sv.phhsnews.com


sv.phhsnews.com / Hur spåras när någon får tillgång till en mapp på din dator

Hur spåras när någon får tillgång till en mapp på din dator


Det finns en fin liten funktion inbyggd i Windows som låter dig spåra när någon ser, redigerar eller raderar något inuti en angiven mapp. Så om det finns en mapp eller fil som du vill veta vem som har tillgång till, är det här den inbyggda metoden utan att behöva använda program från tredje part.

Denna funktion är faktiskt en del av en Windows-säkerhetsfunktion som heter Grupppolicy, som används av de flesta IT-proffs som hanterar datorer i företagsnätverket via servrar, men kan också användas lokalt på en dator utan några servrar. Den enda nackdelen med att använda grupprincip är att den inte är tillgänglig i lägre versioner av Windows. För Windows 7 måste du ha Windows 7 Professional eller högre. För Windows 8 behöver du Pro eller Enterprise.

Termen Grupppolicy avser i grunden en uppsättning registerinställningar som kan styras via ett grafiskt användargränssnitt. Du aktiverar eller inaktiverar olika inställningar och dessa ändringar uppdateras sedan i Windows-registret.

I Windows XP, för att komma till policyredigeraren, klicka på Start och sedan Kör . I textrutan skriver du " gpedit.msc " utan citat som visas nedan:

I Windows 7 klickar du bara på Start-knappen och skriver gpedit.msc i sökrutan längst ner på Start-menyn. I Windows 8, gå helt enkelt till startskärmen och börja skriva eller flytta muspekaren till längst upp eller längst ner till höger på skärmen för att öppna charmen och klicka på Sök . Skriv bara in gpedit . Nu borde du se något som liknar bilden nedan:

Det finns två huvudkategorier av politik: Användare och dator . Som du kanske har gissat styr användarpolicyerna inställningarna för varje användare medan datorns inställningar kommer att vara systeminställda och kommer att påverka alla användare. I vårt fall kommer vi att vilja att vår inställning ska vara för alla användare, så vi utökar avsnittet Datorkonfiguration .

Fortsätt att expandera till Windows Inställningar -> Säkerhetsinställningar -> Lokala policyer -> Granskningspolicy . Jag kommer inte att förklara mycket av de andra inställningarna här eftersom det här är främst inriktat på att granska en mapp. Nu ser du en uppsättning politik och deras nuvarande inställningar på höger sida. Granskningspolitiken är det som styr huruvida operativsystemet är konfigurerat och redo att spåra ändringar.

Kontrollera nu inställningen för Audit Object Access genom att dubbelklicka på den och välja både Success and Failure . Klicka på OK och nu är vi färdiga den första delen som berättar för Windows att vi vill att den ska vara redo att övervaka ändringar. Nu är nästa steg att berätta för oss vad exakt vi vill spåra. Du kan nu stänga av grupprincipkonsolen.

Navigera nu till mappen med Windows Utforskare som du vill övervaka. I Utforskaren högerklickar du på mappen och klickar på Egenskaper . Klicka på fliken Säkerhet och du ser något som liknar detta:

Klicka nu på knappen Avancerat och klicka på fliken Revision . Det är här vi faktiskt ska konfigurera vad vi vill övervaka för den här mappen.

Fortsätt och klicka på knappen Lägg till . En dialogruta visas som ber dig välja en användare eller grupp. Skriv in ordet " användare " i rutan och klicka på Kontrollera namn . Lådan uppdateras automatiskt med namnet på den lokala användargruppen för din dator i formuläret COMPUTERNAME \ Users .

Klicka på OK och nu får du en annan dialog som heter " Audit Entry for X ". Detta är det riktiga köttet av vad vi har velat göra. Här väljer du vad du vill titta på för den här mappen. Du kan individuellt välja vilka typer av aktiviteter du vill spåra, till exempel att radera eller skapa nya filer / mappar etc. För att göra det enklare föreslår jag att du väljer Full Control, som automatiskt väljer alla andra alternativ under den. Gör detta för framgång och misslyckande . På så sätt, vad som än görs till den mappen eller filerna i den, kommer du att ha en post.

Klicka nu OK och klicka på OK igen och OK en gång till för att komma ur dialogrutan för flera dialogrutor. Och nu har du lyckats konfigurera granskning i en mapp! Så du kanske frågar, hur ser du händelserna?

