phhsnews.com


phhsnews.com / Comment suivre quand quelqu'un accède à un dossier sur votre ordinateur

Comment suivre quand quelqu'un accède à un dossier sur votre ordinateur


Il y a une petite fonctionnalité intégrée à Windows qui vous permet de suivre quand quelqu'un voit, édite ou supprime quelque chose dans un dossier spécifié. Donc, s'il y a un dossier ou un fichier que vous voulez savoir qui accède, alors ceci est la méthode intégrée sans avoir à utiliser un logiciel tiers.

Cette fonctionnalité fait partie d'une fonctionnalité de sécurité Windows appelée Stratégie de groupe, qui est utilisée par la plupart des professionnels de l'informatique qui gèrent les ordinateurs du réseau d'entreprise via des serveurs. Cependant, elle peut également être utilisée localement sur un PC sans serveur. Le seul inconvénient de l'utilisation de la stratégie de groupe est qu'elle n'est pas disponible dans les versions inférieures de Windows. Pour Windows 7, vous devez avoir Windows 7 Professionnel ou supérieur. Pour Windows 8, vous avez besoin de Pro ou Enterprise.

Le terme Stratégie de groupe désigne essentiellement un ensemble de paramètres de registre pouvant être contrôlés via une interface utilisateur graphique. Vous activez ou désactivez différents paramètres et ces modifications sont ensuite mises à jour dans le registre Windows.

Dans Windows XP, pour accéder à l'éditeur de règles, cliquez sur Démarrer, puis sur Exécuter . Dans la zone de texte, tapez " gpedit.msc " sans les guillemets comme indiqué ci-dessous:

Dans Windows 7, il vous suffit de cliquer sur le bouton Démarrer et de taper gpedit.msc dans la zone de recherche au bas du menu Démarrer. Dans Windows 8, allez simplement à l'écran de démarrage et commencez à taper ou déplacez le curseur de votre souris vers le haut ou le bas à droite de l'écran pour ouvrir la barre des icônes et cliquez sur Rechercher . Ensuite, tapez simplement gpedit . Maintenant, vous devriez voir quelque chose qui est similaire à l'image ci-dessous:

Il existe deux catégories principales de stratégies: Utilisateur et Ordinateur . Comme vous l'avez peut-être deviné, les stratégies de l'utilisateur contrôlent les paramètres pour chaque utilisateur alors que les paramètres de l'ordinateur seront des paramètres à l'échelle du système et affecteront tous les utilisateurs. Dans notre cas, nous voulons que notre paramètre soit pour tous les utilisateurs, nous allons donc développer la section Configuration de l' ordinateur .

Continuez à étendre les paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit . Je ne vais pas expliquer beaucoup d'autres paramètres ici, car cela est principalement axé sur l'audit d'un dossier. Maintenant, vous verrez un ensemble de stratégies et leurs paramètres actuels sur le côté droit. La stratégie d'audit détermine si le système d'exploitation est configuré et prêt à suivre les modifications.

Maintenant, vérifiez le paramètre Audit Object Access en double-cliquant dessus et en sélectionnant Success et Failure . Cliquez sur OK et maintenant nous avons terminé la première partie qui indique à Windows que nous voulons qu'il soit prêt à surveiller les changements. Maintenant, la prochaine étape est de dire exactement ce que nous voulons suivre. Vous pouvez fermer la console de stratégie de groupe maintenant.

Naviguez maintenant vers le dossier en utilisant Windows Explorer que vous souhaitez surveiller. Dans l'Explorateur, faites un clic droit sur le dossier et cliquez sur Propriétés . Cliquez sur l' onglet Sécurité et vous voyez quelque chose de similaire à ceci:

Maintenant, cliquez sur le bouton Avancé et cliquez sur l'onglet Audit . C'est ici que nous allons configurer ce que nous voulons surveiller pour ce dossier.

Allez-y et cliquez sur le bouton Ajouter . Une boîte de dialogue apparaîtra vous demandant de sélectionner un utilisateur ou un groupe. Dans la boîte, tapez le mot « utilisateurs » et cliquez sur Vérifier les noms . La boîte se met automatiquement à jour avec le nom du groupe d'utilisateurs local pour votre ordinateur sous la forme COMPUTERNAME \ Users .

Cliquez sur OK et maintenant vous aurez une autre boîte de dialogue appelée " Audit Entry for X ". C'est la vraie viande de ce que nous avons voulu faire. Voici où vous sélectionnez ce que vous voulez regarder pour ce dossier. Vous pouvez choisir individuellement les types d'activité que vous souhaitez suivre, comme la suppression ou la création de nouveaux fichiers / dossiers, etc. Pour faciliter les choses, je suggère de sélectionner Contrôle total, qui sélectionnera automatiquement toutes les autres options en dessous. Faites ceci pour le succès et l' échec . De cette façon, tout ce qui est fait pour ce dossier ou les fichiers qu'il contient, vous aurez un enregistrement.

Maintenant, cliquez sur OK et cliquez à nouveau sur OK et OK encore une fois pour sortir de l'ensemble de boîtes de dialogue multiples. Et maintenant vous avez configuré avec succès l'audit sur un dossier! Alors vous pourriez demander, comment voyez-vous les événements?

