Hoe te volgen wanneer iemand een map op uw computer opent

Er is een leuke kleine functie ingebouwd in Windows waarmee je kunt bijhouden wanneer iemand iets in een bepaalde map bekijkt, bewerkt of verwijdert. Dus als er een map of bestand is waarvan u wilt weten wie er toegang toe heeft, dan is dit de ingebouwde methode zonder dat u software van derden hoeft te gebruiken.

Deze functie maakt eigenlijk deel uit van een Windows -beveiligingsfunctie genaamd Groepsbeleid( Group Policy) , die wordt gebruikt door de meeste IT-professionals die computers in het bedrijfsnetwerk via servers beheren, maar het kan ook lokaal op een pc zonder servers worden gebruikt. Het enige nadeel van het gebruik van Groepsbeleid(Group Policy) is dat het niet beschikbaar is in lagere versies van Windows . Voor Windows 7 moet u Windows 7 Professional of hoger hebben. Voor Windows 8 heeft u Pro of Enterprise nodig .

De term Groepsbeleid(Group Policy) verwijst in feite naar een reeks registerinstellingen die kunnen worden beheerd via een grafische gebruikersinterface. U schakelt verschillende instellingen in of uit en deze bewerkingen worden vervolgens bijgewerkt in het Windows -register.

Om in Windows XP naar de beleidseditor te gaan, klikt u op Start en vervolgens op Uitvoeren(Run) . Typ in het tekstvak " gpedit.msc " zonder de aanhalingstekens, zoals hieronder weergegeven:

voer gpedit uit

In Windows 7 klikt u gewoon op de knop Start en typt u gpedit.msc in het zoekvak onder aan het menu Start(Start Menu) . In Windows 8 gaat u gewoon naar het startscherm(Start Screen) en begint u te typen of beweegt u uw muiscursor naar de rechterboven- of onderkant van het scherm om de Charms - balk te openen en klikt u op Zoeken(Search) . Typ dan gewoon gpedit . Nu zou je iets moeten zien dat lijkt op de onderstaande afbeelding:

groepsbeleid-editor

Er zijn twee hoofdcategorieën beleidsregels: gebruiker(User) en computer . Zoals je misschien al geraden hebt, bepaalt het gebruikersbeleid de instellingen voor elke gebruiker, terwijl de computerinstellingen systeembrede instellingen zijn en van invloed zijn op alle gebruikers. In ons geval willen we dat onze instelling voor alle gebruikers is, dus we breiden het gedeelte Computerconfiguratie(Computer Configuration) uit .

Ga door met uitbreiden naar Windows Instellingen(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . Ik ga hier niet veel van de andere instellingen uitleggen, omdat dit voornamelijk is gericht op het controleren van een map. Nu ziet u aan de rechterkant een reeks beleidsregels en hun huidige instellingen. Auditbeleid bepaalt of het besturingssysteem al dan niet is geconfigureerd en klaar is om wijzigingen bij te houden.

toegang tot auditobjecten

Controleer nu de instelling voor Audit Object Access door erop te dubbelklikken en zowel Succes(Success) als Failure te selecteren . Klik op OK(Click OK) en nu zijn we klaar met het eerste deel dat Windows vertelt dat we willen dat het klaar is om wijzigingen te controleren. Nu is de volgende stap om het te vertellen wat PRECIES(EXACTLY) we willen volgen. U kunt nu de Groepsbeleid(Group Policy) -console afsluiten.

Navigeer nu met Windows Verkenner(Windows Explorer) naar de map die u wilt controleren. Klik in Verkenner(Explorer) met de rechtermuisknop op de map en klik op Eigenschappen(Properties) . Klik op het tabblad Beveiliging( Security Tab) en je ziet iets dat lijkt op dit:

verkenner beveiligingstabblad

Klik nu op de knop Geavanceerd(Advanced) en klik op het tabblad Auditing . Dit is waar we daadwerkelijk configureren wat we willen controleren voor deze map.

controletabvensters

Ga je gang en klik op de knop Toevoegen(Add) . Er verschijnt een dialoogvenster waarin u wordt gevraagd een gebruiker(User) of groep(Group) te selecteren . Typ in het vak het woord " gebruikers(users) " en klik op Namen controleren(Check Names) . De box wordt automatisch bijgewerkt met de naam van de lokale gebruikersgroep voor uw computer in de vorm COMPUTERNAME\Users .

gebruikersgroep machtigingen

Klik op OK(Click OK) en nu krijg je een ander dialoogvenster genaamd " Audit Entry for X ". Dit is het echte vlees van wat we wilden doen. Hier selecteert u wat u voor deze map wilt bekijken. U kunt individueel kiezen welke soorten activiteiten u wilt volgen, zoals het verwijderen of maken van nieuwe bestanden/mappen, enz. Om het u gemakkelijker te maken, raad ik aan Volledig beheer(Full Control) te selecteren , waarmee automatisch alle andere opties eronder worden geselecteerd. Doe dit voor succes(Success) en mislukking(Failure) . Op deze manier heb je een record, wat er ook met die map of de bestanden erin wordt gedaan.

verkenner machtigingen controleren

Klik nu op OK en klik nogmaals op OK en nog een keer op OK om uit de set met meerdere dialoogvensters te komen. En nu heb je met succes auditing op een map geconfigureerd! Dus je vraagt ​​je misschien af, hoe kijk je naar de gebeurtenissen?

