Il existe une petite fonctionnalité intégrée à Windows qui vous permet de suivre quand quelqu'un regarde, édite ou supprime quelque chose dans un dossier spécifié. Donc, s'il y a un dossier ou un fichier que vous voulez savoir qui accède, alors c'est la méthode intégrée sans avoir à utiliser un logiciel tiers.
Cette fonctionnalité fait partie d'une fonctionnalité de sécurité de Windows appelé Stratégie de groupe, utilisé par la plupart des professionnels de l'informatique qui gèrent des ordinateurs dans le réseau d'entreprise via des serveurs, il peut également être utilisé localement sur un PC sans serveur. Le seul inconvénient de l'utilisation de la stratégie de groupe est qu'elle n'est pas disponible dans les versions inférieures de Windows. Pour Windows 7, vous devez avoir Windows 7 Professionnel ou supérieur. Pour Windows 8, vous avez besoin de Pro ou d'Enterprise.
Le terme Stratégie de groupe désigne essentiellement un ensemble de paramètres de registre pouvant être contrôlés via une interface utilisateur graphique. Vous activez ou désactivez divers paramètres et ces modifications sont ensuite mises à jour dans le registre Windows.
Dans Windows XP, pour accéder à l'éditeur de règles, cliquez sur Démarrer, puis sur ExécuterDans la zone de texte, tapez "gpedit.msc" sans les guillemets comme indiqué ci-dessous:
Dans Windows 7 , vous devez simplement cliquer sur le bouton Démarrer et taper gpedit.mscdans la zone de recherche au bas du menu Démarrer. Dans Windows 8, accédez simplement à l'écran de démarrage et commencez à taper ou déplacez le curseur de votre souris vers le haut ou le bas à droite de l'écran pour ouvrir la barre Charmset cliquez sur Rechercher. Ensuite, tapez simplement gpedit. Vous devriez maintenant voir quelque chose qui ressemble à l'image ci-dessous:
Il existe deux catégories de politiques: Utilisateuret Ordinateur. Comme vous l'avez peut-être deviné, les stratégies de l'utilisateur contrôlent les paramètres pour chaque utilisateur alors que les paramètres de l'ordinateur seront des paramètres à l'échelle du système et affecteront tous les utilisateurs. Dans notre cas, nous voulons que notre paramètre soit pour tous les utilisateurs, nous allons donc développer la section Configuration de l'ordinateur.
Continuez à développer Paramètres Windows - & gt; Paramètres de sécurité - & gt; Politiques locales - & gt; Politique d'audit. Je ne vais pas expliquer beaucoup d'autres paramètres ici, car cela est principalement axé sur l'audit d'un dossier. Maintenant, vous verrez un ensemble de stratégies et leurs paramètres actuels sur le côté droit. La stratégie d'audit détermine si le système d'exploitation est configuré et prêt à suivre les modifications.
Vérifiez maintenant le paramètre Audit. Accès aux objetsen double-cliquant dessus et en sélectionnant Succèset Échec. Cliquez sur OK et maintenant nous avons terminé la première partie qui indique à Windows que nous voulons qu'il soit prêt à surveiller les changements. Maintenant, la prochaine étape est de dire exactement ce que nous voulons suivre. Vous pouvez maintenant fermer la console de stratégie de groupe.
Naviguez maintenant vers le dossier en utilisant l'Explorateur Windows que vous souhaitez surveiller. Dans l'Explorateur, cliquez avec le bouton droit sur le dossier et cliquez sur Propriétés. Cliquez sur l'onglet Sécuritéet vous verrez quelque chose de similaire:
Cliquez maintenant sur le bouton Avancéet cliquez sur l'onglet Audit. C'est ici que nous allons configurer ce que nous voulons surveiller pour ce dossier.
Allez-y et cliquez sur Ajouterbouton. Une boîte de dialogue apparaîtra vous demandant de sélectionner un utilisateur ou un groupe. Dans la zone, tapez le mot "utilisateurs" et cliquez sur Vérifier les noms. La boîte se met automatiquement à jour avec le nom du groupe d'utilisateurs local pour votre ordinateur au format COMPUTERNAME \ Users.
Cliquez sur OK et vous obtiendrez une autre boîte de dialogue appelée Audit Entry for X". C'est la vraie viande de ce que nous avons voulu faire. Voici où vous sélectionnez ce que vous voulez regarder pour ce dossier. Vous pouvez choisir individuellement les types d'activité que vous souhaitez suivre, comme la suppression ou la création de nouveaux fichiers / dossiers, etc. Pour faciliter les choses, je suggère de sélectionner Contrôle total, qui sélectionnera automatiquement toutes les autres options en dessous. Faites-le pour Réussiteet Échec. De cette façon, tout ce qui est fait pour ce dossier ou les fichiers qu'il contient, vous aurez un enregistrement.
