Ako sledovať, keď niekto získa prístup k priečinku na vašom počítači
K dispozícii je pekná malá funkcia zabudovaná do systému Windows, ktorá umožňuje sledovať, keď niekto prezrie, upraví alebo odstráni niečo vnútri určeného priečinka. Ak existuje priečinok alebo súbor, ktorý chcete vedieť, kto pristupuje, je to vstavaná metóda bez nutnosti používať softvér tretej strany.
Táto funkcia je v skutočnosti súčasťou bezpečnostnej funkcie systému Windows nazvanej Skupinové pravidlá, ktorý používajú väčšina odborníkov v oblasti IT, ktorí spravujú počítače v podnikovej sieti prostredníctvom serverov, ale môže byť tiež použitý lokálne v počítači bez akýchkoľvek serverov. Jedinou nevýhodou pri používaní Zásady skupiny je to, že nie je k dispozícii v nižších verziách systému Windows. Pre systém Windows 7 potrebujete Windows 7 Professional alebo vyšší. Pre systém Windows 8 potrebujete Pro alebo Enterprise.
Pojem Zásady skupiny v podstate odkazuje na súbor nastavení databázy Registry, ktoré možno ovládať pomocou grafického používateľského rozhrania. Aktivujete alebo zakážete rôzne nastavenia a tieto úpravy sa potom aktualizujú v registri systému Windows.
V systéme Windows XP sa dostanete do editora pravidiel kliknutím na štart a potom beh. Do textového poľa zadajte reťazec "gpedit.msc"Bez citátov uvedených nižšie:
V systéme Windows 7 stačí kliknúť na tlačidlo Štart a napísať gpedit.msc do vyhľadávacieho poľa v dolnej časti ponuky Štart. V systéme Windows 8 jednoducho prejdite na úvodnú obrazovku a začnite písať alebo presúvať kurzor myši na hornú alebo dolnú pravú stranu obrazovky, čím otvoríte pôvaby a kliknite na Vyhľadávanie. Potom jednoducho napíšte gpedit. Teraz by ste mali vidieť niečo, čo je podobné obrázku nižšie:
Existujú dve hlavné kategórie politík: užívateľ a počítačový. Ako ste si mohli uhádnuť, používateľské pravidlá kontrolujú nastavenia pre každého používateľa, zatiaľ čo nastavenia počítača budú nastavené na celý systém a budú ovplyvňovať všetkých používateľov. V našom prípade budeme chcieť, aby naše nastavenie bolo pre všetkých používateľov, takže ich rozbalíme Konfigurácia počítača časť.
Pokračujte v rozširovaní Nastavenia systému Windows -> Nastavenia zabezpečenia -> Miestne pravidlá -> Pravidlá auditu. Nebudem vysvetľovať veľa ďalších nastavení tu, pretože to je primárne zamerané na auditovanie zložky. Teraz uvidíte na pravej strane súbor pravidiel a ich aktuálne nastavenia. Pravidlá auditu určujú, či je operačný systém nakonfigurovaný a pripravený na sledovanie zmien.
Teraz skontrolujte nastavenie Prístup k objektom auditu dvojitým kliknutím na ňu a výberom oboch Úspech a zlyhanie. Kliknite na tlačidlo OK a teraz sme hotoví prvú časť, ktorá hovorí Windows, že chceme, aby bola pripravená sledovať zmeny. Ďalším krokom je povedať, čo presne chceme sledovať. Teraz môžete ukončiť konzolu Zásady skupiny.
Teraz prejdite do priečinka pomocou programu Windows Explorer, ktorý chcete sledovať. V programe Explorer kliknite pravým tlačidlom myši na priečinok a kliknite na tlačidlo vlastnosti. Klikni na Karta Zabezpečenie a vidíte niečo podobné:
Teraz kliknite na pokročilý a kliknite na tlačidlo auditing tab. Práve tu nastavíme, čo chceme sledovať pre túto zložku.
Pokračujte a kliknite na tlačidlo pridať Tlačidlo. Zobrazí sa dialógové okno s výzvou na výber používateľa alebo skupiny. Do poľa zadajte slovo "užívatelia"A kliknite na tlačidlo Skontrolujte mená. Toto pole sa automaticky aktualizuje s názvom skupiny miestnych používateľov pre váš počítač vo formulári COMPUTERNAME \ Users.
Kliknite na tlačidlo OK a teraz dostanete ďalšie dialógové okno s názvom "Auditový vstup pre X". Toto je skutočné mäso toho, čo sme chceli robiť. Tu je miesto, kde si vyberiete, čo chcete sledovať pre túto zložku. Individuálne si môžete vybrať, ktoré typy aktivít chcete sledovať, ako napríklad vymazanie alebo vytváranie nových súborov alebo priečinkov atď. Aby ste to uľahčili, navrhujem vybrať funkciu Úplné ovládanie, ktoré automaticky vyberie všetky ďalšie možnosti pod ním. Robte to pre Úspech a zlyhanie. Týmto spôsobom, bez ohľadu na to, čo sa deje s touto zložkou alebo so súbormi v nej, budete mať záznam.