För att kunna se händelserna måste du gå till Kontrollpanelen och klicka på Administrationsverktyg . Öppna sedan Event Viewer . Klicka på avsnittet Säkerhet och du får se en stor lista över händelser på höger sida:

Om du går vidare och skapar en fil eller helt enkelt öppnar mappen och klickar på knappen Uppdatera i händelsevisaren (knappen med de två gröna pilarna) ser du en massa händelser i kategorin Filsystem . Dessa avser att ta bort, skapa, läsa, skriva operationer i mapparna / filerna du granskar. I Windows 7 visas allt nu under filsystemet Aktivitets kategori, så för att se vad som hände måste du klicka på var och en och bläddra igenom den.

För att göra det lättare att titta igenom så många händelser kan du sätta ett filter och bara se viktiga saker. Klicka på Visa- menyn längst upp och klicka på Filter . Om det inte finns något alternativ för Filter, högerklicka på Säkerhetsloggen på den vänstra sidan och välj Filtrera aktuell logg . Skriv in numret 4656 i rutan Event ID. Det här är händelsen i samband med en viss användare som utför en filsystemåtgärd och ger dig relevant information utan att behöva leta igenom tusentals poster.

Om du vill få mer information om en händelse, dubbelklicka på den för att visa.

Detta är informationen från skärmen ovan:

Ett handtag till ett objekt begärdes.

Ämne:
Säkerhets-ID: Aseem-Lenovo \ Aseem
Kontonamn: Aseem
Konto Domän: Aseem-Lenovo
Inloggnings-ID: 0x175a1

Objekt:
Objekt Server: Säkerhet
Objekttyp: Fil
Objektnamn: C: \ Users \ Aseem \ Desktop \ Tufu \ Ny textdokument.txt
Hantera ID: 0x16a0

Bearbeta information:
Process ID: 0x820
Processnamn: C: \ Windows \ explorer.exe

Access Request Information:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Åtkomst: DELETE
SYNKRONISERA
ReadAttributes

I exemplet ovan var filen som arbetade på, Ny Text Document.txt i Tufu-mappen på skrivbordet och de åtkomstar som jag begärde var DELETE följt av SYNCHRONIZE. Vad jag gjorde här var att ta bort filen. Här är ett annat exempel:

Objekttyp: Fil
Objektnamn: C: \ Users \ Aseem \ Desktop \ Tufu \ Adressetiketter.docx
Hantera ID: 0x178

Bearbeta information:
Process ID: 0x1008
Processnamn: C: \ Programfiler (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Access Request Information:
Transaktions-ID: {00000000-0000-0000-0000-000000000000}
Åtkomst: READ_CONTROL
SYNKRONISERA
ReadData (eller ListDirectory)
WriteData (eller AddFile)
AppendData (eller AddSubdirectory eller CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Tillgångsskäl: READ_CONTROL: Beviljad av Ägarskap
SYNKRONISERA: Beviljad av D: (A; ID; FA ;; S-1-5-21-597862309-2018615179-2090787082-1000)

När du läser igenom det här ser du att jag åtkomst till Adress Labels.docx med WINWORD.EXE-programmet och mina åtkomster inkluderade READ_CONTROL och mina åtkomstskäl var också READ_CONTROL. Vanligtvis ser du en massa fler åtkomstar, men fokuserar bara på den första eftersom det vanligtvis är den huvudsakliga typen av åtkomst. I det här fallet öppnade jag helt enkelt filen med Word. Det tar lite testning och läs igenom händelserna för att förstå vad som händer, men när du har det nere är det ett mycket tillförlitligt system. Jag föreslår att du skapar en testmapp med filer och utför olika åtgärder för att se vad som visas i Event Viewer.

Det är ganska mycket det! Ett snabbt och gratis sätt att spåra åtkomst eller ändringar i en mapp!


Hur man använder Apt-Komma att installera program i Ubuntu från kommandoraden

Hur man använder Apt-Komma att installera program i Ubuntu från kommandoraden

Ubuntu har många GUI-baserade metoder för att installera program, men de tar lite tid att söka och hitta. Eftersom tangentbordet oftast är snabbare än musen kan hanteringen av din programvara via kommandoraden vara en realtidssparare. APT Linux hanterar programvara genom paket, enskilda enheter av programvara som innehåller användargränssnitt, moduler, och bibliotek.

(how-to)

Så här aktiverar, inaktiverar och anpassar du AutoPlay i Windows 10

Så här aktiverar, inaktiverar och anpassar du AutoPlay i Windows 10

När du sätter in en flyttbar enhet, t.ex. en CD, DVD eller ett minneskort i din dator, ser du ofta Windows " AutoPlay "popup. AutoPlay upptäcker vilken typ av skiva eller media du har lagt in och tar automatiskt vad som helst som du begär. Men om du hittar funktionen irriterande kan du inaktivera AutoPlay helt enkelt i Windows 10.

(how-to)