Hay una característica pequeña y agradable incorporada en Windows que le permite realizar un seguimiento cuando alguien ve, edita o elimina algo dentro de una carpeta especificada. Entonces, si hay una carpeta o archivo que desea saber a quién accede, este es el método incorporado sin tener que usar software de terceros.
Esta característica es en realidad parte de una característica de seguridad de Windows llamada Política de grupo, que es utilizada por la mayoría de los profesionales de TI que administran computadoras en la red corporativa a través de servidores, sin embargo, también se puede usar localmente en una PC sin servidores. El único inconveniente de utilizar la política de grupo es que no está disponible en versiones inferiores de Windows. Para Windows 7, necesita tener Windows 7 Professional o superior. Para Windows 8, necesita Pro o Enterprise.
El término Política de grupo básicamente se refiere a un conjunto de configuraciones de registro que se pueden controlar a través de una interfaz gráfica de usuario. Habilita o deshabilita varias configuraciones y estas modificaciones se actualizan en el registro de Windows.
En Windows XP, para acceder al editor de políticas, haga clic en Iniciary luego Ejecutar. En el cuadro de texto, escriba "gpedit.msc" sin las comillas, como se muestra a continuación:
En Windows 7 , simplemente haga clic en el botón Inicio y escriba gpedit.mscen el cuadro de búsqueda en la parte inferior del menú Inicio. En Windows 8, simplemente vaya a la pantalla de inicio y comience a escribir o mueva el cursor del mouse a la parte superior derecha o inferior derecha de la pantalla para abrir la barra Charmsy haga clic en Buscar. Luego solo escribe gpedit. Ahora debería ver algo similar a la imagen siguiente:
Hay dos categorías principales de políticas: Usuarioy Computadora. Como habrás adivinado, las políticas del usuario controlan la configuración de cada usuario, mientras que las configuraciones de la computadora serán configuraciones de todo el sistema y afectarán a todos los usuarios. En nuestro caso, queremos que nuestra configuración sea para todos los usuarios, por lo que ampliaremos la sección Configuración del equipo.
Continúe expandiendo a Configuración de Windows - & gt; Configuración de seguridad - & gt; Políticas locales - & gt; Política de auditoría. No voy a explicar mucho de las otras configuraciones aquí, ya que esto se enfoca principalmente en auditar una carpeta. Ahora verá un conjunto de políticas y su configuración actual en el lado derecho. La política de auditoría es lo que controla si el sistema operativo está configurado y listo para rastrear los cambios.
Ahora verifique la configuración para Auditoría Objeto Accedahaciendo doble clic en él y seleccionando Éxitoy Error. Haga clic en Aceptar y ahora hemos terminado la primera parte que indica a Windows que queremos que esté lista para monitorear los cambios. Ahora el siguiente paso es decirle de qué EXACTAMENTE queremos hacer un seguimiento. Ahora puede cerrar la consola de Directiva de grupo.
Ahora navegue a la carpeta que usa el Explorador de Windows que desea supervisar. En Explorer, haga clic derecho en la carpeta y haga clic en Propiedades. Haga clic en la pestaña Seguridady verá algo similar a esto:
Ahora haga clic en el botón Avanzadoy haga clic en la pestaña Auditoría. Aquí es donde realmente configuraremos lo que queremos monitorear para esta carpeta.
Continúe y haga clic en Añadirbotón. Aparecerá un diálogo pidiéndole que seleccione un usuario o grupo. En el cuadro, escribe la palabra "usuarios" y haz clic en Comprobar nombres. El cuadro se actualizará automáticamente con el nombre del grupo de usuarios locales para su computadora en la forma COMPUTERNAME \ Users.
Ahora haga clic en Aceptar y vuelva a hacer clic en Aceptar y OK una vez más para salir del conjunto de cuadro de diálogo múltiple. ¡Y ahora ha configurado con éxito la auditoría en una carpeta! Entonces, puede preguntar, ¿cómo ve los eventos?
Para ver los eventos, debe ir al Panel de control y hacer clic en Herramientas administrativas. A continuación, abra el Visor de eventos. Haga clic en la sección Seguridady verá una gran lista de eventos en el lado derecho:
Si continúa y crea un archivo o simplemente abre la carpeta y hace clic en el botón Actualizar en el Visor de eventos (el botón con las dos flechas verdes), verá un montón de eventos en la categoría de Sistema de archivos . Estos pertenecen a cualquier operación de eliminación, creación, lectura y escritura en las carpetas / archivos que está auditando. En Windows 7, ahora todo se muestra en la categoría de tareas del sistema de archivos, por lo que para ver qué sucedió, deberá hacer clic en cada uno y desplazarse por él.
Para que sea más fácil mira a través de tantos eventos, puedes poner un filtro y solo ver las cosas importantes. Haga clic en el menú Veren la parte superior y haga clic en Filtro. Si no hay otra opción para Filtro, haga clic con el botón derecho en el registro de Seguridad en la página de la izquierda y seleccione Filtrar registro actual. En el cuadro Id. De evento, escriba el número 4656. Este es el evento asociado a un usuario en particular que realiza una acción de Sistema de archivosy le brindará la información relevante sin tener que consultar miles de entradas.
Si desea obtener más información sobre un evento, simplemente haga doble clic para verlo.
Esta es la información de la pantalla de arriba:
Se solicitó un identificador para un objeto.
Asunto:
Identificación de seguridad: Aseem-Lenovo \ Aseem
Nombre de la cuenta: Aseem
Dominio de la cuenta: Aseem-Lenovo
Identificación de inicio de sesión: 0x175a1
Objeto:
Servidor de objetos: seguridad
Tipo de objeto: archivo
Nombre del objeto: C : \ Users \ Aseem \ Desktop \ Tufu \ Nuevo documento de texto.txt
ID de identificador: 0x16a0
Información de proceso:
ID del proceso: 0x820
Nombre del proceso: C: \ Windows \ explorer.exe
Información de solicitud de acceso:
ID de transacción: {00000000-0000-0000-0000-000000000000}
Accesos: BORRAR
SINCRONIZAR
ReadAttributes
En el ejemplo anterior, el archivo que se trabajó fue New Text Document.txt en la carpeta Tufu en mi escritorio y los accesos que solicité fueron DELETE seguido por SYNCHRONIZE. Lo que hice aquí fue eliminar el archivo. Aquí hay otro ejemplo:
Tipo de objeto: Archivo
Nombre del objeto: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ID del identificador: 0x178
Información del proceso:
ID del proceso: 0x1008
Nombre del proceso: C: \ Archivos de programa (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Información de solicitud de acceso:
Transacción ID: {00000000-0000-0000-0000-000000000000}
Accesos: READ_CONTROL
SINCRONIZAR
ReadData (o ListDirectory)
WriteData (o AddFile)
AppendData (o AddSubdirectory o CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Acceso Razones: READ_CONTROL: otorgado por propiedad
SINCRONIZAR: concedido por D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
¡Eso es todo! ¡Una forma rápida y gratuita de rastrear el acceso o los cambios en una carpeta!