Há um belo recurso embutido no Windows que permite rastrear quando alguém visualiza, edita ou exclui algo dentro de uma pasta especificada. Portanto, se houver uma pasta ou arquivo que você queira saber quem está acessando, esse é o método integrado sem precisar usar software de terceiros.
Esse recurso é, na verdade, parte de um recurso de segurança do Windows denominado Diretiva de Grupo, usado pela maioria dos profissionais de TI que gerencia computadores na rede corporativa por meio de servidores, mas também pode ser usado localmente em um PC sem nenhum servidor. A única desvantagem de usar a Diretiva de Grupo é que ela não está disponível em versões inferiores do Windows. Para o Windows 7, você precisa ter o Windows 7 Professional ou superior. Para o Windows 8, você precisa de Pro ou Enterprise.
O termo Diretiva de Grupo refere-se basicamente a um conjunto de configurações de registro que podem ser controladas por meio de uma interface gráfica do usuário. Você habilita ou desabilita várias configurações e essas edições são atualizadas no registro do Windows.
No Windows XP, para acessar o editor de políticas, clique em Iniciar e, em seguida, em Executar . Na caixa de texto, digite “ gpedit.msc ” sem as aspas conforme mostrado abaixo:
No Windows 7, basta clicar no botão Iniciar e digitar gpedit.msc na caixa de pesquisa na parte inferior do menu Iniciar. No Windows 8, simplesmente vá para a tela inicial e comece a digitar ou mova o cursor do mouse para o canto superior ou inferior direito da tela para abrir a barra de botões e clique em Pesquisar . Então apenas digite gpedit . Agora você deve ver algo semelhante à imagem abaixo:
Existem duas categorias principais de políticas: Usuário e Computador . Como você deve ter adivinhado, as políticas do usuário controlam as configurações para cada usuário, enquanto as configurações do computador serão configurações do sistema e afetarão todos os usuários. No nosso caso, queremos que nossa configuração seja para todos os usuários, então expandiremos a seção Configuração do computador .
Continue expandindo para Configurações do Windows -> Configurações de segurança -> Políticas locais -> Política de auditoria . Eu não vou explicar muitas das outras configurações aqui, pois isso é focado principalmente na auditoria de uma pasta. Agora você verá um conjunto de políticas e suas configurações atuais no lado direito. Política de auditoria é o que controla se o sistema operacional está ou não configurado e pronto para rastrear mudanças.
Agora, verifique a configuração do Acesso a Objetos de Auditoria clicando duas vezes sobre ele e selecionando Sucesso e Falha . Clique em OK e agora terminamos a primeira parte que informa ao Windows que queremos que ele esteja pronto para monitorar as alterações. Agora o próximo passo é dizer exatamente o que queremos acompanhar. Você pode fechar o console da Diretiva de Grupo agora.
Agora navegue até a pasta usando o Windows Explorer que você gostaria de monitorar. No Explorer, clique com o botão direito na pasta e clique em Propriedades . Clique na guia Segurança e você verá algo semelhante a isto:
Agora clique no botão Avançado e clique na guia Auditoria . É aqui que vamos configurar o que queremos monitorar para esta pasta.
Vá em frente e clique no botão Adicionar . Uma caixa de diálogo aparecerá pedindo para você selecionar um usuário ou grupo. Na caixa, digite a palavra “ usuários ” e clique em Verificar nomes . A caixa será atualizada automaticamente com o nome do grupo de usuários local do seu computador no formulário COMPUTERNAME \ Users .
Clique em OK e agora você terá outro diálogo chamado “ Audit Entry for X “. Esta é a verdadeira carne do que estamos querendo fazer. Aqui é onde você selecionará o que deseja assistir para esta pasta. Você pode escolher individualmente quais tipos de atividade deseja acompanhar, como excluir ou criar novos arquivos / pastas, etc. Para facilitar, sugiro selecionar Controle total, que selecionará automaticamente todas as outras opções abaixo dela. Faça isso para o sucesso e fracasso . Desta forma, o que for feito para essa pasta ou os arquivos dentro dela, você terá um registro.
Agora clique em OK e clique em OK novamente e em OK mais uma vez para sair do conjunto de caixas de diálogo múltiplas. E agora você configurou com sucesso a auditoria em uma pasta! Então você pode perguntar, como você vê os eventos?
