So verfolgen Sie, wenn jemand auf einen Ordner auf Ihrem Computer zugreift
In Windows(Windows) ist eine nette kleine Funktion integriert , mit der Sie nachverfolgen können, wenn jemand etwas in einem bestimmten Ordner anzeigt, bearbeitet oder löscht. Wenn Sie also wissen möchten, wer auf einen Ordner oder eine Datei zugreift, ist dies die integrierte Methode, ohne dass Sie Software von Drittanbietern verwenden müssen.
Diese Funktion ist eigentlich Teil einer Windows -Sicherheitsfunktion namens Gruppenrichtlinie( Group Policy) , die von den meisten IT(IT Professionals) -Experten verwendet wird , die Computer im Unternehmensnetzwerk über Server verwalten, sie kann jedoch auch lokal auf einem PC ohne Server verwendet werden. Der einzige Nachteil bei der Verwendung von Gruppenrichtlinien(Group Policy) besteht darin, dass sie in niedrigeren Versionen von Windows nicht verfügbar sind . Für Windows 7 benötigen Sie Windows 7 Professional oder höher. Für Windows 8 benötigen Sie Pro oder Enterprise .
Der Begriff Gruppenrichtlinie(Group Policy) bezieht sich im Wesentlichen auf eine Reihe von Registrierungseinstellungen, die über eine grafische Benutzeroberfläche gesteuert werden können. Sie aktivieren oder deaktivieren verschiedene Einstellungen und diese Änderungen werden dann in der Windows -Registrierung aktualisiert.
Um in Windows XP zum Richtlinieneditor zu gelangen, klicken Sie auf Start und dann auf Ausführen(Run) . Geben Sie in das Textfeld „ gpedit.msc “ ohne die Anführungszeichen ein, wie unten gezeigt:
Unter Windows 7 klicken Sie einfach auf die Schaltfläche Start und (Start)geben gpedit.msc( gpedit.msc) in das Suchfeld unten im Startmenü ein(Start Menu) . Gehen Sie unter Windows 8 einfach zum Startbildschirm(Start Screen) und beginnen Sie mit der Eingabe oder bewegen Sie Ihren Mauszeiger ganz nach oben oder unten rechts auf dem Bildschirm, um die Charms -Leiste zu öffnen, und klicken Sie auf Suchen(Search) . Geben Sie dann einfach gpedit ein(gpedit) . Jetzt sollten Sie etwas sehen, das dem Bild unten ähnelt:
Es gibt zwei Hauptkategorien von Richtlinien: Benutzer(User) und Computer . Wie Sie vielleicht erraten haben, steuern die Benutzerrichtlinien die Einstellungen für jeden Benutzer, während die Computereinstellungen systemweite Einstellungen sind und sich auf alle Benutzer auswirken. In unserem Fall möchten wir, dass unsere Einstellung für alle Benutzer gilt, also erweitern wir den Abschnitt Computerkonfiguration(Computer Configuration) .
Erweitern Sie weiter zu Windows-Einstellungen(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy . Ich werde hier nicht viele der anderen Einstellungen erklären, da sich diese hauptsächlich auf die Überwachung eines Ordners konzentrieren. Jetzt sehen Sie auf der rechten Seite eine Reihe von Richtlinien und ihre aktuellen Einstellungen. Die Überwachungsrichtlinie steuert, ob das Betriebssystem konfiguriert und bereit ist, Änderungen zu verfolgen.
Überprüfen Sie nun die Einstellung für Audit Object Access , indem Sie darauf doppelklicken und sowohl Success als auch Failure auswählen . Klicken Sie auf OK(Click OK) und jetzt sind wir mit dem ersten Teil fertig, der Windows mitteilt, dass es bereit sein soll, Änderungen zu überwachen. Jetzt ist der nächste Schritt, ihm zu sagen, was GENAU(EXACTLY) wir verfolgen wollen. Sie können die Gruppenrichtlinienkonsole(Group Policy) jetzt schließen.
Navigieren Sie nun mit dem Windows Explorer zu dem Ordner , den Sie überwachen möchten. Klicken Sie im Explorer mit der rechten Maustaste auf den Ordner und klicken Sie auf Eigenschaften(Properties) . Klicken Sie auf die Registerkarte Sicherheit( Security Tab) und Sie sehen etwas Ähnliches:
Klicken Sie nun auf die Schaltfläche Erweitert(Advanced) und dann auf die Registerkarte Auditing . Hier konfigurieren wir tatsächlich, was wir für diesen Ordner überwachen möchten.
