Как узнать, кто создал папку на сетевом диске
Обновлено: 21.11.2024
Отслеживание создания и удаления файлов/папок является обязательным для обеспечения безопасности данных и соблюдения требований нормативно-правового соответствия. Это также помогает администраторам следить за файлами/папками, присутствующими на файловом сервере. В случае атаки на систему безопасности, если хакер удалит файлы/папки на вашем файловом сервере, их будет легче отследить во время расследования.
Загрузить БЕСПЛАТНО Бесплатная полнофункциональная 30-дневная пробная версия
С собственным аудитом AD
С ADAudit Plus
Отчет в один клик для отслеживания создания и удаления файлов/папок с помощью ADAudit Plus
ADAudit Plus предоставляет исчерпывающие отчеты для объединения всей необходимой информации о файлах/папках, создаваемых или удаляемых на ваших серверах. Эти отчеты можно экспортировать, а также запланировать автоматическое создание в указанное время и доставку в ваш почтовый ящик. Вы также можете настроить оповещения, чтобы уведомлять вас об удалении прав доступа к важным файлам/папкам. Таким образом, вы сможете действовать немедленно.
Войдите в ADAudit Plus → перейдите на вкладку «Аудит файлов» → в разделе «Отчеты об аудите файлов» → перейдите к отчету «Созданные файлы», чтобы просмотреть созданные файлы/папки.
- Имя созданного файла/папки
- На каком сервере он был создан
- Кто его создал
- Когда он был создан
- Свойства объектов, включая ACL
- Клиентский компьютер, на котором был создан файл/папка
- Имя удаленного файла/папки
- С какого сервера он был удален
- Кто удалил его
- Когда он был удален
- Клиентский компьютер, с которого был удален файл/папка
Вот как вы можете контролировать создание и удаление файлов/папок:
Шаг 1. Включите политику аудита доступа к объектам:
Откройте локальную политику безопасности. Перейдите в «Настройки безопасности» и выберите «Локальные политики».
В разделе "Политика аудита" выберите "Аудит доступа к объектам" и включите аудит как для успешных, так и для неудачных попыток.
Шаг 2. Отредактируйте запись аудита в соответствующем файле/папке
Найдите родительский каталог или папку, в которой вы хотите отслеживать создание и удаление файлов/вложенных папок. Щелкните по нему правой кнопкой мыши и перейдите в «Свойства». На вкладке "Безопасность" нажмите "Дополнительно".
В разделе «Дополнительные параметры безопасности» перейдите на вкладку «Аудит» и нажмите «Добавить», чтобы добавить новую запись аудита.
В диалоговом окне "Запись аудита для Active Directory" введите следующие данные:
- Основной: введите имена пользователей, доступ которых вы хотите проверить.
- Тип: выберите тип доступа, который вы хотите проверить. Предпочтительно проверять все изменения.
- Применяется к: выберите, хотите ли вы проверять создание и удаление файлов/папок только в этой папке или во всех вложенных папках.
- Основные разрешения. Выберите типы разрешений, которые вы хотите проверить. Нажмите кнопку Дополнительные разрешения справа и выберите следующее:
- Создание файлов/запись данных
- Создавать папки/добавлять данные
- Удалить вложенные папки и файлы
Шаг 3. Просмотрите журналы аудита в средстве просмотра событий
Каждый раз, когда пользователь получает доступ к выбранному файлу/папке и меняет права доступа к нему, журнал событий будет записываться в средстве просмотра событий. В разделе «Журналы Windows» выберите «Безопасность». Вы можете найти все журналы аудита на средней панели, как показано ниже.
Чтобы отфильтровать журналы событий и просмотреть только журналы о созданных и удаленных файлах/папках, выберите «Фильтровать текущий журнал» на правой панели. Просто найдите событие с идентификатором 4656, указывающее на то, что был запрошен дескриптор доступа к объекту.
К сожалению, эти фильтры не просто дают вам список созданных файлов/папок. Они должны быть связаны с масками доступа, чтобы точно понять, какие файлы/папки были созданы или удалены.
