نحوه ردیابی زمانی که شخصی به یک پوشه در رایانه شما دسترسی دارد

یک ویژگی کوچک خوب در ویندوز(Windows) تعبیه شده است که به شما امکان می دهد زمانی که شخصی چیزی را در یک پوشه مشخص مشاهده، ویرایش یا حذف می کند، ردیابی کنید. بنابراین اگر پوشه یا فایلی(folder or file) وجود دارد که می خواهید بدانید چه کسی به آن دسترسی دارد، این روش داخلی بدون نیاز به استفاده از نرم افزار شخص ثالث است.

این ویژگی در واقع بخشی از یک  ویژگی امنیتی ویندوز به نام (Windows security)Group Policy است که توسط اکثر متخصصان فناوری اطلاعات(IT Professionals) که کامپیوترها را در شبکه شرکتی از طریق سرورها مدیریت می‌کنند، استفاده می‌شود، با این حال، می‌توان آن را به صورت محلی در رایانه شخصی بدون هیچ سروری نیز استفاده کرد. تنها نقطه ضعف استفاده از Group Policy این است که در نسخه های پایین تر ویندوز(Windows) در دسترس نیست . برای ویندوز 7(Windows 7) ، باید ویندوز 7 (Windows 7) حرفه ای(Professional) یا بالاتر داشته باشید. برای ویندوز 8(Windows 8) ، به Pro یا Enterprise نیاز دارید .

اصطلاح Group Policy اساساً به مجموعه ای از تنظیمات رجیستری اشاره دارد که می توانند از طریق یک رابط کاربری(user interface) گرافیکی کنترل شوند . تنظیمات مختلف را فعال یا غیرفعال می‌کنید و سپس این ویرایش‌ها در رجیستری ویندوز(Windows registry) به‌روزرسانی می‌شوند .

در ویندوز XP(Windows XP) ، برای رفتن به ویرایشگر خط مشی(policy editor) ، روی Start و سپس Run کلیک کنید . در جعبه متن، " gpedit.msc " را بدون نقل قول مانند زیر تایپ کنید:

gpedit را اجرا کنید

در ویندوز 7(Windows 7) ، فقط روی دکمه Start کلیک کنید و (Start button and type)gpedit.msc را در کادر جستجو(search box) در پایین منوی استارت(Start Menu) تایپ کنید . در ویندوز 8(Windows 8) ، به سادگی به صفحه شروع(Start Screen) بروید و شروع به تایپ کنید یا نشانگر ماوس(mouse cursor) خود را به سمت راست بالا یا پایین صفحه ببرید تا نوار Charms باز شود و روی جستجو(Search) کلیک کنید . سپس فقط gpedit را تایپ کنید. حالا باید چیزی شبیه به تصویر زیر ببینید:

ویرایشگر خط مشی گروه

دو دسته اصلی از سیاست ها وجود دارد: کاربر(User) و رایانه(Computer) . همانطور که ممکن است حدس بزنید، سیاست های کاربر تنظیمات را برای هر کاربر کنترل می کند در حالی که تنظیمات رایانه تنظیمات گسترده سیستم خواهد بود و بر همه کاربران تأثیر می گذارد. در مورد ما می خواهیم تنظیمات ما برای همه کاربران باشد، بنابراین بخش پیکربندی رایانه(Computer Configuration) را گسترش می دهیم .

به گسترش به تنظیمات ویندوز(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy ادامه دهید . من قصد ندارم بسیاری از تنظیمات دیگر را در اینجا توضیح دهم زیرا این تنظیمات در درجه اول بر روی ممیزی یک پوشه متمرکز است. اکنون مجموعه ای از خط مشی ها و تنظیمات فعلی آنها را در سمت(hand side) راست می بینید . سیاست حسابرسی(Audit policy) چیزی است که کنترل می کند آیا سیستم عامل(operating system) پیکربندی شده و آماده ردیابی تغییرات است یا خیر.

دسترسی به شی ممیزی

اکنون تنظیمات مربوط به Audit Object Access را با دوبار کلیک کردن روی آن و انتخاب هر دو Success و Failure بررسی کنید. روی OK کلیک کنید(Click OK) و اکنون قسمت اول را تمام کردیم که به ویندوز می گوییم که می خواهیم برای نظارت بر تغییرات آماده باشد. اکنون مرحله بعدی این است که به آن بگویید دقیقاً(EXACTLY) چه چیزی را می خواهیم ردیابی کنیم. اکنون می توانید کنسول Group Policy(Group Policy console) را ببندید .

