Como rastrear quando alguém acessa uma pasta no seu computador
Há um belo recurso embutido no Windows que permite rastrear quando alguém visualiza, edita ou exclui algo dentro de uma pasta especificada. Portanto, se houver uma pasta ou arquivo que você queira saber quem está acessando, esse é o método integrado sem precisar usar software de terceiros.
Esse recurso é, na verdade, parte de um recurso de segurança do Windows chamado Política de grupo, que é usado pela maioria dos profissionais de TI que gerenciam computadores na rede corporativa por meio de servidores, mas também pode ser usado localmente em um PC sem nenhum servidor. A única desvantagem de usar a Diretiva de Grupo é que ela não está disponível em versões inferiores do Windows. Para o Windows 7, você precisa ter o Windows 7 Professional ou superior. Para o Windows 8, você precisa de Pro ou Enterprise.
O termo Diretiva de Grupo refere-se basicamente a um conjunto de configurações de registro que podem ser controladas por meio de uma interface gráfica do usuário. Você ativa ou desativa várias configurações e essas edições são atualizadas no registro do Windows.
No Windows XP, para chegar ao editor de políticas, clique em Começar e depois Corre. Na caixa de texto, digite “gpedit.msc”Sem as cotações como mostrado abaixo:
No Windows 7, basta clicar no botão Iniciar e digitar gpedit.msc na caixa de pesquisa na parte inferior do menu Iniciar. No Windows 8, simplesmente vá para a tela inicial e comece a digitar ou mova o cursor do mouse para o canto superior ou inferior direito da tela para abrir a tela. Encantos barra e clique em Procurar. Então basta digitar gpedit. Agora você deve ver algo semelhante à imagem abaixo:
Existem duas categorias principais de políticas: Do utilizador e Computador. Como você deve ter adivinhado, as políticas do usuário controlam as configurações de cada usuário, enquanto as configurações do computador serão configurações do sistema e afetarão todos os usuários. No nosso caso, vamos querer que a nossa configuração seja para todos os usuários, então vamos expandir o Configuração do Computador seção.
Continue expandindo para Configurações do Windows -> Configurações de segurança -> Políticas locais -> Política de auditoria. Não vou explicar muitas das outras configurações aqui, pois isso é focado principalmente na auditoria de uma pasta. Agora você verá um conjunto de políticas e suas configurações atuais no lado direito. Política de auditoria é o que controla se o sistema operacional está ou não configurado e pronto para rastrear alterações.
Agora verifique a configuração para Auditar o acesso ao objeto clicando duas vezes sobre ele e selecionando Sucesso e Falha. Clique em OK e agora terminamos a primeira parte que informa ao Windows que queremos que ele esteja pronto para monitorar as alterações. Agora o próximo passo é dizer exatamente o que queremos acompanhar. Você pode fechar o console da Diretiva de Grupo agora.
Agora navegue até a pasta usando o Windows Explorer que você gostaria de monitorar. No Explorer, clique com o botão direito na pasta e clique em Propriedades. Clique no Aba de Segurança e você vê algo semelhante a isto:
Agora clique no Avançado botão e clique no Auditoria aba. É aqui que vamos configurar o que queremos monitorar para esta pasta.
Vá em frente e clique no Adicionar botão. Uma caixa de diálogo aparecerá pedindo para você selecionar um usuário ou grupo. Na caixa, digite a palavra “ComercialE clique Verificar nomes. A caixa será atualizada automaticamente com o nome do grupo de usuários local do seu computador no formulário COMPUTERNAME \ Users.
Clique em OK e agora você terá outro diálogo chamado “Entrada de Auditoria para X“. Esta é a verdadeira carne do que temos desejado fazer. Aqui é onde você selecionará o que deseja assistir para esta pasta. Você pode escolher individualmente quais tipos de atividade deseja acompanhar, como excluir ou criar novos arquivos / pastas, etc. Para facilitar, sugiro selecionar Controle total, que selecionará automaticamente todas as outras opções abaixo dela. Faça isso por Sucesso e Falha. Desta forma, o que for feito para essa pasta ou os arquivos dentro dela, você terá um registro.
