Il y a une petite fonctionnalité intégrée à Windows qui vous permet de suivre quand quelqu'un voit, édite ou supprime quelque chose dans un dossier spécifié. Donc, s'il y a un dossier ou un fichier que vous voulez savoir qui accède, alors ceci est la méthode intégrée sans avoir à utiliser un logiciel tiers.
Cette fonctionnalité fait partie d'une fonctionnalité de sécurité Windows appelée Stratégie de groupe, qui est utilisée par la plupart des professionnels de l'informatique qui gèrent les ordinateurs du réseau d'entreprise via des serveurs. Cependant, elle peut également être utilisée localement sur un PC sans serveur. Le seul inconvénient de l'utilisation de la stratégie de groupe est qu'elle n'est pas disponible dans les versions inférieures de Windows. Pour Windows 7, vous devez avoir Windows 7 Professionnel ou supérieur. Pour Windows 8, vous avez besoin de Pro ou Enterprise.
Le terme Stratégie de groupe désigne essentiellement un ensemble de paramètres de registre pouvant être contrôlés via une interface utilisateur graphique. Vous activez ou désactivez différents paramètres et ces modifications sont ensuite mises à jour dans le registre Windows.
Dans Windows XP, pour accéder à l'éditeur de règles, cliquez sur Démarrer, puis sur Exécuter . Dans la zone de texte, tapez " gpedit.msc " sans les guillemets comme indiqué ci-dessous:
Dans Windows 7, il vous suffit de cliquer sur le bouton Démarrer et de taper gpedit.msc dans la zone de recherche au bas du menu Démarrer. Dans Windows 8, allez simplement à l'écran de démarrage et commencez à taper ou déplacez le curseur de votre souris vers le haut ou le bas à droite de l'écran pour ouvrir la barre des icônes et cliquez sur Rechercher . Ensuite, tapez simplement gpedit . Maintenant, vous devriez voir quelque chose qui est similaire à l'image ci-dessous:
Il existe deux catégories principales de stratégies: Utilisateur et Ordinateur . Comme vous l'avez peut-être deviné, les stratégies de l'utilisateur contrôlent les paramètres pour chaque utilisateur alors que les paramètres de l'ordinateur seront des paramètres à l'échelle du système et affecteront tous les utilisateurs. Dans notre cas, nous voulons que notre paramètre soit pour tous les utilisateurs, nous allons donc développer la section Configuration de l' ordinateur .
Continuez à étendre les paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit . Je ne vais pas expliquer beaucoup d'autres paramètres ici, car cela est principalement axé sur l'audit d'un dossier. Maintenant, vous verrez un ensemble de stratégies et leurs paramètres actuels sur le côté droit. La stratégie d'audit détermine si le système d'exploitation est configuré et prêt à suivre les modifications.
Maintenant, vérifiez le paramètre Audit Object Access en double-cliquant dessus et en sélectionnant Success et Failure . Cliquez sur OK et maintenant nous avons terminé la première partie qui indique à Windows que nous voulons qu'il soit prêt à surveiller les changements. Maintenant, la prochaine étape est de dire exactement ce que nous voulons suivre. Vous pouvez fermer la console de stratégie de groupe maintenant.
Naviguez maintenant vers le dossier en utilisant Windows Explorer que vous souhaitez surveiller. Dans l'Explorateur, faites un clic droit sur le dossier et cliquez sur Propriétés . Cliquez sur l' onglet Sécurité et vous voyez quelque chose de similaire à ceci:
Maintenant, cliquez sur le bouton Avancé et cliquez sur l'onglet Audit . C'est ici que nous allons configurer ce que nous voulons surveiller pour ce dossier.
Allez-y et cliquez sur le bouton Ajouter . Une boîte de dialogue apparaîtra vous demandant de sélectionner un utilisateur ou un groupe. Dans la boîte, tapez le mot « utilisateurs » et cliquez sur Vérifier les noms . La boîte se met automatiquement à jour avec le nom du groupe d'utilisateurs local pour votre ordinateur sous la forme COMPUTERNAME \ Users .
Cliquez sur OK et maintenant vous aurez une autre boîte de dialogue appelée " Audit Entry for X ". C'est la vraie viande de ce que nous avons voulu faire. Voici où vous sélectionnez ce que vous voulez regarder pour ce dossier. Vous pouvez choisir individuellement les types d'activité que vous souhaitez suivre, comme la suppression ou la création de nouveaux fichiers / dossiers, etc. Pour faciliter les choses, je suggère de sélectionner Contrôle total, qui sélectionnera automatiquement toutes les autres options en dessous. Faites ceci pour le succès et l' échec . De cette façon, tout ce qui est fait pour ce dossier ou les fichiers qu'il contient, vous aurez un enregistrement.
Maintenant, cliquez sur OK et cliquez à nouveau sur OK et OK encore une fois pour sortir de l'ensemble de boîtes de dialogue multiples. Et maintenant vous avez configuré avec succès l'audit sur un dossier! Alors vous pourriez demander, comment voyez-vous les événements?
