Há um belo recurso embutido no Windows que permite rastrear quando alguém visualiza, edita ou exclui algo dentro de uma pasta especificada. Portanto, se houver uma pasta ou arquivo que você queira saber quem está acessando, esse é o método integrado sem precisar usar software de terceiros.
Esse recurso é, na verdade, parte de um recurso de segurança do Windows. chamado de Diretiva de Grupo, que é usado pela maioria dos profissionais de TI que gerenciam computadores na rede corporativa por meio de servidores, mas também pode ser usado localmente em um PC sem nenhum servidor. A única desvantagem de usar a Diretiva de Grupo é que ela não está disponível em versões inferiores do Windows. Para o Windows 7, você precisa ter o Windows 7 Professional ou superior. Para o Windows 8, você precisa de Pro ou Enterprise.
O termo Diretiva de Grupo refere-se basicamente a um conjunto de configurações de registro que podem ser controladas por meio de uma interface gráfica do usuário. Você ativa ou desativa várias configurações e essas edições são atualizadas no registro do Windows.
No Windows XP, para acessar o editor de políticas, clique em Iniciare, em seguida, em Executar. Na caixa de texto, digite “gpedit.msc” sem as aspas conforme mostrado abaixo:
No Windows 7 , basta clicar no botão Iniciar e digitar gpedit.mscna caixa de pesquisa na parte inferior do menu Iniciar. No Windows 8, simplesmente vá para a tela inicial e comece a digitar ou mova o cursor do mouse para a parte superior ou inferior direita da tela para abrir a barra Charmse clique em Pesquisar. Em seguida, basta digitar gpedit. Agora você deve ver algo semelhante à imagem abaixo:
Existem duas categorias principais de políticas: Usuárioe Computador. Como você deve ter adivinhado, as políticas do usuário controlam as configurações para cada usuário, enquanto as configurações do computador serão configurações do sistema e afetarão todos os usuários. No nosso caso, queremos que nossa configuração seja para todos os usuários, por isso expandiremos a seção Configuração do computador.
Continuar expandindo para Configurações do Windows - & gt; Configurações de segurança - & gt; Políticas locais - & gt; Política de Auditoria. Não vou explicar muitas das outras configurações aqui, pois isso é focado principalmente na auditoria de uma pasta. Agora você verá um conjunto de políticas e suas configurações atuais no lado direito. A política de auditoria é o que controla se o sistema operacional está ou não configurado e pronto para acompanhar as alterações.
Verifique agora a configuração de Auditoria Acesso a objetosclicando duas vezes sobre ele e selecionando Sucessoe Falha. Clique em OK e, agora, concluímos a primeira parte que informa ao Windows que queremos que ele esteja pronto para monitorar as alterações. Agora o próximo passo é dizer exatamente o que queremos acompanhar. Você pode fechar o console da Diretiva de Grupo agora.
Agora, navegue até a pasta usando o Windows Explorer que gostaria de monitorar. No Explorer, clique com o botão direito na pasta e clique em Propriedades. Clique na Guia Segurançae você verá algo parecido com isto:
Agora clique no botão Avançadoe clique na guia Auditoria. É aqui que vamos configurar o que queremos monitorar para essa pasta.
Vá em frente e clique no botão Adicionar
. botão forte>. Uma caixa de diálogo aparecerá pedindo para você selecionar um usuário ou grupo. Na caixa, digite a palavra “users” e clique em Check Names. A caixa será atualizada automaticamente com o nome do grupo de usuários locais do seu computador na forma COMPUTERNAME \ Users.Clique em OK e agora você terá outra caixa de diálogo chamada “Entrada de Auditoria para X“. Esta é a verdadeira carne do que temos desejado fazer. Aqui é onde você selecionará o que deseja assistir para esta pasta. Você pode escolher individualmente quais tipos de atividade deseja acompanhar, como excluir ou criar novos arquivos / pastas, etc. Para facilitar, sugiro selecionar Controle total, que selecionará automaticamente todas as outras opções abaixo dela. Faça isso para Sucessoe Falha. Desta forma, o que quer que seja feito para essa pasta ou os arquivos dentro dela, você terá um registro.
