当有人访问您的计算机上的文件夹时如何跟踪


Windows内置了一个很棒的小功能,可以让您跟踪某人查看,编辑或删除指定文件夹内的内容的时间。因此,如果您想知道谁正在访问的文件夹或文件,那么这是内置方法,而无需使用第三方软件。

此功能实际上是Windows安全功能的一部分称为组策略,由大多数通过服务器管理公司网络中的计算机的IT专业人员使用,但是,它也可以在没有任何服务器的PC上本地使用。使用组策略的唯一缺点是它在较低版本的Windows中不可用。对于Windows 7,您需要具有Windows 7 Professional或更高版本。对于Windows 8,您需要Pro或Enterprise。

术语组策略基本上是指可通过图形用户界面控制的一组注册表设置。您可以启用或禁用各种设置,然后在Windows注册表中更新这些编辑。

在Windows XP中,要进入策略编辑器,请单击开始,然后单击运行即可。在文本框中,键入“gpedit.msc”,不带引号,如下所示:

run gpedit

在Windows 7中,您只需单击“开始”按钮,然后在“开始”菜单底部的搜索框中键入gpedit.msc。在Windows 8中,只需转到“开始屏幕”并开始输入或将鼠标光标移动到屏幕的最右上角或右下角,打开超级按钮栏并单击搜索。然后输入gpedit。现在您应该看到类似于下图的内容:

group policy editor

主要有两类政策:用户计算机。您可能已经猜到,用户策略控制每个用户的设置,而计算机设置将是系统范围的设置,并将影响所有用户。在我们的案例中,我们希望我们的设置适用于所有用户,因此我们将展开计算机配置部分。

继续扩展到Windows设置 - > 安全设置 - >本地政策 - >审核政策。我不打算在这里解释很多其他设置,因为这主要集中在审核文件夹上。现在,您将在右侧看到一组策略及其当前设置。审计策略控制操作系统是否已配置并准备好跟踪更改。

audit object access

现在检查审计的设置对象访问,双击它并同时选择成功失败。单击OK,现在我们完成了第一部分,它告诉Windows我们希望它准备好监视更改。现在,下一步是告诉它我们想要跟踪的是什么。您现在可以关闭组策略控制台。

现在使用您要监视的Windows资源管理器导航到该文件夹​​。在资源管理器中,右键单击该文件夹,然后单击属性。点击安全标签,您会看到类似的内容:

explorer security tab

现在点击高级按钮,然后点击审核标签。这是我们实际配置我们要监视此文件夹的内容。

auditing tab windows

继续并单击添加按钮。将出现一个对话框,要求您选择用户或组。在框中,输入“用户”一词,然后点击检查姓名。该框将自动使用COMPUTERNAME \ Users格式的计算机的本地用户组名称进行更新。

user group permissions

单击确定,现在您将获得另一个名为“X的审核条目”的对话框。这是我们一直想做的真正的事。您可以在此处选择要为此文件夹观看的内容。您可以单独选择要跟踪的活动类型,例如删除或创建新文件/文件夹等。为方便起见,我建议选择完全控制,它将自动选择其下面的所有其他选项。为成功失败执行此操作。这样,无论对该文件夹或其中的文件执行什么操作,您都会有记录。

audit permissions explorer

现在单击“确定”并再次单击“确定”。然后再次确定退出多个对话框集。现在您已成功配置文件夹审核!您可能会问,您如何查看事件?

要查看事件,您需要转到控制面板并单击管理工具。然后打开事件查看器。点击安全部分,您会在右侧看到大量事件列表:

event viewer security

如果您继续创建文件或只是打开文件夹并单击事件查看器中的“刷新”按钮(带有两个绿色箭头的按钮),您将看到文件系统<类别中的一系列事件/ strong>即可。这些属于您正在审核的文件夹/文件的任何删除,创建,读取和写入操作。在Windows 7中,现在所有内容都显示在“文件系统”任务类别下,因此,为了查看发生的情况,您必须单击每个项目并滚动查看。

为了使其更容易看看这么多事件,你可以放一个过滤器,看看重要的东西。点击顶部的查看菜单,然后点击过滤器。如果没有筛选选项,请右键单击左侧页面中的安全日志,然后选择筛选当前日志。在“事件ID”框中,键入数字4656。这是与执行文件系统操作的特定用户相关联的事件,它将为您提供相关信息,而无需查看数千个条目。

filter log

如果您想获得有关活动的更多信息,只需双击即可查看。

event id delete

这是上面屏幕中的信息:

请求了对象的句柄。

主题:
安全ID:Aseem-Lenovo \ Aseem
帐户名称:Aseem
帐户域名:Aseem-Lenovo
登录ID:0x175a1

对象:
对象服务器:安全性
对象类型:文件
对象名称:C :\ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
句柄ID:0x16a0

流程信息:
进程ID:0x820
进程名称:C:\ Windows \ explorer.exe

访问请求信息:
交易ID:{00000000-0000-0000-0000-000000000000}
访问:DELETE
SYNCHRONIZE
ReadAttributes

在上面的示例中,处理的文件是桌面上Tufu文件夹中的New Text Document.txt,我请求的访问是DELETE,通过SYNCHRONIZE。我在这里做的是删除文件。这是另一个例子:

对象类型:文件
对象名称:C:\ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
句柄ID:0x178

流程信息:
进程ID:0x1008
进程名称:C:\ Program Files(x86)\ Microsoft Office \ Office14 \ WINWORD.EXE

访问请求信息:
事务ID:{00000000-0000-0000-0000-000000000000}
访问:READ_CONTROL
SYNCHRONIZE
ReadData(或ListDirectory)
WriteData(或AddFile)
AppendData(或AddSubdirectory或CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

访问理由:READ_CONTROL:所有权授予
SYNCHRONIZE:D:(A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1​​000)

在阅读本文时,您可以看到我使用WINWORD.EXE程序访问了Address Labels.docx我和我的访问包括READ_CONTROL,我的访问原因也是READ_CONTROL。通常,您会看到更多访问,但只关注第一个访问,因为这通常是主要的访问类型。在这种情况下,我只是使用Word打开文件。它确实需要一些测试和阅读事件来了解正在发生的事情,但是一旦你失败了,它就是一个非常可靠的系统。我建议创建一个包含文件的测试文件夹,并执行各种操作以查看事件查看器中显示的内容。

这就是它!一种快速,免费的方式来跟踪文件夹的访问或更改!

3000+ Common English Words with British Pronunciation

相关文章:


3.08.2014