Cara Melacak Ketika Seseorang Mengakses Folder di Komputer Anda

Ada fitur kecil yang bagus yang ada di Windows yang memungkinkan Anda melacak ketika seseorang melihat, mengedit, atau menghapus sesuatu di dalam folder tertentu. Jadi jika ada folder atau file yang ingin Anda ketahui siapa yang mengakses, maka ini adalah metode bawaan tanpa harus menggunakan perangkat lunak pihak ketiga.

Fitur ini sebenarnya bagian dari fitur keamanan Windows yang disebut Kebijakan Grup, yang digunakan oleh sebagian besar Profesional TI yang mengelola komputer di jaringan perusahaan melalui server, namun, juga dapat digunakan secara lokal pada PC tanpa server apa pun. Satu-satunya kelemahan menggunakan Kebijakan Grup adalah tidak tersedia di versi Windows yang lebih rendah. Untuk Windows 7, Anda harus memiliki Windows 7 Professional atau lebih tinggi. Untuk Windows 8, Anda memerlukan Pro atau Enterprise.

Istilah Kebijakan Grup pada dasarnya mengacu pada satu set pengaturan registri yang dapat dikontrol melalui antarmuka pengguna grafis. Anda mengaktifkan atau menonaktifkan berbagai pengaturan dan pengeditan ini kemudian diperbarui di registri Windows.

Di Windows XP, untuk menuju ke editor kebijakan, klik Mulai lalu Menjalankan. Di kotak teks, ketik "gpedit.msc”Tanpa tanda kutip seperti yang ditunjukkan di bawah ini:

Di Windows 7, Anda cukup mengklik tombol Start dan ketik gpedit.msc ke dalam kotak pencarian di bagian bawah Start Menu. Di Windows 8, cukup buka Layar Mulai dan mulai mengetik atau memindahkan kursor mouse Anda ke ujung kanan atas atau bawah layar untuk membuka Mantra bar dan klik Pencarian. Kemudian ketikkan saja gpedit. Sekarang Anda akan melihat sesuatu yang mirip dengan gambar di bawah ini:

Ada dua kategori utama kebijakan: Pengguna dan Komputer. Seperti yang mungkin sudah Anda duga, kebijakan pengguna mengontrol pengaturan untuk setiap pengguna sedangkan pengaturan komputer akan menjadi pengaturan seluruh sistem dan akan mempengaruhi semua pengguna. Dalam kasus kami, kami ingin pengaturan kami untuk semua pengguna, jadi kami akan memperluas Konfigurasi Komputer bagian.

Terus berkembang hingga Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Lokal -> Kebijakan Audit. Saya tidak akan menjelaskan banyak pengaturan lain di sini karena ini terutama difokuskan pada audit folder. Sekarang Anda akan melihat serangkaian kebijakan dan pengaturannya saat ini di sisi kanan. Kebijakan audit adalah apa yang mengontrol apakah sistem operasi dikonfigurasikan dan siap untuk melacak perubahan.

Sekarang periksa pengaturan untuk Akses Objek Audit dengan mengklik dua kali dan memilih keduanya Keberhasilan dan Kegagalan. Klik OK dan sekarang kita selesai bagian pertama yang memberitahu Windows bahwa kita ingin siap untuk memantau perubahan. Sekarang langkah selanjutnya adalah memberi tahu secara tepat apa yang ingin kita lacak. Anda dapat menutup konsol Kebijakan Grup sekarang.

Sekarang navigasikan ke folder menggunakan Windows Explorer yang ingin Anda pantau. Di Explorer, klik kanan pada folder dan klik Properti. Klik pada Tab Keamanan dan Anda melihat sesuatu yang mirip dengan ini:

Sekarang klik pada Maju tombol dan klik pada Audit tab. Di sinilah kita akan benar-benar mengkonfigurasi apa yang ingin kita pantau untuk folder ini.

Silakan dan klik Menambahkan tombol. Dialog akan muncul meminta Anda untuk memilih Pengguna atau Grup. Di dalam kotak, ketikkan kata “pengguna”Dan klik Periksa Nama. Kotak akan secara otomatis diperbarui dengan nama grup pengguna lokal untuk komputer Anda dalam formulir COMPUTERNAME \ Pengguna.

Klik OK dan sekarang Anda akan mendapatkan dialog lain yang disebut "Entri Audit untuk X“. Ini adalah daging asli dari apa yang kami ingin lakukan. Di sinilah Anda akan memilih apa yang ingin Anda tonton untuk folder ini. Anda dapat secara individual memilih jenis aktivitas yang ingin Anda lacak, seperti menghapus atau membuat file / folder baru, dll. Untuk mempermudah, saya sarankan memilih Kontrol Penuh, yang secara otomatis akan memilih semua opsi lain di bawahnya. Lakukan ini untuk Keberhasilan dan Kegagalan. Dengan cara ini, apa pun yang dilakukan pada folder itu atau file di dalamnya, Anda akan memiliki catatan.