Agora clique em OK e clique em OK novamente e OK mais uma vez para sair do conjunto de caixas de diálogo múltiplas. E agora você configurou com sucesso a auditoria em uma pasta! Então você pode perguntar, como você vê os eventos?
Para ver os eventos, você precisa ir ao Painel de Controle e clicar em Ferramentas administrativas. Então abra o Visualizador de eventos. Clique no Segurança seção e você verá uma grande lista de eventos no lado direito:
Se você for em frente e criar um arquivo ou simplesmente abrir a pasta e clicar no botão Atualizar no Visualizador de Eventos (o botão com as duas setas verdes), você verá vários eventos na categoria Sistema de arquivo. Eles pertencem a qualquer operação de exclusão, criação, leitura e gravação nas pastas / arquivos que você está auditando. No Windows 7, tudo agora aparece na categoria de tarefa Sistema de arquivos, portanto, para ver o que aconteceu, você terá que clicar em cada um deles e percorrer o caminho..
Para facilitar a procura em tantos eventos, você pode colocar um filtro e ver as coisas importantes. Clique no Visão menu no topo e clique em Filtro. Se não houver opção para Filtro, clique com o botão direito do mouse no log de Segurança na página à esquerda e escolha Filtrar log atual. Na caixa Identificação do evento, digite o número 4656. Este é o evento associado a um usuário em particular que executa um Sistema de arquivo ação e lhe dará as informações relevantes sem ter que olhar através de milhares de entradas.
Se você quiser obter mais informações sobre um evento, basta clicar duas vezes nele para ver.
Esta é a informação da tela acima:
Um identificador para um objeto foi solicitado.
Sujeito:
ID de segurança: Aseem-Lenovo \ Aseem
Nome da conta: Aseem
Domínio da conta: Aseem-Lenovo
ID de identificação: 0x175a1
Objeto:
Servidor de Objetos: Segurança
Tipo de objeto: arquivo
Nome do objeto: C: \ Usuários \ Aseem \ Desktop \ Tufu \ Novo texto Document.txt
Identificador de identificador: 0x16a0
Processo de informação:
ID do processo: 0x820
Nome do processo: C: \ Windows \ explorer.exe
Informações de solicitação de acesso:
ID da transação: 00000000-0000-0000-0000-000000000000
Acessos: DELETE
SINCRONIZAR
ReadAttributes
No exemplo acima, o arquivo trabalhado era New Text Document.txt na pasta Tufu em minha área de trabalho e os acessos que solicitei eram DELETE, seguidos de SYNCHRONIZE. O que eu fiz aqui foi deletar o arquivo. Aqui está outro exemplo:
Tipo de objeto: arquivo
Nome do objeto: C: \ Usuários \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Identificador de identificador: 0x178
Processo de informação:
ID do processo: 0x1008
Nome do processo: C: \ Arquivos de programas (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informações de solicitação de acesso:
ID da transação: 00000000-0000-0000-0000-000000000000
Acessos: READ_CONTROL
SINCRONIZAR
ReadData (ou ListDirectory)
WriteData (ou AddFile)
AppendData (ou AddSubdirectory ou CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Motivos de acesso: READ_CONTROL: concedido pela propriedade
SINCRONIZAR: Concedido por D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Ao ler isso, você pode ver que eu acessei Address Labels.docx usando o programa WINWORD.EXE e meus acessos incluíram READ_CONTROL e meus motivos de acesso também eram READ_CONTROL. Normalmente, você verá mais acessos, mas focará apenas no primeiro, que geralmente é o principal tipo de acesso. Nesse caso, simplesmente abri o arquivo usando o Word. É preciso fazer um pequeno teste e ler os eventos para entender o que está acontecendo, mas uma vez que você está certo, é um sistema muito confiável. Sugiro criar uma pasta de teste com arquivos e executar várias ações para ver o que aparece no Visualizador de Eventos.
Isso é muito bonito! Uma maneira rápida e gratuita de rastrear o acesso ou alterações em uma pasta!