كيفية تعقب عندما يصل شخص ما إلى مجلد على جهاز الكمبيوتر الخاص بك


هناك ميزة صغيرة لطيفة مضمنة في نظام التشغيل Windows تتيح لك تتبع متى يقوم شخص ما بعرض أو تعديل أو حذف شيء ما داخل مجلد محدد. لذا إذا كان هناك مجلد أو ملف تريد معرفة من يمكنه الوصول إليه ، فهذه هي الطريقة المضمنة دون الحاجة إلى استخدام برنامج تابع لجهة خارجية.

تعد هذه الميزة في الواقع جزءًا من ميزة أمان Windows يُسمى سياسة المجموعة، والتي يستخدمها معظم محترفي تقنية المعلومات الذين يديرون أجهزة الكمبيوتر في شبكة الشركة عبر الخوادم ، ومع ذلك ، يمكن استخدامها محليًا على جهاز كمبيوتر بدون أي خوادم. الجانب السلبي الوحيد لاستخدام "نهج المجموعة" هو أنه غير متوفر في إصدارات أقل من Windows. بالنسبة لنظام التشغيل Windows 7 ، يجب أن يكون لديك Windows 7 Professional أو أعلى. بالنسبة لنظام التشغيل Windows 8 ، تحتاج إلى Pro أو Enterprise.

يشير مصطلح "نهج المجموعة" بشكل أساسي إلى مجموعة من إعدادات التسجيل التي يمكن التحكم فيها من خلال واجهة مستخدم رسومية. يمكنك تمكين أو تعطيل الإعدادات المتنوعة ويتم تحديث هذه التعديلات في سجل Windows.

في نظام التشغيل Windows XP ، للوصول إلى محرر السياسة ، انقر فوق ابدأثم تشغيل. في مربع النص ، اكتب "gpedit.msc" بدون علامات الاقتباس كما هو موضح أدناه:

run gpedit

في Windows 7 ، ما عليك سوى النقر فوق الزر "ابدأ" ، ثم اكتب gpedit.mscفي مربع البحث أسفل القائمة "ابدأ". في Windows 8 ، ما عليك سوى الانتقال إلى شاشة البدء والبدء في كتابة أو تحريك مؤشر الماوس إلى أعلى أو أسفل يمين الشاشة لفتح شريط Charmsوالنقر على بحث>. ثم اكتب فقط في gpedit. الآن يجب أن ترى شيئًا مشابهًا للصورة أدناه:

group policy editor

هناك فئتان رئيسيتان للسياسات: المستخدمالكمبيوتر. كما قد تكون خمنت ، تتحكم سياسات المستخدم في إعدادات كل مستخدم بينما تكون إعدادات الكمبيوتر إعدادات على مستوى النظام وستؤثر على جميع المستخدمين. في حالتنا ، نريد أن يكون الإعداد الخاص بنا لجميع المستخدمين ، لذا سنقوم بتوسيع قسم تكوين الكمبيوتر.

استمر في التوسع إلى إعدادات Windows - & gt؛ إعدادات الحماية - & gt؛ السياسات المحلية - & gt؛ سياسة التدقيق. لن أشرح الكثير من الإعدادات الأخرى هنا لأن ذلك يركز بشكل أساسي على تدقيق مجلد. سترى الآن مجموعة من السياسات والإعدادات الحالية على الجانب الأيسر. سياسة التدقيق هي ما يتحكم في ما إذا كان نظام التشغيل مهيأًا ومستعدًا لتتبع التغييرات.

audit object access

الآن تحقق من الإعداد لـ التدقيق Object Accessبالنقر المزدوج عليها وتحديد كل من النجاحو الفشل. انقر على "موافق" ، والآن ننتهي من الجزء الأول الذي يخبر Windows أننا نريده أن يكون جاهزًا لمراقبة التغييرات. الخطوة التالية الآن هي معرفة ما نريد فعله بالضبط. يمكنك الإغلاق خارج وحدة تحكم نهج المجموعة الآن.

انتقل الآن إلى المجلد باستخدام مستكشف Windows الذي ترغب في مراقبته. في المتصفح ، انقر بزر الماوس الأيمن على المجلد وانقر على خصائص. انقر على علامة التبويب الأمانورأيت شيئًا مشابهًا لهذا:

explorer security tab

انقر الآن على الزر خيارات متقدمةوانقر على علامة التبويب التدوين. هذا هو المكان الذي سنقوم في الواقع بتكوين ما نريد مراقبته لهذا المجلد.

auditing tab windows

المضي قدما وانقر فوق إضافةزر. سيظهر مربع حوار يطالبك بتحديد مستخدم أو مجموعة. في المربع ، اكتب كلمة "المستخدمون" وانقر على التحقق من الأسماء. سيتم تحديث المربع تلقائيًا باسم مجموعة المستخدمين المحليين للكمبيوتر الخاص بك في النموذج COMPUTERNAME \ Users.