Pour afficher les événements, vous devez aller dans le Panneau de configuration et cliquer sur Outils d'administration . Ensuite, ouvrez l' Observateur d'événements . Cliquez sur la section Sécurité et vous verrez une grande liste d'événements sur le côté droit:
Si vous allez de l'avant et créez un fichier ou simplement ouvrez le dossier et cliquez sur le bouton Actualiser dans l'Observateur d'événements (le bouton avec les deux flèches vertes), vous verrez un tas d'événements dans la catégorie du système de fichiers . Elles concernent toutes les opérations de suppression, de création, de lecture et d'écriture sur les dossiers / fichiers que vous auditez. Dans Windows 7, tout s'affiche désormais sous la catégorie de tâches Système de fichiers. Pour voir ce qui s'est passé, vous devez cliquer sur chacun d'eux et le parcourir.
Afin de faciliter le parcours de tant d'événements, vous pouvez mettre un filtre et voir les éléments importants. Cliquez sur le menu Affichage en haut et cliquez sur Filtrer . S'il n'y a pas d'option pour le filtre, cliquez avec le bouton droit sur le journal de sécurité dans la page de gauche et choisissez Filtrer le journal actuel . Dans la zone ID d'événement, tapez le nombre 4656 . C'est l'événement associé à un utilisateur particulier effectuant une action de système de fichiers et vous donnera les informations pertinentes sans avoir à parcourir des milliers d'entrées.
Si vous souhaitez obtenir plus d'informations sur un événement, double-cliquez simplement dessus pour l'afficher.
Voici les informations de l'écran ci-dessus:
Un handle à un objet a été demandé.
Assujettir:
ID de sécurité: Aseem-Lenovo \ Aseem
Nom du compte: Aseem
Domaine du compte: Aseem-Lenovo
ID de connexion: 0x175a1
Objet:
Serveur d'objets: sécurité
Type d'objet: Fichier
Nom de l'objet: C: \ Utilisateurs \ Aseem \ Desktop \ Tufu \ Nouveau document texte.txt
ID de poignée: 0x16a0
Traitement de l'information:
ID du processus: 0x820
Nom du processus: C: \ Windows \ explorer.exe
Demande d'accès:
Numéro de transaction: {00000000-0000-0000-0000-000000000000}
Accès: DELETE
SYNCHRONISER
ReadAttributes
Dans l'exemple ci-dessus, le fichier a été travaillé sur New Text Document.txt dans le dossier Tufu sur mon bureau et les accès que j'ai demandés étaient DELETE suivi de SYNCHRONIZE. Ce que j'ai fait ici était supprimer le fichier. Voici un autre exemple:
Type d'objet: Fichier
Nom de l'objet: C: \ Utilisateurs \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID de poignée: 0x178
Traitement de l'information:
ID de processus: 0x1008
Nom du processus: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Demande d'accès:
Numéro de transaction: {00000000-0000-0000-0000-000000000000}
Accès: READ_CONTROL
SYNCHRONISER
ReadData (ou ListDirectory)
WriteData (ou AddFile)
AppendData (ou AddSubdirectory ou CreatePipeInstance)
Lire
WriteEA
ReadAttributes
WriteAttributes
Motifs d'accès: READ_CONTROL: octroyé par propriété
SYNCHRONISE: accordée par D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
En lisant ceci, vous pouvez voir que j'ai accédé à Address Labels.docx en utilisant le programme WINWORD.EXE et que mes accès ont inclus READ_CONTROL et que mes raisons d'accès étaient aussi READ_CONTROL. Habituellement, vous verrez un plus grand nombre d'accès, mais concentrez-vous sur le premier car c'est généralement le type principal d'accès. Dans ce cas, j'ai simplement ouvert le fichier en utilisant Word. Il faut un peu de test et de lecture à travers les événements pour comprendre ce qui se passe, mais une fois que vous l'avez, c'est un système très fiable. Je suggère de créer un dossier de test avec des fichiers et d'effectuer diverses actions pour voir ce qui apparaît dans l'Observateur d'événements.
C'est à peu près tout! Un moyen rapide et gratuit de suivre l'accès ou les modifications apportées à un dossier!
Comment désactiver l'écran de verrouillage dans Windows 10
Avec la mise à jour anniversaire de Windows 10, Microsoft ne vous permet plus de désactiver l'écran de verrouillage en utilisant un paramètre de stratégie de groupe ou un hack de registre. Mais il existe encore des solutions de contournement - pour l'instant. Le paramètre de stratégie de groupe qui désactive l'écran de verrouillage est toujours disponible, mais il ne fonctionne que sur les éditions Enterprise et Education de Windows.
Comment rechercher des fichiers d'une certaine plage de dates dans Windows 8 et 10
Dites que vous recherchez un fichier et que vous savez qu'il a été modifié pour la dernière fois pendant un certain temps. Vous pouvez limiter vos recherches aux plages de dates dans Windows, mais ce n'est pas évident immédiatement. La recherche d'une plage de dates spécifique dans Windows 8 et 10 est plus difficile que nécessaire.