Когда одним компьютером пользуются несколько человек, администратору такого ПК может быть интересно знать, кто и когда открывал те или иные папки и файлы. Мы уже писали о том, как узнать, какие программы запускались в отсутствия владельца компьютера, теперь давайте посмотрим, как получить статистические данные об использовании каталогов. Для отслеживания событий мы предлагаем использовать старые добрые встроенные средства аудита Windows.
Содержание статьи:
Включение политики аудита
Первыми делом нужно включить политику аудита.
Откройте редактор локальных групповых политики командой gpedit.msc, перейдите в раздел «Конфигурация Windows» → «Параметры безопасности» → «Конфигурация расширенной политики аудита» → «Политики аудита системы» → «Доступ к объектам» и откройте настройки расположенной в правой колонке редактора политики «Аудит файловой системы».
Включите отслеживание только успешных событий и сохраните настройки.
Изменение конфигурации требует перезагрузки ПК, но чтобы лишний раз не перезагружаться, выполните в запущенной от имени администратора командной строке команду gpupdate /force.
Настройка свойств папки
Чтобы отчеты начали попадать в журнал событий, необходимо указать, какие именно папки и события нужно мониторить.
Откройте свойства отслеживаемого каталога, перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».
В окне дополнительных настроек переключитесь на вкладку «Аудит» и нажмите «Продолжить».
Нажмите кнопку «Добавить».
В следующем окне вам нужно будет нажать ссылку «Выберите субъект» и указать в открывшемся диалоговом окошке имя пользователя или группы, действия которых хотите отслеживать.
Если вы не знаете имя пользователя или группы, нажмите «Дополнительно» и выберите в открывшемся окне после нажатия кнопки «Поиск» нужного вам пользователя вручную. Если нужно отслеживать всех пользователей, выберите «Все».
Убедитесь, что в меню «Тип» и «Применяется к» выбрано «Успех» и «Для этой папки, ее подпапок и файлов». Здесь же укажите, какие именно события нужно отслеживать – чтение, запись, изменение и так далее.
Последовательно сохраните настройки.
Просмотр событий
Теперь, если с указанной папкой или ее содержимым будет выполнено какое-то из включенных в мониторинговый список действий, сведения об этом будут занесены в системный журнал событий, открыть который вы можете командой eventvwr.msc.
Нужные вам сведения найдете в разделе «Журналы Windows» → «Безопасность».
Событий в этом журнале может быть много, поэтому есть смысл отсортировать их, выбрав источник «Microsoft Windows security auditing».
Подробности о каждом событии указаны в его свойствах.
Есть также еще один момент, о котором нужно упомянуть.
Политика аудита может быть весьма полезной, но злоупотреблять ею не стоит. При определенных условиях мониторинг даже одной папки может привести к раздуванию журнала, кроме того, отслеживание большого количества каталогов способно снизить производительность системы.
Загрузка...
← Как в Windows 10 и 11 отключить требование использовать контрольные вопросы при создании локальных учетных записей
Как включить показ новых виджетов на экране блокировки Windows 11 →
Добавить комментарий