user group permissions

انقر على "موافق" وستحصل الآن على مربع حوار آخر يسمى "تدوين تدوينات الحساب لـ X". هذا هو اللحم الحقيقي لما كنا نرغب في فعله. إليك المكان الذي ستحدد فيه ما تريد مشاهدته لهذا المجلد. يمكنك اختيار أنواع النشاط التي تريد تتبعها بشكل فردي ، مثل حذف أو إنشاء ملفات / مجلدات جديدة ، إلخ. لتسهيل الأمور ، أقترح اختيار التحكم الكامل ، والذي سيحدد تلقائيًا جميع الخيارات الأخرى أدناه. افعل ذلك لـ النجاحو الفشل. بهذه الطريقة ، مهما كان ذلك المجلد أو الملفات الموجودة فيه ، سيكون لديك سجل.

audit permissions explorer

الآن انقر فوق موافق وانقر فوق موافق مرة أخرى ومرة واحدة لمزيد من الوقت للخروج من مجموعة مربع الحوار متعددة. والآن قمت بتكوين تدقيق بنجاح على مجلد! لذلك قد تسأل ، كيف يمكنك مشاهدة الأحداث؟

لعرض الأحداث ، عليك الانتقال إلى لوحة التحكم والنقر على أدوات إدارية. ثم افتح عارض الأحداث. انقر على قسم الأمانوستشاهد قائمة كبيرة بالأحداث على الجانب الأيسر:

event viewer security

إذا مضت إلى الأمام وقمت بإنشاء ملف أو ببساطة افتح المجلد ثم انقر فوق الزر Refresh في عارض الأحداث (الزر ذو السهام الخضراء) ، سترى مجموعة من الأحداث في فئة File System . هذه المتعلقة بأي حذف أو إنشاء أو قراءة أو كتابة العمليات على المجلدات / الملفات التي تدقيقها. في Windows 7 ، يظهر كل شيء الآن ضمن فئة مهام نظام الملفات ، لذلك من أجل معرفة ما حدث ، عليك النقر فوق كل واحدة والتصفح خلالها.

لجعل الأمر أسهل ننظر من خلال العديد من الأحداث ، يمكنك وضع فلتر ونرى فقط الاشياء الهامة. انقر على قائمة عرضفي الجزء العلوي وانقر على تصفية. إذا لم يكن هناك خيار للتصفية ، فانقر بزر الماوس الأيمن على سجل الأمان في الصفحة اليسرى واختر تصفية السجل الحالي. في المربع معرف الحدث ، اكتب الرقم 4656. هذا هو الحدث المرتبط بمستخدم معين يقوم بإجراء نظام الملفاتوسيمنحك المعلومات ذات الصلة دون الحاجة إلى النظر في آلاف الإدخالات.

filter log

إذا كنت ترغب في الحصول على مزيد من المعلومات حول حدث ما ، فما عليك سوى النقر المزدوج عليه لعرضه.

event id delete

هذه هي المعلومات من الشاشة أعلاه:

تم طلب مؤشر إلى كائن.

الموضوع:
معرّف الأمان: Aseem-Lenovo \ Aseem
اسم الحساب: Aseem
نطاق الحساب: Aseem-Lenovo
معرف تسجيل الدخول: 0x175a1

الكائن:
خادم الكائن: الأمان
نوع الكائن: ملف
اسم الكائن: C : \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
مؤشر التعامل: 0x16a0

معلومات العملية:
معرّف العملية: 0x820
اسم العملية: C: \ Windows \ explorer.exe

معلومات طلب الوصول:
معرّف المعاملة: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

في المثال أعلاه ، كان الملف الذي تم العمل عليه هو New Text Document.txt في مجلد Tufu على سطح المكتب وكانت عمليات الوصول التي طلبتها DELETE متبوعة بواسطة SYNCHRONIZE. ما فعلته هنا هو حذف الملف. إليك مثال آخر:

نوع الكائن: الملف
اسم الكائن: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
مقبض معرف: 0x178

معلومات العملية:
معرّف العملية: 0x1008
اسم العملية: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

معلومات طلب الوصول:
المعاملة الرقم: {00000000-0000-0000-0000-000000000000}
الوصول: READ_CONTROL
التزامن
ReadData (أو ListDirectory)
WriteData (أو AddFile)
AppendData (أو AddSubdirectory أو CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

أسباب الوصول: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D: (A؛ ID؛ FA ؛؛؛ S-1-5-21-597862309-2018615179-2090787082-1000)

أثناء قراءة هذا ، يمكنك رؤية الوصول إلى Address Labels.docx باستخدام برنامج WINWORD.EXE أنا و Accesses شملت READ_CONTROL وأسباب الوصول الخاصة بي كانت أيضا READ_CONTROL. عادة ، سترى حفنة المزيد من الوصول ، ولكن عليك فقط التركيز على المجموعة الأولى حيث إنها عادةً ما تكون نوع الوصول الرئيسي. في هذه الحالة ، أنا ببساطة فتح الملف باستخدام Word. لا يتطلب الأمر سوى القليل من الاختبار والقراءة خلال الأحداث لفهم ما يحدث ، ولكن بمجرد تعطيله ، يصبح نظامًا موثوقًا به للغاية. أقترح إنشاء مجلد اختبار يحتوي على ملفات وتنفيذ إجراءات مختلفة لمعرفة ما يظهر في "عارض الأحداث".

هذا إلى حد كبير! طريقة سريعة ومجانية لتتبع الوصول أو التغييرات إلى مجلد!

كيفية معرفة ان تم وصول رسائل البريد الالكتروني الى البريد المرسل اليه و الكشف ان تم فتحها و قرائتها

المنشورات ذات الصلة:


3.08.2014