Има една приятна малка функция, вградена в Windows , която ви позволява да проследявате кога някой преглежда, редактира или изтрива нещо в определена папка. Така че, ако има папка или файл, до който искате да знаете кой има достъп, тогава това е вграденият метод, без да се налага да използвате софтуер на трети страни.

Тази функция всъщност е част от функция за сигурност на Windows , наречена групова политика^{( Group Policy)} , която се използва от повечето ИТ специалисти^{(IT Professionals)} , които управляват компютри в корпоративната мрежа чрез сървъри, но може да се използва и локално на компютър без никакви сървъри. Единственият недостатък на използването на групови правила^{(Group Policy)} е, че не е наличен в по-ниски версии на Windows . За Windows 7 трябва да имате Windows 7 Professional или по-нова версия. За Windows 8 се нуждаете от Pro или Enterprise .

Терминът групови правила^{(Group Policy)} основно се отнася до набор от настройки на системния регистър, които могат да се контролират чрез графичен потребителски интерфейс. Вие активирате или деактивирате различни настройки и тези редакции след това се актуализират в системния^(Windows) регистър на Windows.

В Windows XP , за да стигнете до редактора на правила, щракнете върху Старт^(Start) и след това Изпълни^(Run) . В текстовото поле въведете „ gpedit.msc “ без кавичките, както е показано по-долу:

В Windows 7 просто щракнете върху бутона " Старт^(Start) " и въведете gpedit.msc в полето за търсене в долната част на менюто " Старт"^{(Start Menu)} . В Windows 8 просто отидете на началния екран^{(Start Screen)} и започнете да пишете или преместете курсора на мишката си в горния или долния десен ъгъл на екрана, за да отворите лентата Charms и щракнете върху ^(Charms)Търсене^(Search) . След това просто въведете gpedit . Сега трябва да видите нещо подобно на изображението по-долу:

Има две основни категории политики: потребителски^(User) и компютърни^(Computer) . Както може би се досещате, потребителските политики контролират настройките за всеки потребител, докато настройките на компютъра ще бъдат настройки за цялата система и ще влияят на всички потребители. В нашия случай ще искаме нашата настройка да е за всички потребители, така че ще разширим секцията Конфигурация на компютъра^{(Computer Configuration)} .

Продължете да разширявате до Настройки на Windows^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy . Няма да обяснявам много от другите настройки тук, тъй като това е фокусирано основно върху одит на папка. Сега ще видите набор от правила и техните текущи настройки от дясната страна. Политиката за одит е това, което контролира дали операционната система е конфигурирана и готова за проследяване на промените.

Сега проверете настройката за достъп до обект на одит^{(Audit Object Access )} , като щракнете двукратно върху нея и изберете както успех^(Success) , така и неуспех^(Failure) . Щракнете върху OK^{(Click OK)} и сега сме готови с първата част, която казва на Windows, че искаме да е готов да наблюдава промените. Сега следващата стъпка е да му кажем какво ТОЧНО^(EXACTLY) искаме да проследим. Можете да затворите конзолата за групови правила сега.^{(Group Policy)}

Сега отидете до папката с помощта на Windows Explorer , която искате да наблюдавате. В Explorer щракнете с десния бутон върху папката и щракнете върху Свойства^(Properties) . Щракнете върху раздела за сигурност^{( Security Tab)} и ще видите нещо подобно на това:

Сега щракнете върху бутона Разширени^(Advanced) и щракнете върху раздела Одит^(Auditing) . Това е мястото, където всъщност ще конфигурираме какво искаме да наблюдаваме за тази папка.

Продължете и щракнете върху бутона Добавяне^(Add) . Ще се появи диалогов прозорец с молба да изберете потребител^(User) или група^(Group) . В полето въведете думата „ потребители^(users) “ и щракнете върху Проверка на имената^{(Check Names)} . Полето автоматично ще се актуализира с името на локалната потребителска група за вашия компютър във формата COMPUTERNAME\Users .

Щракнете върху OK^{(Click OK)} и сега ще получите друг диалогов прозорец, наречен „ Влизане на одит за X^{(Audit Entry for X)} “. Това е истинското месо от това, което искахме да направим. Тук ще изберете какво искате да гледате за тази папка. Можете поотделно да изберете кои видове дейности искате да проследявате, като изтриване или създаване на нови файлове/папки и т.н. За да улесните нещата, предлагам да изберете Пълен контрол^{(Full Control)} , който автоматично ще избере всички други опции под него. Правете това за успех^(Success) и провал^(Failure) . По този начин, каквото и да се прави с тази папка или файловете в нея, ще имате запис.

Сега щракнете върху OK и щракнете върху OK отново и OK още веднъж, за да излезете от набора от множество диалогови прозорци. И сега успешно конфигурирахте одита на папка! Така че може да попитате как гледате на събитията?

За да видите събитията, трябва да отидете в контролния панел^{(Control Panel)} и да щракнете върху Административни инструменти^{(Administrative Tools)} . След това отворете програмата за преглед на събития^{(Event Viewer)} . Щракнете върху секцията Сигурност^(Security) и ще видите голям списък от събития от дясната страна:

Ако продължите и създадете файл или просто отворите папката и щракнете върху бутона Обнови^(Refresh) в програмата за преглед на събития^{(Event Viewer)} (бутонът с двете зелени стрелки), ще видите куп събития в категорията Файлова система^{( File System)} . Те се отнасят до всякакви операции за изтриване, създаване, четене, запис върху папките/файловете, които одитирате. В Windows 7 всичко вече се показва в категорията задачи на файловата система^{(File System)} , така че за да видите какво се е случило, ще трябва да щракнете върху всяка една и да я превъртите.

