como Pista Cuando Alguien Accede a una Carpeta en Tu Ordenador

0

Hay un pequeño y agradable que se construye dentro de Windows que permite seguir cuando alguien visualiza, edita o borra algo en el interior de una carpeta especificada. Así que si hay una carpeta o el archivo que desea saber quién tiene acceso, entonces este es el método integrado sin tener que utilizar software de terceros.

Esta característica es en realidad parte de un Windows característica de seguridad llamada
Directiva de Grupo, el cual es utilizado por la mayoría de los Profesionales de TI que administrar los equipos de la red corporativa a través de los servidores, sin embargo, también puede ser utilizado localmente en un PC sin ningún tipo de servidores. La única desventaja de usar la Directiva de Grupo es que no está disponible en versiones anteriores de Windows. Para Windows 7, usted necesita tener Windows 7 Professional o superior. Para Windows 8, usted necesita Pro o Enterprise.

El plazo de Directiva de Grupo se refiere básicamente a un conjunto de valores del registro que puede ser controlado a través de una interfaz gráfica de usuario. Activar o desactivar varias opciones de configuración y estas modificaciones se actualizan en el registro de Windows.

En Windows XP, para llegar a el editor de directivas, haga clic en
Inicioy, a continuación,
Ejecutar. En el cuadro de texto, escriba ”
gpedit.msc” sin las comillas, como se muestra a continuación:


 blank

En Windows 7, simplemente haga clic en el botón Inicio y escriba
gpedit.mscen el cuadro de búsqueda en la parte inferior del Menú Inicio. En Windows 8, simplemente vaya a la Pantalla de Inicio y empezar a teclear o mover el cursor del ratón a la parte superior o la parte inferior derecha de la pantalla para abrir el
Encantosde la barra y haga clic en
Búsqueda. A continuación, sólo tienes que escribir en
gpedit. Ahora usted debería ver algo similar a la imagen de abajo:


 group-policy-editor.jpg.optimal

Hay dos categorías principales de las políticas:
Usuarioy
Equipo. Como usted puede haber adivinado, el usuario de las políticas de control de la configuración para cada usuario, mientras que la configuración del equipo será de todo el sistema de configuración y afectará a todos los usuarios. En nuestro caso vamos a querer que nuestra configuración para todos los usuarios, así que vamos a ampliar la
Configuración del Equipode la sección.

Continuar con la expansión a
Configuración de Windows->
Configuración de Seguridad -> Directivas Locales -> Directiva de Auditoría. No voy a explicar mucho de los otros ajustes aquí, ya que este se centra principalmente en la auditoría de una carpeta. Ahora vamos a ver un conjunto de políticas y su configuración actual en el lado derecho. La directiva de auditoría es lo que controla si el sistema operativo está configurado y listo para el seguimiento de los cambios.


 audit-object-access.jpg.optimal

Ahora compruebe la configuración para
Auditoría de Acceso a Objetoshaciendo doble clic sobre él y seleccionando
Éxitoy
Error. Haga clic en ACEPTAR y ahora que hemos terminado la primera parte que es decirle a Windows que queremos estar listos para monitorear los cambios. Ahora el siguiente paso es decirle EXACTAMENTE qué queremos de la pista. Usted puede cerrar la consola de Directiva de Grupo ahora.

Ahora vaya a la carpeta con el Explorador de Windows que desea supervisar. En el Explorador, haga clic derecho en la carpeta y haga clic en
Propiedades. Haga clic en el
Pestaña Seguridady verá algo similar a esto:


 explorer-security-tab.jpg.optimal

Ahora haga clic en el
Avanzadobotón y haga clic en el
Auditoríaficha. Aquí es donde en realidad, vamos a configurar lo que queremos monitorizar para esta carpeta.


 auditing-tab-windows.jpg.optimal

siga adelante y haga clic en el
Agregarbotón. Aparecerá un cuadro de diálogo que le pedirá que seleccione un Usuario o Grupo. En el cuadro de, escriba la palabra ”
usuarios” y haga clic en
Verificación de Nombres. El cuadro se actualizará automáticamente con el nombre del grupo de usuarios local para su equipo en el formulario
COMPUTERNAMEUsers.


 user-group-permissions.jpg.optimal

haga Clic en ACEPTAR y ahora tendrás otro cuadro de diálogo llamado ”
Entrada de Auditoría para X“. Esta es la verdadera carne de lo que he estado queriendo hacer. Aquí es donde vas a seleccionar lo que quieres ver para esta carpeta. Usted puede elegir en qué tipo de actividad que desea realizar un seguimiento, tales como la eliminación o creación de nuevos archivos/carpetas, etc. Para facilitar las cosas, sugiero selección Completa de Control, que seleccionará automáticamente todas las otras opciones que aparecen debajo. Hacer esto para
Éxitoy
Error. De esta manera, lo que se hace para que la carpeta o los archivos dentro de ella, se tiene un registro.


