มีฟีเจอร์เล็กๆ น้อยๆ ในตัว Windows ที่ให้คุณติดตามเมื่อมีคนดู แก้ไข หรือลบบางสิ่งภายในโฟลเดอร์ที่ระบุ ดังนั้นหากมีโฟลเดอร์หรือไฟล์ที่คุณต้องการทราบว่าใครกำลังเข้าถึง นี่คือวิธีการที่มีอยู่แล้วภายในโดยไม่ต้องใช้ซอฟต์แวร์ของบุคคลที่สาม
คุณลักษณะนี้เป็นส่วนหนึ่งของคุณลักษณะการรักษาความปลอดภัยของ Windows ที่เรียกว่านโยบายกลุ่ม ซึ่งใช้โดยผู้เชี่ยวชาญด้านไอทีส่วนใหญ่ที่จัดการคอมพิวเตอร์ในเครือข่ายองค์กรผ่านเซิร์ฟเวอร์ อย่างไรก็ตาม สามารถใช้ในเครื่องพีซีได้โดยไม่ต้องมีเซิร์ฟเวอร์ใดๆ ข้อเสียเพียงอย่างเดียวของการใช้ Group Policy คือไม่มีใน Windows เวอร์ชันที่ต่ำกว่า สำหรับ Windows 7 คุณต้องมี Windows 7 Professional หรือสูงกว่า สำหรับ Windows 8 คุณต้องมี Pro หรือ Enterprise
คำว่านโยบายกลุ่มโดยทั่วไปหมายถึงชุดของการตั้งค่ารีจิสทรีที่สามารถควบคุมผ่านส่วนต่อประสานกราฟิกกับผู้ใช้ คุณเปิดหรือปิดการตั้งค่าต่างๆ จากนั้นการแก้ไขเหล่านี้จะได้รับการอัปเดตในรีจิสทรีของ Windows
ใน Windows XP หากต้องการไปที่ตัวแก้ไขนโยบาย ให้คลิกที่ เริ่ม แล้ว วิ่ง . ในกล่องข้อความ พิมพ์ “gpedit.msc ” โดยไม่มีเครื่องหมายคำพูดดังแสดงด้านล่าง:
ใน Windows 7 คุณเพียงแค่คลิกที่ปุ่ม Start แล้วพิมพ์ gpedit.msc ลงในช่องค้นหาที่ด้านล่างของเมนูเริ่ม ใน Windows 8 เพียงไปที่หน้าจอเริ่มต้นแล้วเริ่มพิมพ์หรือเลื่อนเคอร์เซอร์ของเมาส์ไปที่ด้านบนสุดหรือขวาล่างสุดของหน้าจอเพื่อเปิด Charms แถบแล้วคลิก ค้นหา . จากนั้นพิมพ์ gpedit . ตอนนี้คุณควรเห็นสิ่งที่คล้ายกับภาพด้านล่าง:
นโยบายมีสองหมวดหมู่หลัก:ผู้ใช้ และคอมพิวเตอร์ . ตามที่คุณอาจเดาได้ นโยบายผู้ใช้จะควบคุมการตั้งค่าสำหรับผู้ใช้แต่ละราย ในขณะที่การตั้งค่าคอมพิวเตอร์จะเป็นการตั้งค่าทั้งระบบ และจะมีผลกับผู้ใช้ทั้งหมด ในกรณีของเรา เราต้องการให้การตั้งค่าสำหรับผู้ใช้ทุกคน ดังนั้นเราจะขยายการกำหนดค่าคอมพิวเตอร์ มาตรา.