اکنون با استفاده از Windows Explorer(Windows Explorer) به پوشه ای که می خواهید نظارت کنید بروید. در Explorer ، روی (Explorer)پوشه(folder and click) کلیک راست کرده و روی Properties کلیک کنید . روی تب Security( Security Tab) کلیک کنید و چیزی شبیه به این را مشاهده می کنید:

تب امنیتی کاوشگر

حالا روی دکمه Advanced کلیک کنید و روی تب Auditing کلیک کنید. اینجاست که ما در واقع آنچه را که می خواهیم برای این پوشه نظارت کنیم پیکربندی می کنیم.

ممیزی پنجره های تب

ادامه دهید و روی دکمه افزودن(Add) کلیک کنید. یک گفتگو ظاهر می شود که از شما می خواهد یک کاربر یا گروه(User or Group) را انتخاب کنید . در کادر، کلمه “ (word “)users ” را تایپ کنید و روی Check Names کلیک کنید . کادر به طور خودکار با نام گروه کاربران محلی رایانه شما به شکل COMPUTERNAME\Users به ​​روز می شود.

مجوزهای گروه کاربر

روی OK کلیک کنید(Click OK) و اکنون یک گفتگوی دیگر به نام " ورودی حسابرسی برای X(Audit Entry for X) " دریافت خواهید کرد. این گوشت واقعی کاری است که ما می خواستیم انجام دهیم. در اینجا جایی است که آنچه را که می خواهید برای این پوشه تماشا کنید، انتخاب می کنید. شما می‌توانید به‌صورت جداگانه انتخاب کنید که کدام نوع فعالیت را می‌خواهید ردیابی کنید، مانند حذف یا ایجاد فایل‌ها/پوشه‌های جدید، و غیره. برای آسان‌تر کردن کار، پیشنهاد می‌کنم کنترل کامل(Full Control) را انتخاب کنید، که به‌طور خودکار همه گزینه‌های دیگر زیر آن را انتخاب کنید. این کار را برای موفقیت(Success) و شکست(Failure) انجام دهید . به این ترتیب، هر کاری که روی آن پوشه یا فایل های داخل آن انجام شود، یک رکورد خواهید داشت.

کاوشگر مجوزهای حسابرسی

حالا روی OK کلیک کنید و دوباره OK و یک بار دیگر OK کنید تا از مجموعه جعبه محاوره ای(dialog box) چندگانه خارج شوید . و اکنون شما با موفقیت حسابرسی را در یک پوشه پیکربندی کرده اید! بنابراین ممکن است بپرسید، رویدادها را چگونه می بینید؟

برای مشاهده رویدادها باید به Control Panel رفته و روی(Control Panel and click) Administrative Tools(Administrative Tools) کلیک کنید . سپس Event Viewer را باز کنید . روی بخش امنیت(Security) کلیک کنید و لیست بزرگی از رویدادها را در سمت راست مشاهده(hand side) خواهید کرد :

امنیت بیننده رویداد

اگر پیش بروید و یک فایل بسازید یا به سادگی پوشه را باز کنید و روی دکمه Refresh(Refresh button) در Event Viewer کلیک کنید (دکمه با دو فلش سبز)، مجموعه ای از رویدادها را در دسته سیستم فایل( File System) مشاهده خواهید کرد. اینها مربوط به هر گونه عملیات حذف، ایجاد، خواندن، نوشتن در پوشه ها/فایل هایی است که در حال بررسی آن هستید. در ویندوز 7(Windows 7) ، همه چیز اکنون در دسته بندی وظایف File System(File System task) نشان داده می شود ، بنابراین برای اینکه ببینید چه اتفاقی افتاده است، باید روی هر کدام کلیک کرده و در آن اسکرول کنید.

برای سهولت در بررسی بسیاری از رویدادها، می توانید یک فیلتر قرار دهید و فقط موارد مهم را ببینید. روی منوی (Click)View در بالا کلیک کنید و روی Filter کلیک کنید . اگر گزینه ای برای Filter وجود ندارد، در صفحه سمت چپ روی گزارش امنیتی(Security log) کلیک راست کرده و Filter Current Log را انتخاب کنید . در کادر Event ID(Event ID box) عدد 4656 را وارد کنید. این رویداد مربوط به یک کاربر خاص است که یک عملکرد سیستم فایل (File System ) را انجام می دهد و اطلاعات مربوطه را بدون نیاز به جستجوی هزاران ورودی به شما می دهد.

