Hay un pequeño y agradable que se construye dentro de Windows que permite seguir cuando alguien visualiza, edita o borra algo en el interior de una carpeta especificada. Así que si hay una carpeta o el archivo que desea saber quién tiene acceso, entonces este es el método integrado sin tener que utilizar software de terceros.
Esta característica es en realidad parte de un Windows característica de seguridad llamada
Directiva de Grupo, el cual es utilizado por la mayoría de los Profesionales de TI que administrar los equipos de la red corporativa a través de los servidores, sin embargo, también puede ser utilizado localmente en un PC sin ningún tipo de servidores. La única desventaja de usar la Directiva de Grupo es que no está disponible en versiones anteriores de Windows. Para Windows 7, usted necesita tener Windows 7 Professional o superior. Para Windows 8, usted necesita Pro o Enterprise.
El plazo de Directiva de Grupo se refiere básicamente a un conjunto de valores del registro que puede ser controlado a través de una interfaz gráfica de usuario. Activar o desactivar varias opciones de configuración y estas modificaciones se actualizan en el registro de Windows.
En Windows XP, para llegar a el editor de directivas, haga clic en
Inicioy, a continuación,
Ejecutar. En el cuadro de texto, escriba ”
gpedit.msc” sin las comillas, como se muestra a continuación:
En Windows 7, simplemente haga clic en el botón Inicio y escriba
gpedit.mscen el cuadro de búsqueda en la parte inferior del Menú Inicio. En Windows 8, simplemente vaya a la Pantalla de Inicio y empezar a teclear o mover el cursor del ratón a la parte superior o la parte inferior derecha de la pantalla para abrir el
Encantosde la barra y haga clic en
Búsqueda. A continuación, sólo tienes que escribir en
gpedit. Ahora usted debería ver algo similar a la imagen de abajo:
Hay dos categorías principales de las políticas:
Usuarioy
Equipo. Como usted puede haber adivinado, el usuario de las políticas de control de la configuración para cada usuario, mientras que la configuración del equipo será de todo el sistema de configuración y afectará a todos los usuarios. En nuestro caso vamos a querer que nuestra configuración para todos los usuarios, así que vamos a ampliar la
Configuración del Equipode la sección.
Continuar con la expansión a
Configuración de Windows->
Configuración de Seguridad -> Directivas Locales -> Directiva de Auditoría. No voy a explicar mucho de los otros ajustes aquí, ya que este se centra principalmente en la auditoría de una carpeta. Ahora vamos a ver un conjunto de políticas y su configuración actual en el lado derecho. La directiva de auditoría es lo que controla si el sistema operativo está configurado y listo para el seguimiento de los cambios.
Ahora compruebe la configuración para
Auditoría de Acceso a Objetoshaciendo doble clic sobre él y seleccionando
Éxitoy
Error. Haga clic en ACEPTAR y ahora que hemos terminado la primera parte que es decirle a Windows que queremos estar listos para monitorear los cambios. Ahora el siguiente paso es decirle EXACTAMENTE qué queremos de la pista. Usted puede cerrar la consola de Directiva de Grupo ahora.
Ahora vaya a la carpeta con el Explorador de Windows que desea supervisar. En el Explorador, haga clic derecho en la carpeta y haga clic en
Propiedades. Haga clic en el
Pestaña Seguridady verá algo similar a esto:
Ahora haga clic en el
Avanzadobotón y haga clic en el
Auditoríaficha. Aquí es donde en realidad, vamos a configurar lo que queremos monitorizar para esta carpeta.
siga adelante y haga clic en el
Agregarbotón. Aparecerá un cuadro de diálogo que le pedirá que seleccione un Usuario o Grupo. En el cuadro de, escriba la palabra ”
usuarios” y haga clic en
Verificación de Nombres. El cuadro se actualizará automáticamente con el nombre del grupo de usuarios local para su equipo en el formulario
COMPUTERNAMEUsers.
haga Clic en ACEPTAR y ahora tendrás otro cuadro de diálogo llamado ”
Entrada de Auditoría para X“. Esta es la verdadera carne de lo que he estado queriendo hacer. Aquí es donde vas a seleccionar lo que quieres ver para esta carpeta. Usted puede elegir en qué tipo de actividad que desea realizar un seguimiento, tales como la eliminación o creación de nuevos archivos/carpetas, etc. Para facilitar las cosas, sugiero selección Completa de Control, que seleccionará automáticamente todas las otras opciones que aparecen debajo. Hacer esto para
Éxitoy
Error. De esta manera, lo que se hace para que la carpeta o los archivos dentro de ella, se tiene un registro.
