch mit dem Namen der lokalen Benutzergruppe für Ihren Computer in der Form COMPUTERNAME \ Benutzeraktualisiert.

user group permissions

Klicken Sie auf OK und Sie erhalten einen weiteren Dialog namens "Audit-Eintrag für X". Das ist das wahre Fleisch von dem, was wir tun wollten. Hier wählen Sie aus, was Sie für diesen Ordner sehen möchten. Sie können individuell auswählen, welche Aktivitätstypen Sie verfolgen möchten, z. B. neue Dateien / Ordner löschen oder erstellen. Um die Arbeit zu vereinfachen, empfehle ich die Vollzugriffskontrolle, bei der automatisch alle anderen Optionen darunter ausgewählt werden. Tun Sie dies für Erfolgund Fehler. Auf diese Weise erhalten Sie, was auch immer an diesem Ordner oder den darin enthaltenen Dateien gemacht wird, einen Eintrag.

audit permissions explorer

Klicken Sie nun auf OK und erneut auf OK und noch einmal OK, um das Dialogfeld zu verlassen. Und jetzt haben Sie die Überwachung für einen Ordner erfolgreich konfiguriert! So könnten Sie fragen, wie sehen Sie die Ereignisse?

Um die Ereignisse anzuzeigen, müssen Sie in die Systemsteuerung gehen und auf Verwaltungklicken. Öffnen Sie dann die Ereignisanzeige. Klicken Sie auf den Abschnitt Sicherheit. Auf der rechten Seite sehen Sie eine große Liste mit Ereignissen:

event viewer security

Wenn Sie eine Datei erstellen oder einfach den Ordner öffnen und in der Ereignisanzeige auf die Schaltfläche Aktualisieren klicken (die Schaltfläche mit den beiden grünen Pfeilen), sehen Sie eine Reihe von Ereignissen in der Kategorie Dateisystem . Diese betreffen alle Lösch-, Erstellungs-, Lese- und Schreibvorgänge für die Ordner / Dateien, die Sie auditieren. In Windows 7 wird jetzt alles unter der Task-Kategorie Dateisystem angezeigt. Um zu sehen, was passiert ist, müssen Sie auf jeden einzelnen klicken und einen Bildlauf durchführen.

Um es einfacher zu machen Schau durch so viele Ereignisse, du kannst einen Filter setzen und einfach die wichtigen Dinge sehen. Klicken Sie oben auf das Menü Anzeigenund anschließend auf Filter. Wenn für Filter keine Option verfügbar ist, klicken Sie mit der rechten Maustaste auf das Sicherheitsprotokoll auf der linken Seite und wählen Sie Aktuelles Protokoll filtern. Geben Sie im Feld Ereignis-ID die Nummer 4656ein. Dies ist das Ereignis, das einem bestimmten Benutzer zugeordnet ist, der eine Aktion Dateisystemausführt, und gibt Ihnen die relevanten Informationen, ohne dass Sie Tausende von Einträgen durchsehen müssen.

filter log

Wenn Sie mehr Informationen über ein Ereignis erhalten möchten, doppelklicken Sie einfach darauf, um es anzuzeigen.

event id delete

Dies ist die Information vom obigen Bildschirm:

Ein Handle für ein Objekt wurde angefordert.

Betreff:
Sicherheits-ID: Aseem-Lenovo \ Aseem
Konto-Name: Aseem
Konto-Domäne: Aseem-Lenovo
Anmelde-ID: 0x175a1

Objekt:
Objektserver: Sicherheit
Objekttyp: Datei
Objektname: C : \ Users \ Aseem \ Desktop \ Tufu \ Neuer Text Document.txt
Handle-ID: 0x16a0

Prozessinformationen:
Prozess-ID: 0x820
Prozessname: C: \ Windows \ explorer.exe

Zugriffsanforderungsinformationen:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Zugriff: DELETE
SYNCHRONIZE
ReadAttributes

Im obigen Beispiel war die Datei New Text Document.txt im Tufu-Ordner auf meinem Desktop und die von mir angeforderten Zugriffe waren DELETE gefolgt von SYNCHRONIZE. Was ich hier gemacht habe, war die Datei löschen. Hier ein weiteres Beispiel:

Objekttyp: Datei
Objektname: C: \ Benutzer \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Handle-ID: 0x178

Prozessinformationen:
Prozess-ID: 0x1008
Prozessname: C: \ Programme (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Zugriffsanforderungsinformationen:
Transaktion ID: {00000000-0000-0000-0000-000000000000}
Zugriffe: READ_CONTROL
SYNCHRONIZE
ReadData (oder ListDirectory)
WriteData (oder AddFile)
AppendData (oder AddSubdirectory oder CreatePipeInstance)
ReadEA
SchreibeEA
Leseattribute
SchreibeAttribute

Zugriffsgründe: READ_CONTROL: Gewährt durch Besitz
SYNCHRONIZE: Zugegeben von D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Während Sie dies lesen, können Sie sehen, dass ich mit dem WINWORD.EXE-Programm auf Address Labels.docx zugegriffen habe Meine und meine Zugriffe enthalten READ_CONTROL und meine Zugriffsgründe waren auch READ_CONTROL. In der Regel werden Sie mehrere Zugriffe sehen, aber konzentrieren Sie sich nur auf den ersten, da dies normalerweise die Hauptzugriffsart ist. In diesem Fall habe ich die Datei einfach mit Word geöffnet. Es dauert ein wenig, die Ereignisse zu testen und zu lesen, um zu verstehen, was vor sich geht, aber wenn man es erst einmal hinter sich hat, ist es ein sehr zuverlässiges System. Ich empfehle, einen Testordner mit Dateien zu erstellen und verschiedene Aktionen auszuführen, um zu sehen, was in der Ereignisanzeige angezeigt wird.

Das ist so ziemlich alles! Eine schnelle und kostenlose Möglichkeit, den Zugriff oder Änderungen an einem Ordner zu verfolgen!

Windows - Datei oder Ordner wird verwendet und kann nicht gelöscht werden

Zusammenhängende Posts:


3.08.2014