Teraz kliknite na tlačidlo OK a znovu kliknite na tlačidlo OK a OK ešte raz, aby ste sa dostali z nastaveného množstva dialógových okien. A teraz ste úspešne nakonfigurovali audit na priečinku! Takže sa môžete spýtať, ako uvidíte udalosti?
Ak chcete zobraziť udalosti, musíte prejsť na ovládací panel a kliknúť na Administratívne nástroje. Potom otvorte Prehliadač udalostí. Klikni na zabezpečenia a na pravej strane uvidíte veľký zoznam udalostí:
Ak budete pokračovať a vytvoríte súbor alebo jednoducho otvoríte priečinok a kliknete na tlačidlo Obnoviť v prehliadači udalostí (tlačidlo s dvoma zelenými šípkami), uvidíte veľa udalostí v kategórii Systém súborov. Týkajú sa všetkých operácií na vymazanie, vytváranie, čítanie a zápis do priečinkov / súborov, ktoré kontrolujete. V systéme Windows 7 sa všetko teraz zobrazuje pod kategóriou úloh Systém súborov, takže aby ste videli, čo sa stalo, musíte kliknúť na každú z nich a prejsť ich.
Aby ste uľahčili prehliadanie toľkých udalostí, môžete vložiť filter a jednoducho vidieť dôležité veci. Klikni na vyhliadka menu v hornej časti a kliknite na filter. Ak nie je žiadna možnosť pre filter, kliknite pravým tlačidlom myši na bezpečnostný protokol na ľavej strane a vyberte Filtrovať aktuálny denník. Do poľa Event ID zadajte číslo 4656. Ide o udalosť spojenú s konkrétnym používateľom, ktorý vykonával Systém súborov a poskytne vám príslušné informácie bez toho, aby ste museli prezerať tisíce vstupov.
Ak chcete získať viac informácií o udalosti, jednoducho ho dvakrát kliknite na zobrazenie.
Toto sú informácie z obrazovky vyššie:
Bola vyžiadaná manipulácia s objektom.
predmet:
ID zabezpečenia: Aseem-Lenovo \ Aseem
Názov účtu: Aseem
Doména účtu: Aseem-Lenovo
Prihlasovacie ID: 0x175a1
objekt:
Object Server: Zabezpečenie
Typ objektu: Súbor
Názov objektu: C: \ Users \ Aseem \ Desktop \ Tufu \ Nový text dokumentu.txt
ID držadla: 0x16a0
Informácie o procese:
ID procesu: 0x820
Názov procesu: C: \ Windows \ explorer.exe
Informácie o žiadosti o prístup:
ID transakcie: 00000000-0000-0000-0000-000000000000
Prístup: DELETE
synchronizač
ReadAttributes
Vo vyššie uvedenom príklade bol súbor nainštalovaný vo formáte New Text Document.txt v priečinku Tufu na pracovnej ploche a prístupy, ktoré som požadoval, boli DELETE a následne SYNCHRONIZE. Tu som urobil vymazať súbor. Tu je ďalší príklad:
Typ objektu: Súbor
Názov objektu: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID držadla: 0x178
Informácie o procese:
ID procesu: 0x1008
Názov procesu: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informácie o žiadosti o prístup:
ID transakcie: 00000000-0000-0000-0000-000000000000
Prístup: READ_CONTROL
synchronizač
ReadData (alebo ListDirectory)
WriteData (alebo AddFile)
AppendData (alebo AddSubdirectory alebo CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Prístupové dôvody: READ_CONTROL: Udelené podľa vlastníctva
SYNCHRONIZOVANIE: Udelené D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Ako ste si prečítali toto, vidíte, že som sa dostal do adresy Labels.docx pomocou programu WINWORD.EXE a moje prístupy zahrnuté READ_CONTROL a moje prístupové dôvody boli tiež READ_CONTROL. Zvyčajne uvidíte viacero prístupov, ale stačí sa sústrediť na prvú, pretože to je zvyčajne hlavný typ prístupu. V tomto prípade som jednoducho otvoril súbor pomocou programu Word. Vykoná to trochu testovania a čítanie udalostí, aby ste pochopili, čo sa deje, ale akonáhle to máte, je to veľmi spoľahlivý systém. Navrhujem vytvoriť testovací priečinok so súbormi a vykonávať rôzne akcie, aby ste videli, čo sa zobrazuje v prehliadači udalostí.
To je skoro všetko! Rýchly a voľný spôsob sledovania prístupu alebo zmien priečinka!