Sekarang klik OK dan klik OK lagi dan OK sekali lagi untuk keluar dari beberapa kotak dialog yang ditetapkan. Dan sekarang Anda telah berhasil mengonfigurasi audit pada folder! Jadi Anda mungkin bertanya, bagaimana Anda melihat acara tersebut?

Untuk melihat acara, Anda harus pergi ke Control Panel dan klik Alat administrasi. Kemudian buka Penampil acara. Klik pada Keamanan bagian dan Anda akan melihat daftar besar acara di sisi kanan:

Jika Anda melanjutkan dan membuat file atau cukup membuka folder dan klik tombol Refresh di Event Viewer (tombol dengan dua panah hijau), Anda akan melihat banyak peristiwa dalam kategori Berkas sistem. Ini berkaitan dengan setiap operasi hapus, buat, baca, tulis pada folder / file yang Anda audit. Di Windows 7, semuanya sekarang muncul di bawah kategori tugas Sistem File, jadi untuk melihat apa yang terjadi, Anda harus mengklik masing-masing dan menggulirnya.

Agar lebih mudah untuk melihat melalui begitu banyak acara, Anda dapat menempatkan filter dan hanya melihat hal-hal penting. Klik pada Melihat menu di bagian atas dan klik Filter. Jika tidak ada opsi untuk Filter, maka klik kanan pada log Keamanan di halaman sebelah kiri dan pilih Saring Log Saat Ini. Di kotak ID Peristiwa, ketikkan nomornya 4656. Ini adalah peristiwa yang terkait dengan pengguna tertentu yang melakukan a Berkas sistem tindakan dan akan memberi Anda informasi yang relevan tanpa harus melihat melalui ribuan entri.

Jika Anda ingin mendapatkan informasi lebih lanjut tentang suatu acara, cukup klik dua kali untuk melihatnya.

Ini adalah informasi dari layar di atas:

Pegangan ke objek diminta.

Subyek:
ID Keamanan: Aseem-Lenovo \ Aseem
Nama Akun: Aseem
Domain Akun: Aseem-Lenovo
ID masuk: 0x175a1

Obyek:
Server Objek: Keamanan
Jenis objek: File
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
Tangani ID: 0x16a0

Informasi proses:
ID Proses: 0x820
Nama Proses: C: \ Windows \ explorer.exe

Informasi Permintaan Akses:
ID Transaksi: 00000000-0000-0000-0000-000000000000
Akses: HAPUS
SINKRONISASI
BacaAttributes

Dalam contoh di atas, file yang berfungsi adalah New Text Document.txt di folder Tufu di desktop saya dan akses yang saya minta DELETE diikuti oleh SYNCHRONIZE. Apa yang saya lakukan di sini adalah menghapus file. Ini contoh lain:

Jenis objek: File
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Tangani ID: 0x178

Informasi proses:
ID Proses: 0x1008
Nama Proses: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Informasi Permintaan Akses:
ID Transaksi: 00000000-0000-0000-0000-000000000000
Akses: READ_CONTROL
SINKRONISASI
ReadData (atau ListDirectory)
WriteData (atau AddFile)
AppendData (atau AddSubdirectory atau CreatePipeInstance)
BacaEA
WriteEA
BacaAttributes
TulisAttributes

Alasan Akses: READ_CONTROL: Diberikan berdasarkan Kepemilikan
SYNCHRONIZE: Diberikan oleh D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Ketika Anda membaca ini, Anda dapat melihat saya mengakses Label Alamat.docx menggunakan program WINWORD.EXE dan akses saya termasuk READ_CONTROL dan alasan akses saya juga READ_CONTROL. Biasanya, Anda akan melihat lebih banyak akses, tetapi hanya fokus pada yang pertama karena itu biasanya jenis akses utama. Dalam hal ini, saya cukup membuka file menggunakan Word. Dibutuhkan sedikit pengujian dan membaca berbagai peristiwa untuk memahami apa yang terjadi, tetapi begitu Anda memilikinya, itu adalah sistem yang sangat andal. Saya sarankan membuat folder uji dengan file dan melakukan berbagai tindakan untuk melihat apa yang muncul di Peraga Peristiwa.

Cukup banyak! Cara cepat dan gratis untuk melacak akses atau perubahan ke folder!