Pour afficher les événements, vous devez aller dans le Panneau de configuration et cliquer sur Outils d'administration . Ensuite, ouvrez l' Observateur d'événements . Cliquez sur la section Sécurité et vous verrez une grande liste d'événements sur le côté droit:

Si vous allez de l'avant et créez un fichier ou simplement ouvrez le dossier et cliquez sur le bouton Actualiser dans l'Observateur d'événements (le bouton avec les deux flèches vertes), vous verrez un tas d'événements dans la catégorie du système de fichiers . Elles concernent toutes les opérations de suppression, de création, de lecture et d'écriture sur les dossiers / fichiers que vous auditez. Dans Windows 7, tout s'affiche désormais sous la catégorie de tâches Système de fichiers. Pour voir ce qui s'est passé, vous devez cliquer sur chacun d'eux et le parcourir.

Afin de faciliter le parcours de tant d'événements, vous pouvez mettre un filtre et voir les éléments importants. Cliquez sur le menu Affichage en haut et cliquez sur Filtrer . S'il n'y a pas d'option pour le filtre, cliquez avec le bouton droit sur le journal de sécurité dans la page de gauche et choisissez Filtrer le journal actuel . Dans la zone ID d'événement, tapez le nombre 4656 . C'est l'événement associé à un utilisateur particulier effectuant une action de système de fichiers et vous donnera les informations pertinentes sans avoir à parcourir des milliers d'entrées.

Si vous souhaitez obtenir plus d'informations sur un événement, double-cliquez simplement dessus pour l'afficher.

Voici les informations de l'écran ci-dessus:

Un handle à un objet a été demandé.

Assujettir:
ID de sécurité: Aseem-Lenovo \ Aseem
Nom du compte: Aseem
Domaine du compte: Aseem-Lenovo
ID de connexion: 0x175a1

Objet:
Serveur d'objets: sécurité
Type d'objet: Fichier
Nom de l'objet: C: \ Utilisateurs \ Aseem \ Desktop \ Tufu \ Nouveau document texte.txt
ID de poignée: 0x16a0

Traitement de l'information:
ID du processus: 0x820
Nom du processus: C: \ Windows \ explorer.exe

Demande d'accès:
Numéro de transaction: {00000000-0000-0000-0000-000000000000}
Accès: DELETE
SYNCHRONISER
ReadAttributes

Dans l'exemple ci-dessus, le fichier a été travaillé sur New Text Document.txt dans le dossier Tufu sur mon bureau et les accès que j'ai demandés étaient DELETE suivi de SYNCHRONIZE. Ce que j'ai fait ici était supprimer le fichier. Voici un autre exemple:

Type d'objet: Fichier
Nom de l'objet: C: \ Utilisateurs \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID de poignée: 0x178

Traitement de l'information:
ID de processus: 0x1008
Nom du processus: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE

Demande d'accès:
Numéro de transaction: {00000000-0000-0000-0000-000000000000}
Accès: READ_CONTROL
SYNCHRONISER
ReadData (ou ListDirectory)
WriteData (ou AddFile)
AppendData (ou AddSubdirectory ou CreatePipeInstance)
Lire
WriteEA
ReadAttributes
WriteAttributes

Motifs d'accès: READ_CONTROL: octroyé par propriété
SYNCHRONISE: accordée par D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

En lisant ceci, vous pouvez voir que j'ai accédé à Address Labels.docx en utilisant le programme WINWORD.EXE et que mes accès ont inclus READ_CONTROL et que mes raisons d'accès étaient aussi READ_CONTROL. Habituellement, vous verrez un plus grand nombre d'accès, mais concentrez-vous sur le premier car c'est généralement le type principal d'accès. Dans ce cas, j'ai simplement ouvert le fichier en utilisant Word. Il faut un peu de test et de lecture à travers les événements pour comprendre ce qui se passe, mais une fois que vous l'avez, c'est un système très fiable. Je suggère de créer un dossier de test avec des fichiers et d'effectuer diverses actions pour voir ce qui apparaît dans l'Observateur d'événements.

C'est à peu près tout! Un moyen rapide et gratuit de suivre l'accès ou les modifications apportées à un dossier!


Désactivation de l'effacement des messages dans Apple Mail pour macOS

Désactivation de l'effacement des messages dans Apple Mail pour macOS

Si vous utilisez Apple Mail, vous avez peut-être remarqué que vous pouvez faire glisser des messages pour effectuer certaines actions. C'est un raccourci utile, mais si vous vous retrouvez à l'invoquer accidentellement, voici comment désactiver cette fonctionnalité. Nous ne sommes pas étrangers à la configuration d'Apple Mail pour mieux répondre à nos besoins.

(how-to)

Utilisez Deep Freeze pour restaurer votre PC au démarrage

Utilisez Deep Freeze pour restaurer votre PC au démarrage

Souhaitez-vous jamais pouvoir annuler tous les changements que vos enfants ont apportés à votre PC à la maison? Ou peut-être souhaitez-vous installer un logiciel sur votre système pour le tester avant de l'acheter, mais vous ne savez pas exactement ce qu'il va faire pour votre système?Ne serait-il pas bien si vous pouviez simplement redémarrer votre ordinateur et toutes les modifications apportées ont été simplement effacées? Heureusem

(How-to)