Ada fitur kecil yang bagus di Windows yang memungkinkan Anda melacak ketika seseorang melihat, mengedit, atau menghapus sesuatu di dalam folder tertentu. Jadi jika ada folder atau file yang ingin Anda ketahui siapa yang mengakses, maka ini adalah metode bawaan tanpa harus menggunakan perangkat lunak pihak ketiga.
Fitur ini sebenarnya bagian dari fitur keamanan Windows disebut Kebijakan Grup, yang digunakan oleh sebagian besar Profesional TI yang mengelola komputer di jaringan perusahaan melalui server, namun, juga dapat digunakan secara lokal di PC tanpa server apa pun. Satu-satunya downside untuk menggunakan Kebijakan Grup adalah bahwa itu tidak tersedia di versi Windows yang lebih rendah. Untuk Windows 7, Anda harus memiliki Windows 7 Professional atau lebih tinggi. Untuk Windows 8, Anda perlu Pro atau Enterprise.
Istilah Kebijakan Grup pada dasarnya mengacu pada satu set pengaturan registri yang dapat dikontrol melalui antarmuka pengguna grafis. Anda mengaktifkan atau menonaktifkan berbagai pengaturan dan pengeditan ini kemudian diperbarui di registri Windows.
Di Windows XP, untuk mendapatkan editor kebijakan, klik pada Mulaidan kemudian Jalankan. Dalam kotak teks, ketik "gpedit.msc" tanpa tanda kutip seperti yang ditunjukkan di bawah ini:
Di Windows 7 , Anda cukup mengklik tombol Start dan ketik gpedit.mscke dalam kotak pencarian di bagian bawah Menu Mulai. Di Windows 8, cukup buka Layar Mulai dan mulai ketik atau gerakkan kursor mouse ke kanan atas atau kanan bawah layar untuk membuka bilah Mantradan klik Cari. Kemudian cukup ketik gpedit. Sekarang Anda akan melihat sesuatu yang mirip dengan gambar di bawah:
Ada dua kategori utama kebijakan: Penggunadan Komputer. Seperti yang Anda duga, kebijakan pengguna mengontrol pengaturan untuk setiap pengguna sedangkan pengaturan komputer akan menjadi pengaturan lebar sistem dan akan mempengaruhi semua pengguna. Dalam kasus kami, kami akan menginginkan pengaturan kami untuk semua pengguna, jadi kami akan memperluas bagian Computer Configuration.
Lanjutkan perluasan ke Pengaturan Windows - & gt; Pengaturan Keamanan - & gt; Kebijakan Lokal - & gt; Kebijakan Audit. Saya tidak akan menjelaskan banyak pengaturan lainnya di sini karena ini terutama difokuskan pada pengauditan folder. Sekarang Anda akan melihat serangkaian kebijakan dan pengaturannya saat ini di sisi kanan. Kebijakan audit adalah yang mengontrol apakah sistem operasi dikonfigurasi dan tidak siap untuk melacak perubahan.
Sekarang periksa pengaturan untuk Audit Akses Objekdengan mengklik ganda dan memilih Successdan Failure. Klik OK dan sekarang kami telah menyelesaikan bagian pertama yang memberi tahu Windows bahwa kami menginginkannya untuk siap memantau perubahan. Sekarang langkah selanjutnya adalah memberitahukannya apa yang sebenarnya ingin kita lacak. Anda dapat menutup konsol Kebijakan Grup sekarang.
Sekarang arahkan ke folder menggunakan Windows Explorer yang ingin Anda pantau. Di Explorer, klik kanan pada folder dan klik Properties. Klik pada Tab Keamanandan Anda melihat sesuatu yang mirip dengan ini:
Sekarang klik pada Lanjutandan klik pada tab Auditing. Di sinilah kita akan benar-benar mengkonfigurasi apa yang ingin kita monitor untuk folder ini.
Lanjutkan dan klik Tambahkuat. Dialog akan muncul meminta Anda untuk memilih Pengguna atau Grup. Di kotak, ketik kata "pengguna" dan klik Periksa Nama. Kotak akan secara otomatis memperbarui dengan nama grup pengguna lokal untuk komputer Anda dalam bentuk COMPUTERNAME \ Users.