В этом пошаговом руководстве показано, как найти информацию о владельцах файлов и папок с помощью командной строки. С помощью этого руководства можно проверить право собственности на один каталог, все подкаталоги и файлы. К вашему сведению, вы можете использовать этот прием практически на любой версии Windows.
Поиск сведений о владельцах файлов и папок с помощью CMD
- Откройте командную строку на своем компьютере.
- Перейдите к нужной папке
- Использовать командный переключатель DIR
- Поиск сведений о владельце
Чтобы начать, вам нужно сначала открыть командную строку. Существует несколько способов открыть окно командной строки на компьютере с Windows.Самый простой способ — найти его в поле поиска на панели задач или одновременно нажать кнопки Win+R, чтобы открыть окно «Выполнить», ввести в нем cmd и нажать Enter.
После открытия командной строки необходимо использовать командный переключатель DIR. Затем вам нужно перейти к папке, в которой находится целевой файл или папка.
Скажем, например, у вас есть папка на рабочем столе, и она называется TWC. Чтобы перейти в эту папку, вам нужно ввести эту команду-
Теперь, если вы хотите проверить информацию о владельце только папки TWC, введите эту команду-
Если вы хотите проверить информацию о владельце всех файлов, включенных в папку TWC, вы должны ввести эту команду-
Вы создадите несколько столбцов, как показано на следующем рисунке-
Четвертый столбец содержит имя владельца.
Поскольку все файлы принадлежат одной учетной записи пользователя или владельцу, отображается одно и то же имя. Если у вас несколько файлов и владельцев, вы можете найти разницу в том же столбце.
Эта команда также показывает количество файлов, папок или каталогов и соответствующий размер, чтобы вы могли выполнить следующую задачу в соответствии с вашими требованиями.
Связанные чтения:
Дата: 30 декабря 2019 г. Теги: CMD
Похожие сообщения
Как включить CTRL+C и CTRL+V в командной строке в Windows 11/10
Командная строка закрывается сразу после открытия пакетного файла
Параметры завершения работы командной строки для файла shutdown.exe в Windows 11/10
[электронная почта защищена]
Судип любит использовать новейшие технологии и гаджеты. Помимо того, что он пишет обо всем, что связано с технологиями, он увлекается фотошопом и увлекается футболом.
При работе с неизвестными или подозрительными файлами, особенно после заражения вирусами, вредоносными программами, троянскими программами, программами-вымогателями или другими вредоносными программами, может потребоваться выяснить, кто является пользователем, создавшим файлы, т. е. владельцем файлов. .
В сетевом окружении с общими папками и ривами mappedd обнаружение владельца файлов, создавшего или изменившего файлы, помогает отследить источник, из которого были получены файлы, а в случае вспышки заражения помочь локализовать проблему. .
Используйте один из следующих способов, чтобы определить владельца файла:
Способ 1: сведения о свойствах файла
Щелкните правой кнопкой мыши файл в проводнике Windows или проводнике, затем выберите «Свойства». Затем перейдите на вкладку Подробности. Если доступно, информация о владельце будет указана.
Метод 2: безопасность свойств файла
Щелкните правой кнопкой мыши файл в проводнике Windows или проводнике, затем выберите «Свойства». Затем перейдите на вкладку «Безопасность». Нажмите или коснитесь кнопки «Дополнительно», и вы сможете увидеть владельца в списке.
Примечание: в более ранних версиях Windows до Windows 10 вам может потребоваться перейти на вкладку «Владелец», чтобы просмотреть информацию о текущем владельце.
Способ 3. Команда Dir /Q
Команда Dir имеет переключатель, который может отображать владельца файла, и это /Q. Чтобы отобразить информацию о владельце, просто введите следующую команду:
Команда работает для всех пользователей, права администратора не требуются! Вы можете опустить имя файла, чтобы отобразить все файлы и каталоги для текущей папки вместе с их владельцами.
Метод 4: SubInACL
SubInACL — это инструмент командной строки, который позволяет администраторам получать информацию о безопасности файлов, разделов реестра и служб и передавать эту информацию от пользователя к пользователю, от локальной или глобальной группы к группе и от домена к домену. Его можно использовать для просмотра прав собственности на файлы.