ขยายต่อไปเป็น การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> นโยบายการตรวจสอบ . ฉันจะไม่อธิบายการตั้งค่าอื่นๆ มากนัก เนื่องจากสิ่งนี้เน้นที่การตรวจสอบโฟลเดอร์เป็นหลัก ตอนนี้ คุณจะเห็นชุดนโยบายและการตั้งค่าปัจจุบันทางด้านขวามือ นโยบายการตรวจสอบคือสิ่งที่ควบคุมว่าระบบปฏิบัติการได้รับการกำหนดค่าและพร้อมที่จะติดตามการเปลี่ยนแปลงหรือไม่
ตอนนี้ตรวจสอบการตั้งค่าสำหรับ Audit Object Access โดยดับเบิลคลิกและเลือกทั้ง ความสำเร็จ และ ความล้มเหลว . คลิกตกลงและตอนนี้เราทำส่วนแรกที่บอก Windows ว่าเราต้องการให้พร้อมที่จะตรวจสอบการเปลี่ยนแปลง ขั้นตอนต่อไปคือการบอกว่าเราต้องการติดตามสิ่งใด คุณสามารถปิดคอนโซลนโยบายกลุ่มได้เลย
ไปที่โฟลเดอร์โดยใช้ Windows Explorer ที่คุณต้องการตรวจสอบ ใน Explorer ให้คลิกขวาที่โฟลเดอร์แล้วคลิก คุณสมบัติ . คลิกที่แท็บความปลอดภัย และคุณเห็นสิ่งที่คล้ายกันนี้:
ตอนนี้คลิกที่ ขั้นสูง และคลิกที่ปุ่ม การตรวจสอบ แท็บ นี่คือที่ที่เราจะกำหนดค่าสิ่งที่เราต้องการตรวจสอบสำหรับโฟลเดอร์นี้จริง ๆ
ไปข้างหน้าและคลิก เพิ่ม ปุ่ม. กล่องโต้ตอบจะปรากฏขึ้นเพื่อขอให้คุณเลือกผู้ใช้หรือกลุ่ม ในกล่อง ให้พิมพ์คำว่า “ผู้ใช้ ” และคลิก ตรวจสอบชื่อ . กล่องจะอัปเดตโดยอัตโนมัติด้วยชื่อของกลุ่มผู้ใช้ภายในสำหรับคอมพิวเตอร์ของคุณในรูปแบบ COMPUTERNAME\Users .
คลิกตกลง แล้วคุณจะได้รับกล่องโต้ตอบอื่นที่เรียกว่า “Audit Entry for X “. นี่คือเนื้อแท้ของสิ่งที่เราต้องการจะทำ นี่คือที่ที่คุณจะเลือกสิ่งที่คุณต้องการดูสำหรับโฟลเดอร์นี้ คุณสามารถเลือกประเภทของกิจกรรมที่ต้องการติดตามได้ทีละรายการ เช่น การลบหรือสร้างไฟล์/โฟลเดอร์ใหม่ เป็นต้น เพื่อให้ง่ายขึ้น เราขอแนะนำให้คุณเลือกการควบคุมทั้งหมด ซึ่งจะเลือกตัวเลือกอื่นๆ ด้านล่างโดยอัตโนมัติ ทำสิ่งนี้เพื่อ ความสำเร็จ และ ความล้มเหลว . ด้วยวิธีนี้ ไม่ว่าจะทำอะไรกับโฟลเดอร์นั้นหรือไฟล์ในนั้น คุณจะมีบันทึก
ตอนนี้คลิกตกลงแล้วคลิกตกลงอีกครั้งและตกลงอีกครั้งเพื่อออกจากชุดกล่องโต้ตอบหลายชุด และตอนนี้คุณได้กำหนดค่าการตรวจสอบในโฟลเดอร์สำเร็จแล้ว! คุณอาจจะถามว่า คุณมองเหตุการณ์อย่างไร?
ในการดูกิจกรรม คุณต้องไปที่แผงควบคุมแล้วคลิก เครื่องมือการดูแลระบบ . จากนั้นเปิด โปรแกรมดูเหตุการณ์ . คลิกที่ ความปลอดภัย ส่วน และคุณจะเห็นรายการกิจกรรมขนาดใหญ่ทางด้านขวามือ:
หากคุณดำเนินการต่อและสร้างไฟล์หรือเพียงแค่เปิดโฟลเดอร์แล้วคลิกปุ่มรีเฟรชใน Event Viewer (ปุ่มที่มีลูกศรสีเขียวสองอัน) คุณจะเห็นเหตุการณ์มากมายในหมวดหมู่ ระบบไฟล์ . สิ่งเหล่านี้เกี่ยวข้องกับการลบ สร้าง อ่าน เขียนในโฟลเดอร์/ไฟล์ที่คุณกำลังตรวจสอบ ใน Windows 7 ทุกอย่างจะแสดงขึ้นในหมวดงานระบบไฟล์ ดังนั้นคุณจะต้องคลิกที่แต่ละรายการและเลื่อนดูเพื่อดูว่าเกิดอะไรขึ้น