Maintenant cliquez sur OK et cliquez à nouveau sur OK et OK une fois de plus pour sortir de l'ensemble de boîtes de dialogue multiples. Et maintenant vous avez configuré avec succès l'audit sur un dossier! Vous pouvez donc demander, comment visualiser les événements?
Pour afficher les événements, vous devez aller dans le Panneau de configuration et cliquer sur Outils d'administration. Ensuite, ouvrez le Observateur d'événements. Cliquez sur la section Sécuritéet vous verrez une grande liste d'événements sur le côté droit:
Si vous continuez et créez un fichier ou ouvrez simplement le dossier et cliquez sur le bouton Actualiser dans l'Observateur d'événements (le bouton avec les deux flèches vertes), vous verrez un tas d'événements dans la catégorie Système de fichiers . Elles concernent toutes les opérations de suppression, de création, de lecture et d'écriture sur les dossiers / fichiers que vous auditez. Dans Windows 7, tout apparaît désormais sous la catégorie de tâche Système de fichiers. Pour voir ce qui s'est passé, vous devez cliquer sur chacun d'eux et le parcourir.
Pour faciliter la tâche regarder à travers tant d'événements, vous pouvez mettre un filtre et juste voir les choses importantes. Cliquez sur le menu Afficheren haut et cliquez sur Filtre. S'il n'y a pas d'option pour le filtre, cliquez avec le bouton droit sur le journal de sécurité dans la page de gauche et choisissez Filtrer le journal actuel. Dans la zone ID d'événement, tapez le numéro 4656. C'est l'événement associé à un utilisateur particulier effectuant une action Système de fichierset qui vous donnera les informations pertinentes sans avoir à parcourir des milliers d'entrées.
Si vous souhaitez obtenir plus d'informations sur un événement, double-cliquez simplement dessus pour l'afficher.
Voici les informations de l'écran ci-dessus:
Un handle vers un objet a été demandé.
Objet:
ID de sécurité: Aseem-Lenovo \ Aseem
Nom du compte: Aseem
Domaine du compte: Aseem-Lenovo
Objet:
Serveur d'objet: Sécurité
Type d'objet: Fichier
Nom de l'objet: C : \ Users \ Aseem \ Desktop \ Tufu \ Nouveau document de texte .txt
ID de handle: 0x16a0
Informations sur le processus:
ID du processus: 0x820
Nom du processus: C: \ Windows \ explorer.exe
Informations sur la demande d'accès:
ID de transaction: {00000000-0000-0000-0000-000000000000}
Accès: DELETE
SYNCHRONISEReadAttributes
Dans l'exemple ci-dessus, le fichier travaillé était New Text Document.txt dans le dossier Tufu sur mon bureau et les accès que j'avais demandés étaient DELETE suivi par SYNCHRONIZE. Ce que j'ai fait ici était supprimer le fichier. Voici un autre exemple:
Type d'objet: Fichier
Nom de l'objet: C: \ Utilisateurs \ Aseem \ Desktop \ Tufu \ Adresse Labels.docx
ID de la poignée: 0x178
Informations sur le processus:
ID du processus: 0x1008
Nom du processus: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informations sur la demande d'accès:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accès: READ_CONTROL
SYNCHRONISER
ReadData (ou ListDirectory)
WriteData (ou AddFile)
AppendData (ou AddSubdirectory ou CreatePipeInstance)ReadEA
WriteEAReadAttributesWriteAttributes
Raisons d'accès: READ_CONTROL: octroyé par propriété
SYNCHRONISE: Accordée par D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Lorsque vous lisez ceci, vous pouvez voir que j'ai accédé à Address Labels.docx en utilisant le programme WINWORD.EXE suis et mes accès inclus READ_CONTROL et mes raisons d'accès étaient aussi READ_CONTROL. Habituellement, vous verrez un plus grand nombre d'accès, mais concentrez-vous sur le premier car c'est généralement le type principal d'accès. Dans ce cas, j'ai simplement ouvert le fichier en utilisant Word. Il faut un peu de test et de lecture à travers les événements pour comprendre ce qui se passe, mais une fois que vous l'avez, c'est un système très fiable. Je suggère de créer un dossier de test avec des fichiers et d'effectuer diverses actions pour voir ce qui apparaît dans l'Observateur d'événements.
C'est à peu près tout! Un moyen rapide et gratuit de suivre l'accès ou les modifications apportées à un dossier!