Ahora, haga clic en ACEPTAR y haga clic en ACEPTAR de nuevo y ACEPTAR una vez más para salir de las múltiples cuadro de diálogo conjunto. Y ahora que ha configurado correctamente la auditoría en una carpeta! Así que usted puede preguntar, ¿cómo se puede ver los eventos?
para ver los eventos, es necesario ir al Panel de Control y haga clic en
Herramientas Administrativas. A continuación, abra el
Visor de Sucesos. Haga clic en el
Seguridadde la sección y verás una gran listado de eventos en el lado derecho:
Si usted seguir adelante y crear un archivo o simplemente abra la carpeta y haga clic en el botón Actualizar en el Visor de Sucesos (el botón con dos flechas verdes), podrás ver un montón de eventos en la categoría de
Sistema de Archivos. Estos pertenecen a eliminar, crear, leer, las operaciones de escritura en las carpetas/archivos que están en la auditoría. En Windows 7, todo lo que ahora se muestra en el marco de la tarea Sistema de Archivos de la categoría, por lo que en el fin de ver lo que pasó, tendrás que hacer clic en cada uno y desplazarse a través de él.
con el fin De hacer más fácil mirar a través de muchos eventos, usted puede poner un filtro y sólo hay que ver las cosas importantes. Haga clic en el
Vermenú en la parte superior y haga clic en
Filtro. Si no existe la opción de Filtro, a continuación, haga clic derecho en el registro de Seguridad en la página de la izquierda y elegir
Filtro de Registro Actual. En el Caso de ID, escriba en el número de
4656. Este es el evento asociado a un usuario en particular la realización de una
Sistema de Archivos acción y le dará la información relevante sin tener que buscar a través de miles de entradas.
Si desea obtener más información acerca de un evento, simplemente haga doble clic en él para ver.
Esta es la información de la pantalla de arriba:
Un identificador de objeto solicitado.
Asunto:
IDENTIFICADOR de Seguridad: Aseem-LenovoAseem
Nombre de la Cuenta: Aseem
Dominio de Cuenta: Aseem-Lenovo
ID de Inicio de sesión: 0x175a1
Objeto:
Servidor de Objetos: Seguridad
Tipo de Objeto: Archivo
Nombre de Objeto: C:UsersAseemDesktopTufuNew Texto Document.txt
IDENTIFICADOR: 0x16a0
Información de Proceso:
IDENTIFICADOR de Proceso: 0x820
Nombre de Proceso: C:Windowsexplorer.exe
Solicitud de Acceso a la Información:
ID de Transacción: {00000000-0000-0000-0000-000000000000}
Accesos: ELIMINAR
SINCRONIZAR
ReadAttributes
En el ejemplo anterior, el archivo trabajado en la era Nuevo Texto Document.txt en el Tufu carpeta en mi escritorio y los accesos que pedí fueron ELIMINAR seguido por SINCRONIZAR. Lo que yo he hecho es borrar el archivo. He aquí otro ejemplo:
Tipo de Objeto: Archivo
Nombre de Objeto: C:UsersAseemDesktopTufuAddress Labels.docx
IDENTIFICADOR: 0x178
Información de Proceso:
IDENTIFICADOR de Proceso: 0x1008
Nombre de Proceso: C:Program Files (x86)Microsoft OfficeOffice14WINWORD.EXE
Solicitud de Acceso a la Información:
ID de Transacción: {00000000-0000-0000-0000-000000000000}
Accesos: READ_CONTROL
SINCRONIZAR
ReadData (o ListDirectory)
WriteData (o AddFile)
AppendData (o AddSubdirectory o CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Acceso Razones: READ_CONTROL: Otorgado por la Propiedad
SINCRONIZAR: dada por D: A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)
a Medida que se lee a través de este, se puede ver que acceder a la Dirección Labels.docx el uso de la WINWORD.EXE programa y mi accesos incluido READ_CONTROL y mi acceso razones fueron también READ_CONTROL. Por lo general, usted verá un montón más de accesos, pero sólo se centran en el primero ya que suele ser el principal tipo de acceso. En este caso, simplemente he abierto el archivo con Word. Se tarda un poco en las pruebas de lectura y a través de los acontecimientos para entender lo que está pasando, pero una vez que lo tienes, es una muy confiable del sistema. Sugiero la creación de una carpeta de prueba con los archivos y la realización de diversas acciones para ver lo que se muestra en el Visor de Sucesos.
Eso es todo! Una rápida y gratuita para la pista de acceso o cambios a una carpeta!