За да улесните прегледа на толкова много събития, можете да поставите филтър и просто да видите важните неща. Щракнете^(Click) върху менюто Изглед^(View) в горната част и щракнете върху Филтър^(Filter) . Ако няма опция за Филтър^(Filter) , щракнете с десния бутон върху регистрационния файл за сигурност^(Security) в лявата страница и изберете Филтриране на текущия дневник^{(Filter Current Log)} . В полето Event ID въведете числото 4656 . Това е събитието, свързано с конкретен потребител, изпълняващ действие на файловата система ^{(File System )} и ще ви даде съответната информация, без да се налага да преглеждате хиляди записи.

Ако искате да получите повече информация за събитие, просто кликнете два пъти върху него, за да го видите.

Това е информацията от екрана по-горе:

Беше поискана манипулация на обект.^{(A handle to an object was requested.)}

Тема: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Име на акаунт в Aseem: Домейн на акаунт в Aseem: ID за влизане ^{( Account Name: Aseem)}
в Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
: 0x175a1^{( Logon ID: 0x175a1)}

Обект: ^(Object:)
Обектен сървър: ^{( Object Server: Security)}
Тип на защитения обект: Файл ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Идентификатор на манипулатора: 0x16a0^{( Handle ID: 0x16a0)}

Информация ^{(Process Information:)}
за процеса: ID на процеса: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Информация за заявка за достъп: ^{(Access Request Information:)}
ID на транзакция: {00000000-0000-0000-0000-000000000000} Достъпи ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
: ИЗТРИВАНЕ ^{( Accesses: DELETE)}
СИНХРОНИЗАЦИЯ ^{( SYNCHRONIZE)}
ReadAttributes

В примера по-горе, файлът, върху който работеше, беше New Text Document.txt в папката Tufu на моя работен плот и достъпите, които поисках, бяха DELETE , последвано от SYNCHRONIZE . Това, което направих тук, беше да изтрия файла. Ето още един пример:

Тип на обект: Файл ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Идентификатор на манипулатора: 0x178^{( Handle ID: 0x178)}

Информация ^{(Process Information:)}
за процеса: ID на процеса: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Информация за заявка за достъп: ^{(Access Request Information:)}
ID на транзакция: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Достъпи: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (или ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (или AddFile) ^{( WriteData (or AddFile))}
AppendData (или AddSubdirectory или AddSubritesstan или AddSubritesstan или AddSubritesstan или AddSubritesstan или ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}ReadSubdirectory ^{( WriteAttributes)}или ^{( WriteEA)}
CreateAtributeA ^{( ReadEA)}ReadEaptEA^{( ReadAttributes)}

Причини за достъп: READ_CONTROL: Предоставено от собственост ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SYNCHRONIZE: Предоставено от D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Докато четете това, можете да видите, че имах достъп до Address Labels.docx с помощта на програмата WINWORD.EXE и моите достъпи включват READ_CONTROL и причините за достъп също бяха READ_CONTROL . Обикновено ще видите още куп достъпи, но просто се съсредоточете върху първия, тъй като това обикновено е основният тип достъп. В този случай просто отворих файла с Word . Отнема малко тестване и четене на събитията, за да разберете какво се случва, но след като го свалите, това е много надеждна система. Предлагам да създадете тестова папка с файлове и да извършите различни действия, за да видите какво се показва в Event Viewer .

Това е почти всичко! Бърз и безплатен начин за проследяване на достъп или промени в папка!

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature bυilt into Windows that allows you to track when someone views, edits, or deletes something inside of a specified folder. So if there’s a folder or file that you want to know who is accessіng, then thіs is the built-in method without having to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Как да създадете защитена и заключена папка в Windows XP

• Как да запазите оформлението на иконите на работния плот в Windows XP, 7, 8

• Как да коригирате грешката "Липсващ или повреден NTFS.sys" в Windows XP

• Отдалечен достъп до компютър с Windows XP или Windows Server 2003

• Инсталирайте мрежов принтер от Windows XP, като използвате настройката на драйвера

• Как да блокирате всеки уебсайт на вашия компютър, телефон или мрежа

• Как да намерите модела на вашия компютър в Windows

• 15 съвета за увеличаване на скоростта на компютъра

• Прикачете VHD файл в Windows XP

• Как да зададете разрешения за файлове и папки в Windows

• Как да настроите отдалечен работен плот на Windows XP

• Изключете или премахнете „Вашият компютър може да е изложен на риск“ в Windows XP

• Как да възпроизвеждате Blu-Ray дискове на вашия компютър

• Как да проверите настройките на прокси сървъра на вашия компютър

• Папката за коригиране не съществува - Грешка в произхода на компютър с Windows

• Как да скриете други WiFi мрежи, когато се свързвате с вашия компютър

• Как да включите или изключите споделянето на публични папки в Windows 11/10

• Как да увеличите размера на миниатюрата по подразбиране на Windows Explorer за снимки

• Как да добавите програма към стартиране в Windows XP

• Windows няма достъп до споделена папка или диск в Windows 11/10