Fahren Sie fort und klicken Sie auf die Schaltfläche Hinzufügen . (Add)Es erscheint ein Dialogfeld, in dem Sie aufgefordert werden, einen Benutzer(User) oder eine Gruppe(Group) auszuwählen . Geben Sie in das Feld das Wort „ Benutzer(users) “ ein und klicken Sie auf Namen überprüfen(Check Names) . Das Feld wird automatisch mit dem Namen der lokalen Benutzergruppe für Ihren Computer in der Form COMPUTERNAME\Users aktualisiert .
Klicken Sie auf OK(Click OK) und Sie erhalten nun einen weiteren Dialog mit dem Namen „ Audit Entry for X “. Das ist das wahre Fleisch dessen, was wir tun wollten. Hier wählen Sie aus, was Sie für diesen Ordner überwachen möchten. Sie können individuell auswählen, welche Arten von Aktivitäten Sie verfolgen möchten, z. B. das Löschen oder Erstellen neuer Dateien/Ordner usw. Um die Dinge einfacher zu machen, schlage ich vor, Vollzugriff zu wählen ,(Full Control) wodurch automatisch alle anderen Optionen darunter ausgewählt werden. Tun Sie dies für Erfolg(Success) und Misserfolg(Failure) . Auf diese Weise haben Sie eine Aufzeichnung, was auch immer mit diesem Ordner oder den darin enthaltenen Dateien gemacht wird.
Klicken Sie nun auf OK und erneut auf OK und noch einmal auf OK, um den Satz mehrerer Dialogfelder zu verlassen. Und jetzt haben Sie die Überwachung für einen Ordner erfolgreich konfiguriert! Sie könnten sich also fragen, wie sehen Sie die Ereignisse?
Um die Ereignisse anzuzeigen, müssen Sie zur Systemsteuerung gehen und auf (Control Panel)Verwaltung(Administrative Tools) klicken . Öffnen Sie dann die Ereignisanzeige(Event Viewer) . Klicken Sie auf den Abschnitt Sicherheit(Security) und Sie sehen auf der rechten Seite eine große Liste von Ereignissen:
Wenn Sie fortfahren und eine Datei erstellen oder einfach den Ordner öffnen und in der Ereignisanzeige auf die Schaltfläche (Event Viewer)Aktualisieren(Refresh) klicken (die Schaltfläche mit den beiden grünen Pfeilen), sehen Sie eine Reihe von Ereignissen in der Kategorie Dateisystem( File System) . Diese beziehen sich auf alle Lösch-, Erstellungs-, Lese- und Schreibvorgänge in den Ordnern/Dateien, die Sie überwachen. In Windows 7 wird jetzt alles in der Task-Kategorie Dateisystem angezeigt(File System) . Um zu sehen, was passiert ist, müssen Sie auf jedes klicken und durchblättern.
Um das Durchsuchen so vieler Ereignisse zu erleichtern, können Sie einen Filter setzen und nur die wichtigen Dinge sehen. Klicken Sie(Click) oben auf das Menü Ansicht und dann auf (View)Filter . Wenn es keine Option für Filter gibt, klicken Sie mit der rechten Maustaste auf das Sicherheitsprotokoll(Security) auf der linken Seite und wählen Sie Aktuelles Protokoll filtern(Filter Current Log) . Geben Sie im Feld Ereignis-ID die Nummer (Event ID)4656 ein . Dies ist das Ereignis, das einem bestimmten Benutzer zugeordnet ist, der eine Dateisystemaktion (File System ) ausführt , und liefert Ihnen die relevanten Informationen, ohne Tausende von Einträgen durchsuchen zu müssen.
Wenn Sie weitere Informationen zu einem Ereignis erhalten möchten, doppelklicken Sie einfach darauf, um es anzuzeigen.
Dies sind die Informationen aus dem obigen Bildschirm:
Es wurde ein Handle für ein Objekt angefordert.(A handle to an object was requested.)