เพื่อให้ง่ายต่อการดูเหตุการณ์มากมาย คุณสามารถใส่ตัวกรองและดูเฉพาะสิ่งที่สำคัญได้ คลิกที่ ดู เมนูที่ด้านบนและคลิก ตัวกรอง . หากไม่มีตัวเลือกสำหรับตัวกรอง ให้คลิกขวาที่บันทึกความปลอดภัยในหน้าซ้ายและเลือก กรองบันทึกปัจจุบัน . ในกล่องรหัสเหตุการณ์ พิมพ์ตัวเลข 4656 . นี่คือเหตุการณ์ที่เกี่ยวข้องกับผู้ใช้รายหนึ่งที่กำลังดำเนินการ ระบบไฟล์ และจะให้ข้อมูลที่เกี่ยวข้องแก่คุณโดยไม่ต้องดูรายการนับพันรายการ
หากคุณต้องการรับข้อมูลเพิ่มเติมเกี่ยวกับกิจกรรม เพียงดับเบิลคลิกเพื่อดู
นี่คือข้อมูลจากหน้าจอด้านบน:
ขอหมายเลขอ้างอิงสำหรับวัตถุ
เรื่อง:
รหัสความปลอดภัย:Aseem-Lenovo\Aseem
ชื่อบัญชี:Aseem
โดเมนบัญชี:Aseem-Lenovo
รหัสการเข้าสู่ระบบ:0x175a1
วัตถุ:
เซิร์ฟเวอร์อ็อบเจ็กต์:ความปลอดภัย
ประเภทวัตถุ:ไฟล์
ชื่อวัตถุ:C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
รหัสแฮนเดิล:0x16a0
ข้อมูลกระบวนการ:
รหัสกระบวนการ:0x820
ชื่อกระบวนการ:C:\Windows\explorer.exe
ข้อมูลคำขอเข้าถึง:
รหัสธุรกรรม:{00000000-0000-0000-0000-000000000000}
การเข้าถึง:DELETE
ซิงโครไนซ์
คุณสมบัติการอ่าน
ในตัวอย่างด้านบน ไฟล์ที่ใช้คือ New Text Document.txt ในโฟลเดอร์ Tufu บนเดสก์ท็อปของฉัน และการเข้าถึงที่ฉันขอคือ DELETE ตามด้วย SYNCHRONIZE สิ่งที่ฉันทำที่นี่คือลบไฟล์ นี่เป็นอีกตัวอย่างหนึ่ง:
ประเภทอ็อบเจ็กต์:ไฟล์
ชื่อวัตถุ:C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
รหัสแฮนเดิล:0x178
ข้อมูลกระบวนการ:
รหัสกระบวนการ:0x1008
ชื่อกระบวนการ:C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
ข้อมูลคำขอเข้าถึง:
รหัสธุรกรรม:{00000000-0000-0000-0000-000000000000}
การเข้าถึง:READ_CONTROL
ซิงโครไนซ์
ReadData (หรือ ListDirectory)
WriteData (หรือ AddFile)
AppendData (หรือ AddSubdirectory หรือ CreatePipeInstance)
อ่านอีเอ
เขียนอีเอ
คุณสมบัติการอ่าน
เขียนแอตทริบิวต์
เหตุผลในการเข้าถึง:READ_CONTROL:ได้รับจากการเป็นเจ้าของ
ซิงโครไนซ์:ได้รับโดย D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)
ในขณะที่คุณอ่านข้อมูลนี้ คุณจะเห็นว่าฉันเข้าถึง Address Labels.docx โดยใช้โปรแกรม WINWORD.EXE และการเข้าถึงของฉันมี READ_CONTROL และเหตุผลในการเข้าถึงของฉันก็เป็น READ_CONTROL ด้วย โดยปกติ คุณจะเห็นการเข้าถึงจำนวนมากขึ้น แต่ให้เน้นที่การเข้าถึงแบบแรกเนื่องจากเป็นประเภทหลักของการเข้าถึง ในกรณีนี้ ฉันเพียงแค่เปิดไฟล์โดยใช้ Word ต้องใช้การทดสอบเล็กน้อยและอ่านเหตุการณ์ต่างๆ เพื่อทำความเข้าใจว่าเกิดอะไรขึ้น แต่เมื่อคุณหยุดทำงาน มันจะเป็นระบบที่น่าเชื่อถือมาก ฉันแนะนำให้สร้างโฟลเดอร์ทดสอบที่มีไฟล์และดำเนินการต่างๆ เพื่อดูว่ามีอะไรแสดงใน Event Viewer
นั่นมันสวยมาก! วิธีที่รวดเร็วและฟรีในการติดตามการเข้าถึงหรือการเปลี่ยนแปลงในโฟลเดอร์!