Om de evenementen te bekijken, moet u naar het Configuratiescherm(Control Panel) gaan en op Systeembeheer(Administrative Tools) klikken . Open vervolgens de Event Viewer . Klik op het gedeelte Beveiliging(Security) en je ziet aan de rechterkant een grote lijst met evenementen:

evenement kijker beveiliging

Als je doorgaat en een bestand maakt of gewoon de map opent en op de knop Vernieuwen(Refresh) in de Event Viewer klikt (de knop met de twee groene pijlen), zie je een heleboel gebeurtenissen in de categorie Bestandssysteem( File System) . Deze hebben betrekking op alle verwijder-, aanmaak-, lees- en schrijfbewerkingen op de mappen/bestanden die u controleert. In Windows 7 wordt nu alles weergegeven onder de taakcategorie Bestandssysteem , dus om te zien wat er is gebeurd, moet je op elk ervan klikken en er doorheen scrollen.(File System)

Om het gemakkelijker te maken om door zoveel evenementen te kijken, kun je een filter plaatsen en alleen de belangrijke dingen zien. Klik(Click) bovenaan op het menu Beeld en klik op (View)Filter . Als er geen optie is voor Filter , klik dan met de rechtermuisknop op het Beveiligingslogboek(Security) op de linkerpagina en kies Huidig ​​logboek filteren(Filter Current Log) . Typ in het vak Gebeurtenis-ID(Event ID) het nummer 4656 . Dit is de gebeurtenis die is gekoppeld aan een bepaalde gebruiker die een bestandssysteemactie (File System ) uitvoert en u de relevante informatie geeft zonder duizenden vermeldingen te hoeven doorzoeken.

filter log

Als u meer informatie over een evenement wilt, dubbelklikt u erop om het te bekijken.

evenement-ID verwijderen

Dit is de informatie uit het bovenstaande scherm:

Er is om een ​​handle voor een object gevraagd.(A handle to an object was requested.)

Onderwerp: (Subject:)
Security ID: Aseem-Lenovo\Aseem
: Aseem ( Account Name: Aseem)
-Lenovo- ( Account Domain: Aseem-Lenovo)
aanmeldings-ID: 0x175a1( Logon ID: 0x175a1)

Object:
Object Server: Beveiliging ( Object Server: Security)
Objecttype: Bestand ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handvat-ID: 0x16a0( Handle ID: 0x16a0)

Procesinformatie: (Process Information:)
Proces-ID: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Toegangsverzoekinformatie: (Access Request Information:)
Transactie-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Toegangen: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

In het bovenstaande voorbeeld was het bestand waaraan werd gewerkt New Text Document.txt in de Tufu- map op mijn bureaublad en de toegangen die ik had aangevraagd waren DELETE gevolgd door SYNCHRONIZE . Wat ik hier deed, was het bestand verwijderen. Hier is nog een voorbeeld:

Objecttype: Bestand ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handvat-ID: 0x178( Handle ID: 0x178)

Procesinformatie: (Process Information:)
Proces-ID: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Toegangsverzoekinformatie: (Access Request Information:)
Transactie-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Toegangen: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (of ListDirectory) ( ReadData (or ListDirectory))
WriteData (of AddFile) ( WriteData (or AddFile))
AppendData (of AddSubdirectory of CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Toegangsredenen: READ_CONTROL: Toegekend door eigendom ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Toegekend door D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Terwijl je dit leest, kun je zien dat ik toegang kreeg tot Address Labels.docx met behulp van het WINWORD.EXE- programma en mijn toegangen omvatten READ_CONTROL en mijn toegangsredenen waren ook READ_CONTROL . Meestal zie je een heleboel meer toegangen, maar concentreer je gewoon op de eerste, want dat is meestal het belangrijkste type toegang. In dit geval heb ik het bestand gewoon geopend met Word . Het vergt wat testen en doorlezen van de gebeurtenissen om te begrijpen wat er aan de hand is, maar als je het eenmaal onder de knie hebt, is het een zeer betrouwbaar systeem. Ik raad aan om een ​​testmap met bestanden te maken en verschillende acties uit te voeren om te zien wat er in de Event Viewer wordt weergegeven .

Dat is het eigenlijk wel! Een snelle en gratis manier om toegang tot of wijzigingen in een map bij te houden!



Amy de Haan

About the author

Ik ben een hardware-ingenieur en softwareontwikkelaar met meer dan 10 jaar ervaring in de Apple- en Google-platforms. Mijn vaardigheden liggen in het ontwikkelen van efficiënte, gebruiksvriendelijke oplossingen voor moeilijke technische problemen. Ik heb ervaring met zowel MacOS- als iOS-apparaten, evenals met toetsenbord- en muisbesturing. In mijn vrije tijd vind ik het leuk om te zwemmen, tennis te kijken en naar muziek te luisteren.


Related posts