Klik OK dan sekarang Anda akan mendapatkan dialog lain yang disebut "Entri Audit untuk X". Ini adalah daging nyata dari apa yang ingin kami lakukan. Di sini adalah tempat Anda akan memilih apa yang ingin Anda tonton untuk folder ini. Anda dapat secara individu memilih jenis aktivitas yang ingin Anda lacak, seperti menghapus atau membuat file / folder baru, dll. Untuk mempermudah, saya sarankan memilih Kontrol Penuh, yang akan secara otomatis memilih semua opsi lain di bawahnya. Lakukan ini untuk Successdan Failure. Dengan cara ini, apa pun yang dilakukan ke folder itu atau file di dalamnya, Anda akan memiliki catatan.
Sekarang klik OK dan klik OK lagi dan OK satu kali lagi untuk keluar dari beberapa set kotak dialog. Dan sekarang Anda telah berhasil mengonfigurasikan audit pada folder! Jadi Anda mungkin bertanya, bagaimana Anda melihat peristiwa?
Untuk melihat peristiwa, Anda harus pergi ke Control Panel dan klik Alat Administratif. Kemudian buka Event Viewer. Klik pada bagian Keamanandan Anda akan melihat daftar besar peristiwa di sisi kanan:
Jika Anda terus maju dan membuat file atau cukup buka folder dan klik tombol Segarkan di Peraga Peristiwa (tombol dengan dua panah hijau), Anda akan melihat banyak kejadian dalam kategori Sistem Berkas . Ini berkaitan dengan operasi menghapus, membuat, membaca, menulis pada folder / file yang Anda audit. Di Windows 7, semuanya sekarang muncul di bawah kategori tugas Sistem File, jadi untuk melihat apa yang terjadi, Anda harus mengklik masing-masing dan menggulirnya.
Untuk mempermudah lihat melalui begitu banyak peristiwa, Anda dapat menempatkan filter dan hanya melihat hal-hal penting. Klik pada menu Lihatdi bagian atas dan klik Filter. Jika tidak ada opsi untuk Filter, klik kanan pada log Keamanan di halaman sebelah kiri dan pilih Filter Current Log. Di kotak ID Peristiwa, masukkan nomor 4656. Ini adalah peristiwa yang dikaitkan dengan pengguna tertentu yang melakukan tindakan File Systemdan akan memberi Anda informasi yang relevan tanpa harus melihat melalui ribuan entri.
Jika Anda ingin mendapatkan informasi lebih lanjut tentang suatu peristiwa, cukup klik dua kali untuk melihatnya.
Ini adalah informasi dari layar di atas:
Sebuah pegangan untuk suatu objek diminta.
Subjek:
ID Keamanan: Aseem-Lenovo \ Aseem
Nama Akun: Aseem
Domain Akun: Aseem-Lenovo
ID Logon: 0x175a1
Objek:
Server Obyek: Keamanan
Jenis Objek: File
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ New Text Document.txt
Menangani ID: 0x16a0
Informasi Proses:
ID Proses: 0x820
Nama Proses: C: \ Windows \ explorer.exe
Informasi Permintaan Akses:
ID Transaksi: {00000000-0000-0 000-0000-000000000000}
Mengakses: DELETE
SYNCHRONIZE
ReadAttributes
Dalam contoh di atas, file yang dikerjakan adalah New Text Document.txt di folder Tufu di desktop saya dan akses yang saya minta adalah DELETE diikuti oleh SYNCHRONIZE. Apa yang saya lakukan di sini adalah menghapus file. Berikut contoh lain:
Jenis Objek: File
Nama Objek: C: \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Menangani ID: 0x178
Informasi Proses:
ID Proses: 0x1008
Nama Proses: C: \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informasi Permintaan Akses:
Transaksi ID: {00000000-0000-0000-0000-000000000000}
Mengakses: READ_CONTROL
SYNCHRONIZE
ReadData (atau ListDirectory)
WriteData (atau AddFile)
AppendData (atau AddSubdirectory atau CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Alasan Akses: READ_CONTROL: Diberikan oleh Kepemilikan
SYNCHRONIZE: Diberikan oleh D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Itu cukup banyak! Cara cepat dan gratis untuk melacak akses atau perubahan ke folder!