Загрузите SubInACL от Microsoft. Затем откройте командную строку администратора и введите следующую команду, чтобы просмотреть текущего владельца:
Дэнни Мерфи
Существует множество причин, по которым вам может понадобиться отслеживать действия с файлами и папками на файловых серверах Windows; включая безопасность данных и соответствие требованиям. Знание того, когда пользователи получают доступ, читают, создают, изменяют или удаляют ваши файлы и папки, имеет первостепенное значение для обеспечения безопасности и целостности ваших файловых серверов. В этой статье мы покажем вам, как отслеживать, что происходит с вашими файлами и папками, с помощью собственных процессов, а также как использование Lepide File Server Auditor может помочь упростить весь процесс. Ниже приведены шаги:
Шаг 1. Настройте политику аудита «Аудит доступа к объектам»
Выполните следующие шаги, чтобы настроить эту политику аудита:
- На основном контроллере домена или на рабочей станции, где установлены «Средства администрирования», откройте диалоговое окно «Выполнить», введите «gpmc.msc» и нажмите «ОК», чтобы открыть консоль «Управление групповыми политиками».
- В окне «Управление групповыми политиками» щелкните правой кнопкой мыши стандартную или настроенную политику домена и выберите «Изменить» в контекстном меню, чтобы открыть окно редактора управления групповыми политиками.
Примечание. Рекомендуется создать новый объект групповой политики, связать его с доменом и отредактировать.
Шаг 2. Настройте аудит файлов и папок
Выполните следующие шаги, чтобы включить аудит файлов и папок, которые вы хотите проверить на файловом сервере Windows.
- Откройте «Проводник Windows» и перейдите к папке, которую вы хотите отслеживать.
- Щелкните правой кнопкой мыши папку и выберите «Свойства» в контекстном меню. На экране появится окно свойств папки.
Примечание. Если вы хотите отслеживать несколько папок, вам придется настроить аудит для каждой папки отдельно.
Шаг 3. Просмотр событий в средстве просмотра событий Windows
После того как вы настроили вышеуказанные параметры аудита, вы можете отслеживать любые изменения, внесенные в папки, подпапки и файлы. Для этого откройте «Просмотр событий Windows» и перейдите в «Журналы Windows» ➔ «Безопасность». На правой панели используйте параметр «Фильтровать текущий журнал», чтобы найти соответствующие события.
Например, если кто-либо создаст новый файл, в журнале будут зарегистрированы события с идентификатором 4656 и событие с идентификатором 4663. Чтобы проиллюстрировать это, в нашем случае был создан файл в папке «Рабочие файлы». На следующем изображении вы можете увидеть подробности события с идентификатором 4656:
Рисунок 7: Событие создания объекта для файла
Вы можете увидеть имя нового файла (C:\Work files\New Text Document), которое отображается после прокрутки боковой панели вниз.
То же самое событие с идентификатором 4656 показывает все обращения к объектам, таким как файлы и папки.
Легко отслеживать действия с файлами и папками с помощью Lepide File Server Auditor
Lepide File Server Auditor (часть Lepide Data Security Platform) можно использовать для отслеживания всех действий пользователей с файлами и папками. В отличие от собственного аудита, вам не нужно вручную включать аудит для разных файлов и папок. Вам просто нужно установить решение, один раз настроить параметры аудита, и все готово.
На следующем изображении показан отчет о создании файлов и папок. Вы можете фильтровать записи по любому столбцу; включая имя файла, время создания, имя пользователя и любой другой доступный столбец. Вся необходимая информация, связанная с событием создания, отображается в одной строке записи.
Рисунок 8: Отчет о создании файла
На изображении выше мы выделили запись, содержащую информацию о том, где был создан файл. Ответы на все соответствующие вопросы аудита, такие как «кто, что, когда и где», доступны в одной строке записи.
Заключение
В этой статье вы увидели, как отслеживать все действия с файлами и папками на файловом сервере Windows, используя как собственные методы, так и Lepide File Server Auditor. Программное обеспечение для аудита файловых серверов Lepide, безусловно, является более простым вариантом. Оно поможет вам отслеживать все файлы и папки на ваших файловых серверах Windows.
Читайте также: