Cómo rastrear cuando alguien accede a una carpeta en su computadora

Hay una característica pequeña y agradable incorporada en Windows que le permite rastrear cuando alguien ve, edita o elimina algo dentro de una carpeta específica. Entonces, si hay una carpeta o un archivo al que desea saber quién está accediendo, entonces este es el método integrado sin tener que usar software de terceros.

Esta característica es en realidad parte de una característica de seguridad de Windows llamada Política de grupo, que es utilizado por la mayoría de los profesionales de TI que administran computadoras en la red corporativa a través de servidores, sin embargo, también se puede usar localmente en una PC sin ningún servidor. El único inconveniente de utilizar la directiva de grupo es que no está disponible en versiones inferiores de Windows. Para Windows 7, debe tener Windows 7 Professional o superior. Para Windows 8, necesita Pro o Enterprise.

El término Política de grupo se refiere básicamente a un conjunto de configuraciones de registro que se pueden controlar mediante una interfaz gráfica de usuario. Habilita o deshabilita varias configuraciones y estas ediciones se actualizan en el registro de Windows.

En Windows XP, para acceder al editor de políticas, haga clic en comienzo y entonces correr. En el cuadro de texto, escriba “gpedit.msc”Sin las comillas como se muestra a continuación:

ejecutar gpedit

En Windows 7, simplemente haga clic en el botón Inicio y escriba gpedit.msc en el cuadro de búsqueda en la parte inferior del menú Inicio. En Windows 8, simplemente vaya a la pantalla de inicio y comience a escribir o mueva el cursor del mouse hacia la parte superior o inferior derecha de la pantalla para abrir el Encantos barra y haga clic en Buscar. Entonces solo escribe gpedit. Ahora debería ver algo similar a la imagen a continuación:

editor de políticas de grupo

Hay dos categorías principales de políticas: Usuario y Computadora. Como habrá adivinado, las políticas de usuario controlan la configuración de cada usuario, mientras que la configuración de la computadora será la configuración de todo el sistema y afectará a todos los usuarios. En nuestro caso, vamos a querer que nuestra configuración sea para todos los usuarios, así que ampliaremos la Configuracion de Computadora sección.

Continuar expandiendo a Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Política de auditoría. No voy a explicar muchas de las otras configuraciones aquí, ya que se centra principalmente en auditar una carpeta. Ahora verá un conjunto de políticas y su configuración actual en el lado derecho. La política de auditoría es lo que controla si el sistema operativo está configurado y listo para realizar un seguimiento de los cambios.

acceso a objetos de auditoría

Ahora verifique la configuración para Acceso a objetos de auditoría haciendo doble clic en él y seleccionando ambos Éxito y Fracaso. Haga clic en Aceptar y ahora hemos terminado la primera parte que le dice a Windows que queremos que esté listo para monitorear los cambios. Ahora el siguiente paso es decirle qué queremos rastrear EXACTAMENTE. Puede cerrar la consola de políticas de grupo ahora.

Ahora navegue a la carpeta usando el Explorador de Windows que le gustaría monitorear. En el Explorador, haga clic derecho en la carpeta y haga clic en Propiedades. Clickea en el Pestaña de seguridad y ves algo similar a esto:

pestaña de seguridad del explorador

Ahora haga clic en el Avanzado y haga clic en el Revisión de cuentas lengüeta. Aquí es donde realmente configuraremos lo que queremos monitorear para esta carpeta.

ventanas de pestañas de auditoría

Adelante, haga clic en el Añadir botón. Aparecerá un cuadro de diálogo que le pedirá que seleccione un usuario o grupo. En el cuadro, escriba la palabra “usuarios“Y haga clic en Comprobar nombres. El cuadro se actualizará automáticamente con el nombre del grupo de usuarios locales para su computadora en el formulario COMPUTERNAME Usuarios.

permisos de grupos de usuarios

Haga clic en Aceptar y ahora obtendrá otro cuadro de diálogo llamado “Entrada de auditoría para X“. Esta es la verdadera esencia de lo que hemos querido hacer. Aquí es donde seleccionará lo que desea ver para esta carpeta. Puede elegir individualmente qué tipos de actividad desea rastrear, como eliminar o crear nuevos archivos / carpetas, etc. Para facilitar las cosas, sugiero seleccionar Control total, que seleccionará automáticamente todas las demás opciones debajo de él. Haz esto por Éxito y Fracaso. De esta manera, cualquier cosa que se haga en esa carpeta o los archivos dentro de ella, tendrá un registro.

explorador de permisos de auditoría

Ahora haga clic en Aceptar y haga clic en Aceptar de nuevo y Aceptar una vez más para salir del conjunto de cuadros de diálogo múltiple. ¡Y ahora ha configurado correctamente la auditoría en una carpeta! Entonces, podría preguntar, ¿cómo ve los eventos?