Para visualizar os eventos, você precisa ir ao Painel de Controle e clicar em Ferramentas Administrativas . Em seguida, abra o Visualizador de Eventos . Clique na seção Segurança e você verá uma grande lista de eventos no lado direito:
Se você for em frente e criar um arquivo ou simplesmente abrir a pasta e clicar no botão Atualizar no Visualizador de Eventos (o botão com as duas setas verdes), você verá vários eventos na categoria do Sistema de Arquivos . Eles pertencem a qualquer operação de exclusão, criação, leitura e gravação nas pastas / arquivos que você está auditando. No Windows 7, tudo agora aparece na categoria de tarefa Sistema de arquivos, portanto, para ver o que aconteceu, você terá que clicar em cada um deles e percorrê-lo.
Para facilitar a procura em tantos eventos, você pode colocar um filtro e ver as coisas importantes. Clique no menu Visualizar na parte superior e clique em Filtrar . Se não houver opção para Filtro, clique com o botão direito do mouse no log de Segurança na página à esquerda e escolha Filtrar Log Atual . Na caixa Identificação do evento, digite o número 4656 . Este é o evento associado a um usuário em particular executando uma ação do Sistema de Arquivos e fornecerá as informações relevantes sem precisar examinar milhares de entradas.
Se você quiser obter mais informações sobre um evento, basta clicar duas vezes nele para ver.
Esta é a informação da tela acima:
Um identificador para um objeto foi solicitado.
Sujeito:
ID de segurança: Aseem-Lenovo \ Aseem
Nome da conta: Aseem
Domínio da conta: Aseem-Lenovo
ID de identificação: 0x175a1
Objeto:
Servidor de Objetos: Segurança
Tipo de objeto: arquivo
Nome do objeto: C: \ Usuários \ Aseem \ Desktop \ Tufu \ Novo texto Document.txt
Identificador de identificador: 0x16a0
Processo de informação:
ID do processo: 0x820
Nome do processo: C: \ Windows \ explorer.exe
Informações de solicitação de acesso:
ID da transação: {00000000-0000-0000-0000-000000000000}
Acessos: DELETE
SINCRONIZAR
ReadAttributes
No exemplo acima, o arquivo trabalhado foi New Text Document.txt na pasta Tufu em minha área de trabalho e os acessos que solicitei foram DELETE seguidos de SYNCHRONIZE. O que eu fiz aqui foi deletar o arquivo. Aqui está outro exemplo:
Tipo de objeto: arquivo
Nome do objeto: C: \ Usuários \ Aseem \ Desktop \ Tufu \ Address Labels.docx
Identificador de identificador: 0x178
Processo de informação:
ID do processo: 0x1008
Nome do processo: C: \ Arquivos de programas (x 86) \ Microsoft Office \ Office14 \ WINWORD.EXE
Informações de solicitação de acesso:
ID da transação: {00000000-0000-0000-0000-000000000000}
Acessos: READ_CONTROL
SINCRONIZAR
ReadData (ou ListDirectory)
WriteData (ou AddFile)
AppendData (ou AddSubdirectory ou CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Motivos de acesso: READ_CONTROL: concedido pela propriedade
SINCRONIZAR: Concedido por D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
Ao ler isso, você pode ver que eu acessei o Address Labels.docx usando o programa WINWORD.EXE e meus acessos incluíram READ_CONTROL e meus motivos de acesso também eram READ_CONTROL. Normalmente, você verá mais acessos, mas focará apenas no primeiro, que geralmente é o principal tipo de acesso. Neste caso, eu simplesmente abri o arquivo usando o Word. É preciso fazer um pequeno teste e ler os eventos para entender o que está acontecendo, mas uma vez que você o tenha feito, é um sistema muito confiável. Sugiro criar uma pasta de teste com arquivos e executar várias ações para ver o que aparece no Visualizador de Eventos.
Isso é muito bonito isso! Uma maneira rápida e gratuita de rastrear o acesso ou alterações em uma pasta!
Corrigir mídia é protegido contra gravação no Windows 7
Ao longo dos anos, um problema chato e difícil de corrigir que eu já vi no Windows XP, Vista e 7 é o erro protegido contra gravação de mídia. Você estará indo muito bem quando, de repente, não conseguir gravar nenhum arquivo no disco rígido local, em uma unidade externa, em uma unidade USB ou em um cartão SD.Mensagens
Como descriptografar arquivos criptografados do Windows
Você está tentando abrir alguns arquivos no seu computador que estão criptografados? O Windows geralmente designa nomes de arquivos ou pastas criptografados com a cor verde em vez do texto em preto normal.Nota: Se você estiver lendo este post procurando informações sobre a descriptografia de arquivos que foram criptografados pelo CryptoLocker, isso não ajudará. Você t