Come tenere traccia di quando qualcuno accede a una cartella sul tuo computer

C'è una piccola funzionalità integrata in Windows che ti consente di tenere traccia di quando qualcuno visualizza, modifica o elimina qualcosa all'interno di una cartella specificata. Quindi, se c'è una cartella o un file(folder or file) a cui vuoi sapere chi sta accedendo, allora questo è il metodo integrato senza dover utilizzare software di terze parti.

Questa funzionalità è in realtà parte di una funzionalità di sicurezza di Windows(Windows security)  denominata Criteri( Group Policy) di gruppo , utilizzata dalla maggior parte dei professionisti IT(IT Professionals) che gestiscono i computer nella rete aziendale tramite server, tuttavia può essere utilizzata anche localmente su un PC senza server. L'unico aspetto negativo dell'utilizzo di Criteri(Group Policy) di gruppo è che non è disponibile nelle versioni precedenti di Windows . Per Windows 7 è necessario disporre di Windows 7 Professional o versioni successive. Per Windows 8 , hai bisogno di Pro o Enterprise .

Il termine Criteri(Group Policy) di gruppo si riferisce fondamentalmente a un insieme di impostazioni del registro che possono essere controllate tramite un'interfaccia utente grafica(user interface) . Si abilitano o si disabilitano varie impostazioni e queste modifiche vengono quindi aggiornate nel registro di Windows(Windows registry) .

In Windows XP , per accedere all'editor dei criteri(policy editor) , fare clic su Start e quindi su Esegui(Run) . Nella casella di testo, digita " gpedit.msc " senza le virgolette come mostrato di seguito:

esegui gpedit

In Windows 7 , è sufficiente fare clic sul pulsante Start e digitare (Start button and type)gpedit.msc nella casella di ricerca(search box) nella parte inferiore del menu Start(Start Menu) . In Windows 8 , vai semplicemente alla schermata Start(Start Screen) e inizia a digitare o sposta il cursore del mouse(mouse cursor) nell'estrema parte superiore o inferiore destra dello schermo per aprire la barra degli accessi(Charms) e fare clic su Cerca(Search) . Quindi digita semplicemente gpedit . Ora dovresti vedere qualcosa di simile all'immagine qui sotto:

editore di criteri di gruppo

Esistono due categorie principali di criteri: Utente(User) e Computer . Come avrai intuito, le politiche utente controllano le impostazioni per ciascun utente mentre le impostazioni del computer saranno impostazioni a livello di sistema e avranno effetto su tutti gli utenti. Nel nostro caso, vorremo che le nostre impostazioni siano per tutti gli utenti, quindi espanderemo la sezione Configurazione del computer(Computer Configuration) .

Continua a espandere in Impostazioni di Windows(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . Non spiegherò gran parte delle altre impostazioni qui poiché si concentra principalmente sull'auditing di una cartella. Ora vedrai una serie di criteri e le relative impostazioni correnti sul lato(hand side) destro . La politica di controllo(Audit policy) è ciò che controlla se il sistema operativo(operating system) è configurato o meno e pronto per tenere traccia delle modifiche.

controllare l'accesso agli oggetti

Ora controlla l'impostazione per Audit Object Access facendo doppio clic su di esso e selezionando sia Successo(Success) che Fallimento(Failure) . Fai clic su OK(Click OK) e ora abbiamo terminato la prima parte che dice a Windows che vogliamo che sia pronto per monitorare le modifiche. Ora il prossimo passo è dirgli cosa ESATTAMENTE(EXACTLY) vogliamo tracciare. Ora puoi chiudere la console dei criteri di gruppo(Group Policy console) .

Ora vai alla cartella usando Windows Explorer che desideri monitorare. In Explorer , fare clic con il pulsante destro del mouse sulla cartella e fare clic su (folder and click) Proprietà(Properties) . Fai clic sulla scheda Sicurezza( Security Tab) e vedrai qualcosa di simile a questo:

scheda di sicurezza dell'esploratore

Ora fai clic sul pulsante Avanzate(Advanced) e fai clic sulla scheda Auditing . Qui è dove configureremo effettivamente ciò che vogliamo monitorare per questa cartella.

finestre delle schede di controllo

Vai avanti e fai clic sul pulsante Aggiungi(Add) . Apparirà una finestra di dialogo che ti chiederà di selezionare un utente o un gruppo(User or Group) . Nella casella, digita la parola " (word “)utenti(users) " e fai clic su Verifica nomi(Check Names) . La casella si aggiornerà automaticamente con il nome del gruppo di utenti locali per il tuo computer nel modulo COMPUTERNAME\Users .

autorizzazioni del gruppo di utenti

Fai clic su OK(Click OK) e ora otterrai un'altra finestra di dialogo chiamata " Audit Entry for X ". Questa è la vera carne di quello che volevamo fare. Qui è dove selezionerai cosa vuoi guardare per questa cartella. Puoi scegliere individualmente quali tipi di attività vuoi monitorare, come eliminare o creare nuovi file/cartelle, ecc. Per semplificare le cose, ti suggerisco di selezionare Controllo completo(Full Control) , che selezionerà automaticamente tutte le altre opzioni sottostanti. Fallo per il successo(Success) e il fallimento(Failure) . In questo modo, qualunque cosa venga fatta a quella cartella o ai file al suo interno, avrai un record.