گزارش فیلتر

اگر می خواهید اطلاعات بیشتری در مورد یک رویداد به دست آورید، برای مشاهده کافی است روی آن دوبار کلیک کنید.

حذف شناسه رویداد

این اطلاعات از صفحه بالا است:

یک دسته برای یک شی درخواست شد.(A handle to an object was requested.)

موضوع: (Subject:)
Security ID: Aseem-Lenovo\Aseem
نام حساب Aseem-LenovoAseem: ( Account Name: Aseem)
دامنه حساب Aseem: شناسه ورود Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
: 0x175a1( Logon ID: 0x175a1)

شیء: (Object:)
سرور شیء: امنیت ( Object Server: Security)
نوع شیء: فایل ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
شناسه دسته: 0x16a0( Handle ID: 0x16a0)

اطلاعات (Process Information:)
فرآیند: شناسه فرآیند: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

اطلاعات درخواست دسترسی: (Access Request Information:)
شناسه تراکنش: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
دسترسی ها: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

در مثال بالا، فایلی که روی آن کار شد New Text Document.txt در پوشه Tufu(Tufu folder) روی دسکتاپ من بود و دسترسی هایی که درخواست کردم DELETE و سپس SYNCHRONIZE بود. کاری که من اینجا انجام دادم حذف فایل بود. این هم یک مثال دیگر:

نوع شی: فایل ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
شناسه دسته: 0x178( Handle ID: 0x178)

اطلاعات (Process Information:)
فرآیند: شناسه فرآیند: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

اطلاعات درخواست دسترسی: (Access Request Information:)
شناسه تراکنش: {00000000-0000-0000-0000-0000000000000 ( Transaction ID: {00000000-0000-0000-0000-000000000000})
دسترسی ها: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (یا ListDirectory) ( ReadData (or ListDirectory))
WriteData (یا AddFile) ( WriteData (or AddFile))
WriteData (یا AddFile ( AppendData (or AddSubdirectory or CreatePipeInstance))) ( WriteAttributes)
AppenddirectoryAntributeAppeats ( ReadEA)
Writea ( WriteEA)
.( ReadAttributes)

دلایل دسترسی: READ_CONTROL: اعطا شده توسط مالکیت ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: اعطا شده توسط D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

همانطور که این مطلب را می خوانید، می بینید که من با استفاده از برنامه WINWORD.EXE به (WINWORD.EXE program)Address(Address Labels.docx) Labels.docx دسترسی پیدا کردم و دسترسی های من شامل READ_CONTROL بود و دلایل دسترسی من نیز READ_CONTROL بود. معمولاً تعداد زیادی دسترسی بیشتر خواهید دید، اما فقط روی مورد اول تمرکز کنید زیرا معمولاً نوع اصلی دسترسی است. در این مورد، من به سادگی فایل را با استفاده از Word باز کردم . برای اینکه بفهمید چه اتفاقی در حال رخ دادن است، کمی آزمایش و مطالعه(testing and reading) از طریق رویدادها نیاز دارد، اما وقتی آن را خاموش کنید، سیستم بسیار قابل اعتمادی است. من پیشنهاد می کنم یک پوشه آزمایشی(test folder) با فایل ها ایجاد کنید و اقدامات مختلفی را انجام دهید تا ببینید چه چیزی در Event Viewer نشان داده می شود .

تقریباً همین است! راهی سریع و رایگان برای ردیابی دسترسی یا تغییرات(access or changes) به یک پوشه!



هورشید توفیق

About the author

من یک مهندس سخت افزار هستم و متخصص در طراحی و توسعه محصولات اپل مانند آیفون و آیپد هستم. من با هر دو دستگاه iOS و edge و همچنین ابزارهای توسعه نرم افزار مانند Git و Swift تجربه دارم. مهارت های من در هر دو زمینه به من درک قوی از نحوه تعامل سیستم عامل دستگاه های اپل (OS) با برنامه ها و منابع داده می دهد. علاوه بر این، تجربه من با Git به من امکان می دهد روی سیستم های کنترل نسخه کد کار کنم، که می تواند به بهبود کارایی و بهره وری در هنگام توسعه نرم افزار کمک کند.


Related posts