Betreff: (Subject:)
Security ID: Aseem-Lenovo\Aseem
: ( Account Name: Aseem)
Aseem-Lenovo Anmelde- ( Account Domain: Aseem-Lenovo)
ID: 0x175a1( Logon ID: 0x175a1)
Objekt: (Object:)
Objektserver: Sicherheit Objekttyp ( Object Server: Security)
: Datei ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle-ID: 0x16a0
Prozessinformationen: (Process Information:)
Prozess-ID: 0x820 Prozessname ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Informationen zur Zugriffsanforderung: (Access Request Information:)
Transaktions-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Zugriffe: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
Im obigen Beispiel war die Datei, an der gearbeitet wurde, New Text Document.txt im Tufu- Ordner auf meinem Desktop, und die von mir angeforderten Zugriffe waren DELETE gefolgt von SYNCHRONIZE . Was ich hier getan habe, war die Datei zu löschen. Hier ist ein weiteres Beispiel:
Objekttyp : Datei ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle-ID: 0x178
Prozessinformationen: (Process Information:)
Prozess-ID: 0x1008 Prozessname ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Informationen zur Zugriffsanforderung: (Access Request Information:)
Transaktions-ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Zugriffe: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (oder ListDirectory) ( ReadData (or ListDirectory))
WriteData (oder AddFile) ( WriteData (or AddFile))
AppendData (oder AddSubdirectory oder CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Zugriffsgründe: READ_CONTROL: Gewährt vom Eigentümer ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Gewährt von D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
Während Sie dies durchlesen, können Sie sehen, dass ich mit dem Programm WINWORD.EXE auf (WINWORD.EXE)Address Labels.docx zugegriffen habe und meine Zugriffe READ_CONTROL beinhalteten und meine Zugriffsgründe auch READ_CONTROL waren . Normalerweise sehen Sie eine Reihe weiterer Zugriffe, aber konzentrieren Sie sich nur auf den ersten, da dies normalerweise die Hauptzugriffsart ist. In diesem Fall habe ich die Datei einfach mit Word geöffnet . Es erfordert ein wenig Testen und Durchlesen der Ereignisse, um zu verstehen, was vor sich geht, aber sobald Sie es im Griff haben, ist es ein sehr zuverlässiges System. Ich schlage vor, einen Testordner mit Dateien zu erstellen und verschiedene Aktionen durchzuführen, um zu sehen, was in der Ereignisanzeige angezeigt(Event Viewer) wird .
Das wars so ziemlich! Eine schnelle und kostenlose Möglichkeit, Zugriffe oder Änderungen an einem Ordner zu verfolgen!
Related posts
So erstellen Sie einen gesicherten und gesperrten Ordner in Windows XP
So speichern Sie Ihr Desktop-Icon-Layout in Windows XP, 7, 8
So beheben Sie den Fehler „Fehlende oder beschädigte NTFS.sys“ in Windows XP
Fernzugriff auf einen Windows XP- oder Windows Server 2003-Computer
Installieren Sie einen Netzwerkdrucker unter Windows XP mithilfe des Treiber-Setups
Es wurde ein Problem erkannt und Windows wurde heruntergefahren, um Schäden an Ihrem Computer zu vermeiden
So installieren Sie Windows 8 RTM auf Ihrem Computer -
Windows kann unter Windows 11/10 nicht auf freigegebene Ordner oder Laufwerke zugreifen
Microsoft Teams lässt sich auf Ihrem Computer nicht öffnen? 9 Korrekturen zum Ausprobieren
msvcr120.dll fehlt auf Ihrem Computer? 8 Möglichkeiten zur Behebung
Fix Ordner existiert nicht - Ursprungsfehler auf Windows-PC
Deaktivieren oder entfernen Sie „Ihr Computer ist möglicherweise gefährdet“ in Windows XP
So finden Sie das Modell Ihres Computers in Windows
So reparieren Sie den MBR in Windows XP und Vista
So blenden Sie andere WLAN-Netzwerke aus, wenn Sie sich mit Ihrem Computer verbinden
So ändern Sie den Standardbildbetrachter in Windows
Fehlerbehebung bei Problemen mit der drahtlosen Netzwerkverbindung von Windows XP
So installieren Sie eine WordPress-Testseite auf Ihrem Computer
So verwenden Sie Obsidian als persönliches Wiki auf Ihrem Computer
OTT erklärt: Was ist Bloatware und wie erkennt man sie auf Ihrem Computer?