Para ver los eventos, debe ir al Panel de control y hacer clic en Herramientas administrativas. Entonces abre el Visor de eventos. Clickea en el Seguridad sección y verá una gran lista de eventos en el lado derecho:

seguridad del visor de eventos

Si continúa y crea un archivo o simplemente abre la carpeta y hace clic en el botón Actualizar en el Visor de eventos (el botón con las dos flechas verdes), verá un montón de eventos en la categoría de Sistema de archivos. Estos pertenecen a cualquier operación de eliminación, creación, lectura o escritura en las carpetas / archivos que está auditando. En Windows 7, todo ahora se muestra en la categoría de tareas Sistema de archivos, por lo que para ver qué sucedió, tendrá que hacer clic en cada una y desplazarse por ella.

Para que sea más fácil ver tantos eventos, puede poner un filtro y ver lo importante. Clickea en el Ver menú en la parte superior y haga clic en Filtrar. Si no hay ninguna opción para Filtro, haga clic con el botón derecho en el registro de seguridad en la página de la izquierda y elija Filtrar registro actual. En el cuadro Id. De evento, escriba el número 4656. Este es el evento asociado con un usuario en particular que realiza una Sistema de archivos acción y le brindará la información relevante sin tener que revisar miles de entradas.

registro de filtro

Si desea obtener más información sobre un evento, simplemente haga doble clic en él para verlo.

identificación de evento eliminar

Esta es la información de la pantalla de arriba:

Se solicitó un identificador para un objeto.

Tema:
Identificación de seguridad: Aseem-Lenovo Aseem
Nombre de cuenta: Aseem
Dominio de cuenta: Aseem-Lenovo
ID de inicio de sesión: 0x175a1

Objeto:
Servidor de objetos: seguridad
Tipo de objeto: Archivo
Nombre del objeto: C: Users Aseem Desktop Tufu New Text Document.txt
Identificación del mango: 0x16a0

Procesar informacion:
ID de proceso: 0x820
Nombre de proceso: C: Windows explorer.exe

Información de solicitud de acceso:
ID de transacción: {00000000-0000-0000-0000-000000000000}
Accesos: BORRAR
SINCRONIZAR
ReadAttributes

En el ejemplo anterior, el archivo en el que se trabajó fue New Text Document.txt en la carpeta Tufu en mi escritorio y los accesos que solicité fueron BORRAR seguido de SINCRONIZAR. Lo que hice aquí fue borrar el archivo. Aquí hay otro ejemplo:

Tipo de objeto: Archivo
Nombre del objeto: C: Users Aseem Desktop Tufu Address Labels.docx
Identificador de mango: 0x178

Procesar informacion:
ID de proceso: 0x1008
Nombre de proceso: C: Archivos de programa (x86) Microsoft Office Office14 WINWORD.EXE

Información de solicitud de acceso:
ID de transacción: {00000000-0000-0000-0000-000000000000}
Accesos: READ_CONTROL
SINCRONIZAR
ReadData (o ListDirectory)
WriteData (o AddFile)
AppendData (o AddSubdirectory o CreatePipeInstance)
ReadEA
EscribirEA
ReadAttributes
WriteAttributes

Razones de acceso: READ_CONTROL: Otorgado por la propiedad
SINCRONIZAR: Concedido por D: (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)

Mientras lee esto, puede ver que accedí a Address Labels.docx usando el programa WINWORD.EXE y mis accesos incluyeron READ_CONTROL y mis motivos de acceso también fueron READ_CONTROL. Por lo general, verá muchos más accesos, pero concéntrese en el primero, ya que suele ser el tipo de acceso principal. En este caso, simplemente abrí el archivo usando Word. Se necesita un poco de prueba y lectura de los eventos para comprender qué está sucediendo, pero una vez que lo tiene, es un sistema muy confiable. Sugiero crear una carpeta de prueba con archivos y realizar varias acciones para ver qué aparece en el Visor de eventos.

¡Eso es practicamente todo! ¡Una forma rápida y gratuita de rastrear el acceso o los cambios a una carpeta!

Santiago
Los ordenadores siempre han sido una gran parte de mi vida. Decidí crear este sitio para plasmar todo lo aprendido durante tantos años trasteando con estás maquinas. Cuando no estoy editando mi web, me dedico a reparar aerogeneradores.

Deja un comentario