 audit-permissions-explorer.jpg.optimal

Ahora, haga clic en ACEPTAR y haga clic en ACEPTAR de nuevo y ACEPTAR una vez más para salir de las múltiples cuadro de diálogo conjunto. Y ahora que ha configurado correctamente la auditoría en una carpeta! Así que usted puede preguntar, ¿cómo se puede ver los eventos?

para ver los eventos, es necesario ir al Panel de Control y haga clic en
Herramientas Administrativas. A continuación, abra el
Visor de Sucesos. Haga clic en el
Seguridadde la sección y verás una gran listado de eventos en el lado derecho:


 event-viewer-security.jpg.optimal

Si usted seguir adelante y crear un archivo o simplemente abra la carpeta y haga clic en el botón Actualizar en el Visor de Sucesos (el botón con dos flechas verdes), podrás ver un montón de eventos en la categoría de
Sistema de Archivos. Estos pertenecen a eliminar, crear, leer, las operaciones de escritura en las carpetas/archivos que están en la auditoría. En Windows 7, todo lo que ahora se muestra en el marco de la tarea Sistema de Archivos de la categoría, por lo que en el fin de ver lo que pasó, tendrás que hacer clic en cada uno y desplazarse a través de él.

con el fin De hacer más fácil mirar a través de muchos eventos, usted puede poner un filtro y sólo hay que ver las cosas importantes. Haga clic en el
Vermenú en la parte superior y haga clic en
Filtro. Si no existe la opción de Filtro, a continuación, haga clic derecho en el registro de Seguridad en la página de la izquierda y elegir
Filtro de Registro Actual. En el Caso de ID, escriba en el número de
4656. Este es el evento asociado a un usuario en particular la realización de una
Sistema de Archivos acción y le dará la información relevante sin tener que buscar a través de miles de entradas.


 filter-log1.jpg.optimal

Si desea obtener más información acerca de un evento, simplemente haga doble clic en él para ver.


 event-id-delete.jpg.optimal

Esta es la información de la pantalla de arriba:

Un identificador de objeto solicitado.

Asunto:

IDENTIFICADOR de Seguridad: Aseem-LenovoAseem

Nombre de la Cuenta: Aseem

Dominio de Cuenta: Aseem-Lenovo

ID de Inicio de sesión: 0x175a1

Objeto:

Servidor de Objetos: Seguridad

Tipo de Objeto: Archivo

Nombre de Objeto: C:UsersAseemDesktopTufuNew Texto Document.txt

IDENTIFICADOR: 0x16a0

Información de Proceso:

IDENTIFICADOR de Proceso: 0x820

Nombre de Proceso: C:Windowsexplorer.exe

Solicitud de Acceso a la Información:

ID de Transacción: {00000000-0000-0000-0000-000000000000}

Accesos: ELIMINAR

SINCRONIZAR

ReadAttributes

En el ejemplo anterior, el archivo trabajado en la era Nuevo Texto Document.txt en el Tufu carpeta en mi escritorio y los accesos que pedí fueron ELIMINAR seguido por SINCRONIZAR. Lo que yo he hecho es borrar el archivo. He aquí otro ejemplo:

Tipo de Objeto: Archivo

Nombre de Objeto: C:UsersAseemDesktopTufuAddress Labels.docx

IDENTIFICADOR: 0x178

Información de Proceso:

IDENTIFICADOR de Proceso: 0x1008

Nombre de Proceso: C:Program Files (x86)Microsoft OfficeOffice14WINWORD.EXE

Solicitud de Acceso a la Información:

ID de Transacción: {00000000-0000-0000-0000-000000000000}

Accesos: READ_CONTROL

SINCRONIZAR

ReadData (o ListDirectory)

WriteData (o AddFile)

AppendData (o AddSubdirectory o CreatePipeInstance)

ReadEA

WriteEA

ReadAttributes

WriteAttributes

Acceso Razones: READ_CONTROL: Otorgado por la Propiedad

SINCRONIZAR: dada por D: A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

a Medida que se lee a través de este, se puede ver que acceder a la Dirección Labels.docx el uso de la WINWORD.EXE programa y mi accesos incluido READ_CONTROL y mi acceso razones fueron también READ_CONTROL. Por lo general, usted verá un montón más de accesos, pero sólo se centran en el primero ya que suele ser el principal tipo de acceso. En este caso, simplemente he abierto el archivo con Word. Se tarda un poco en las pruebas de lectura y a través de los acontecimientos para entender lo que está pasando, pero una vez que lo tienes, es una muy confiable del sistema. Sugiero la creación de una carpeta de prueba con los archivos y la realización de diversas acciones para ver lo que se muestra en el Visor de Sucesos.

Eso es todo! Una rápida y gratuita para la pista de acceso o cambios a una carpeta!

Dejar respuesta

Please enter your comment!
Please enter your name here