Agora clique em OK e clique em OK novamente e OK mais uma vez para sair do conjunto de caixas de diálogo múltiplas. E agora você configurou com sucesso a auditoria em uma pasta! Então, você pode perguntar, como você vê os eventos?
Para visualizar os eventos, você precisa ir ao Painel de Controle e clicar em Ferramentas Administrativas. Em seguida, abra o Visualizador de Eventos. Clique na seção Segurançae você verá uma grande lista de eventos no lado direito:
Se você for em frente e criar um arquivo ou simplesmente abrir a pasta e clicar no botão Atualizar no Visualizador de Eventos (o botão com as duas setas verdes), você verá vários eventos na categoria do Sistema de Arquivos Eles pertencem a qualquer operação de exclusão, criação, leitura e gravação nas pastas / arquivos que você está auditando. No Windows 7, tudo agora aparece na categoria de tarefa Sistema de arquivos, portanto, para ver o que aconteceu, você terá que clicar em cada um deles e percorrê-lo.
Para tornar mais fácil olhar através de tantos eventos, você pode colocar um filtro e apenas ver as coisas importantes. Clique no menu Visualizarna parte superior e clique em Filtrar. Se não houver opção para Filtro, clique com o botão direito do mouse no log de segurança na página à esquerda e escolha Filtrar log atual. Na caixa Identificação do evento, digite o número 4656. Este é o evento associado a um usuário em particular que executa uma ação Sistema de Arquivose fornece as informações relevantes sem precisar examinar milhares de entradas.
Se você deseja obter mais informações sobre um evento, basta clicar duas vezes nele para ver.
Esta é a informação da tela acima:
Um identificador para um objeto foi solicitado.
Assunto:
ID de segurança: Aseem-Lenovo \ Aseem
Nome da conta: Aseem
Domínio da conta: Aseem-Lenovo
ID de logon: 0x175a1
Objeto:
Objeto Servidor: Segurança
Tipo de objeto: Arquivo
Nome do objeto: C : \ Users \ Aseem \ Desktop \ Tufu \ Novo documento de texto.txt
ID do identificador: 0x16a0
Informações do processo:
ID do processo: 0x820
Nome do processo: C: \ Windows \ explorer.exe
Informações de solicitação de acesso:
ID da transação: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZEReadAttributes
No exemplo acima, o arquivo trabalhado era New Text Document.txt na pasta Tufu na minha área de trabalho e os acessos que solicitei eram DELETE seguidos por SYNCHRONIZE. O que eu fiz aqui foi deletar o arquivo. Aqui está outro exemplo:
Tipo de objeto: arquivo
Nome do objeto: C: \ Usuários \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Identificador de identificador: 0x178
Informações do processo:
ID do processo: 0x1008
Nome do processo: C: \ Arquivos de programas (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informações sobre solicitação de acesso:
Transação ID: {00000000-0000-0000-0000-000000000000}
Acessa: READ_CONTROL
SYNCHRONIZE
ReadData (ou ListDirectory)
WriteData (ou AddFile)
AppendData (ou AddSubdirectory ou CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Razões do acesso: READ_CONTROL: Concedido por propriedade
SYNCHRONISE: Concedido por D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Enquanto você lê isso, você pode ver que eu acessei Address Labels.docx usando o programa WINWORD.EXE am e meus acessos incluídos READ_CONTROL e meus motivos de acesso também eram READ_CONTROL. Normalmente, você verá mais acessos, mas focar no primeiro, pois esse geralmente é o principal tipo de acesso. Neste caso, eu simplesmente abri o arquivo usando o Word. É preciso fazer um pequeno teste e ler os eventos para entender o que está acontecendo, mas, depois de desativado, é um sistema muito confiável. Sugiro criar uma pasta de teste com arquivos e realizar várias ações para ver o que aparece no Visualizador de Eventos.
Isso é muito bonito! Uma maneira rápida e gratuita de rastrear o acesso ou alterações em uma pasta!