Esplora permessi di controllo

Ora fai clic su OK e fai nuovamente clic su OK e su OK ancora una volta per uscire dal set di finestre di dialogo(dialog box) multiple . E ora hai configurato correttamente l'auditing su una cartella! Quindi potresti chiedere, come vedi gli eventi?

Per visualizzare gli eventi è necessario accedere al Pannello di controllo e fare clic(Control Panel and click) su Strumenti di amministrazione(Administrative Tools) . Quindi apri il Visualizzatore eventi(Event Viewer) . Fai clic sulla sezione Sicurezza(Security) e vedrai un ampio elenco di eventi sul lato(hand side) destro :

sicurezza del visualizzatore di eventi

Se vai avanti e crei un file o semplicemente apri la cartella e fai clic sul pulsante Aggiorna(Refresh button) nel Visualizzatore eventi(Event Viewer) (il pulsante con le due frecce verdi), vedrai un sacco di eventi nella categoria File System . Questi riguardano qualsiasi operazione di eliminazione, creazione, lettura e scrittura sulle cartelle/file che si sta controllando. In Windows 7 , tutto ora viene visualizzato nella categoria delle attività File System(File System task) , quindi per vedere cosa è successo, dovrai fare clic su ciascuno e scorrerlo.

Per semplificare la visualizzazione di così tanti eventi, puoi inserire un filtro e vedere solo le cose importanti. Clicca(Click) sul menu Visualizza in alto e clicca su (View)Filtro(Filter) . Se non è disponibile alcuna opzione per Filtro(Filter) , fai clic con il pulsante destro del mouse sul registro di sicurezza(Security log) nella pagina a sinistra e scegli Filtra registro corrente(Filter Current Log) . Nella casella ID evento(Event ID box) , digitare il numero 4656 . Questo è l'evento associato a un particolare utente che esegue un'azione del file system (File System ) e ti fornirà le informazioni rilevanti senza dover esaminare migliaia di voci.

registro del filtro

Se desideri ottenere maggiori informazioni su un evento, fai semplicemente doppio clic su di esso per visualizzarlo.

Elimina ID evento

Queste sono le informazioni dalla schermata in alto:

È stato richiesto un handle per un oggetto.(A handle to an object was requested.)

Oggetto: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Nome account Aseem ( Account Name: Aseem)
: Dominio account Aseem: ( Account Domain: Aseem-Lenovo)
ID accesso Aseem-Lenovo: 0x175a1( Logon ID: 0x175a1)

Oggetto: (Object:)
Server oggetti: Sicurezza ( Object Server: Security)
Tipo oggetto: File ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID handle: 0x16a0( Handle ID: 0x16a0)

Informazioni (Process Information:)
sul processo: ID processo: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Informazioni sulla richiesta di accesso: (Access Request Information:)
ID transazione: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Accessi: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

Nell'esempio sopra, il file su cui ho lavorato era New Text Document.txt nella cartella Tufu(Tufu folder) sul mio desktop e gli accessi che ho richiesto sono stati DELETE seguiti da SYNCHRONIZE . Quello che ho fatto qui è stato eliminare il file. Ecco un altro esempio:

Tipo di oggetto: File ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID maniglia: 0x178( Handle ID: 0x178)

Informazioni (Process Information:)
sul processo: ID processo: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Informazioni sulla richiesta di accesso: (Access Request Information:)
ID transazione: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Accessi: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (o ListDirectory) ( ReadData (or ListDirectory))
WriteData (o AddFile) ( WriteData (or AddFile))
AppendData (o AddSubdirectory o CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Motivi di accesso: READ_CONTROL: Concesso dalla proprietà ( Access Reasons: READ_CONTROL: Granted by Ownership)
SINCRONIZZA: Concesso da D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Mentre leggi questo, puoi vedere che ho effettuato l'accesso a Address Labels.docx(Address Labels.docx) usando il programma WINWORD.EXE(WINWORD.EXE program) e i miei accessi includevano READ_CONTROL e anche i miei motivi di accesso erano READ_CONTROL . Di solito vedrai un sacco di accessi in più, ma concentrati solo sul primo poiché di solito è il tipo principale di accesso. In questo caso, ho semplicemente aperto il file usando Word . Ci vuole un po' di test e lettura(testing and reading) degli eventi per capire cosa sta succedendo, ma una volta scaricato, è un sistema molto affidabile. Suggerisco di creare una cartella di prova(test folder) con i file e di eseguire varie azioni per vedere cosa appare nel Visualizzatore eventi(Event Viewer) .

Questo è praticamente tutto! Un modo rapido e gratuito per tenere traccia degli accessi o delle modifiche(access or changes) a una cartella!



Edoardo Fabbri

About the author

Sono uno sviluppatore web con esperienza di lavoro sia con Windows 11 che con Windows 10. Sono anche un utente di Firefox da molti anni e sono diventato abbastanza abile nell'uso della nuovissima console di gioco Xbox One. I miei interessi principali risiedono nello sviluppo di software, in particolare nello sviluppo web e mobile, nonché nella scienza dei dati. Sono molto ben informato sui vari sistemi informatici e sul loro utilizzo, quindi posso fornire un feedback imparziale su vari programmi o servizi che potresti utilizzare.


Related posts