Как узнать, кто создал папку на сетевом диске

Обновлено: 03.07.2024

Отслеживание создания и удаления файлов/папок является обязательным для обеспечения безопасности данных и соблюдения требований нормативно-правового соответствия. Это также помогает администраторам следить за файлами/папками, присутствующими на файловом сервере. В случае атаки на систему безопасности, если хакер удалит файлы/папки на вашем файловом сервере, их будет легче отследить во время расследования.

Загрузить БЕСПЛАТНО Бесплатная полнофункциональная 30-дневная пробная версия

С собственным аудитом AD

С ADAudit Plus

Отчет в один клик для отслеживания создания и удаления файлов/папок с помощью ADAudit Plus

ADAudit Plus предоставляет исчерпывающие отчеты для объединения всей необходимой информации о файлах/папках, создаваемых или удаляемых на ваших серверах. Эти отчеты можно экспортировать, а также запланировать автоматическое создание в указанное время и доставку в ваш почтовый ящик. Вы также можете настроить оповещения, чтобы уведомлять вас об удалении прав доступа к важным файлам/папкам. Таким образом, вы сможете действовать немедленно.

Войдите в ADAudit Plus → перейдите на вкладку «Аудит файлов» → в разделе «Отчеты об аудите файлов» → перейдите к отчету «Созданные файлы», чтобы просмотреть созданные файлы/папки.

    1. Имя созданного файла/папки
    2. На каком сервере он был создан
    3. Кто его создал
    4. Когда он был создан
    5. Свойства объектов, включая ACL
    6. Клиентский компьютер, на котором был создан файл/папка

отчет о создании файла

  1. Имя удаленного файла/папки
  2. С какого сервера он был удален
  3. Кто удалил его
  4. Когда он был удален
  5. Клиентский компьютер, с которого был удален файл/папка

Вот как вы можете контролировать создание и удаление файлов/папок:

Шаг 1. Включите политику аудита доступа к объектам:

Откройте локальную политику безопасности. Перейдите в «Настройки безопасности» и выберите «Локальные политики».

В разделе "Политика аудита" выберите "Аудит доступа к объектам" и включите аудит как для успешных, так и для неудачных попыток.

Шаг 2. Отредактируйте запись аудита в соответствующем файле/папке

Найдите родительский каталог или папку, в которой вы хотите отслеживать создание и удаление файлов/вложенных папок. Щелкните по нему правой кнопкой мыши и перейдите в «Свойства». На вкладке "Безопасность" нажмите "Дополнительно".

В разделе «Дополнительные параметры безопасности» перейдите на вкладку «Аудит» и нажмите «Добавить», чтобы добавить новую запись аудита.

В диалоговом окне "Запись аудита для Active Directory" введите следующие данные:

  1. Основной: введите имена пользователей, доступ которых вы хотите проверить.
  2. Тип: выберите тип доступа, который вы хотите проверить. Предпочтительно проверять все изменения.
  3. Применяется к: выберите, хотите ли вы проверять создание и удаление файлов/папок только в этой папке или во всех вложенных папках.
  4. Основные разрешения. Выберите типы разрешений, которые вы хотите проверить. Нажмите кнопку Дополнительные разрешения справа и выберите следующее:
    1. Создание файлов/запись данных
    2. Создавать папки/добавлять данные
    3. Удалить вложенные папки и файлы
    Шаг 3. Просмотрите журналы аудита в средстве просмотра событий

    Каждый раз, когда пользователь получает доступ к выбранному файлу/папке и меняет права доступа к нему, журнал событий будет записываться в средстве просмотра событий. В разделе «Журналы Windows» выберите «Безопасность». Вы можете найти все журналы аудита на средней панели, как показано ниже.

    Чтобы отфильтровать журналы событий и просмотреть только журналы о созданных и удаленных файлах/папках, выберите «Фильтровать текущий журнал» на правой панели. Просто найдите событие с идентификатором 4656, указывающее на то, что был запрошен дескриптор доступа к объекту.

    К сожалению, эти фильтры не просто дают вам список созданных файлов/папок. Они должны быть связаны с масками доступа, чтобы точно понять, какие файлы/папки были созданы или удалены.

    В этом пошаговом руководстве показано, как найти информацию о владельцах файлов и папок с помощью командной строки. С помощью этого руководства можно проверить право собственности на один каталог, все подкаталоги и файлы. К вашему сведению, вы можете использовать этот прием практически на любой версии Windows.

    Поиск сведений о владельцах файлов и папок с помощью CMD

    1. Откройте командную строку на своем компьютере.
    2. Перейдите к нужной папке
    3. Использовать командный переключатель DIR
    4. Поиск сведений о владельце

    Чтобы начать, вам нужно сначала открыть командную строку. Существует несколько способов открыть окно командной строки на компьютере с Windows.Самый простой способ — найти его в поле поиска на панели задач или одновременно нажать кнопки Win+R, чтобы открыть окно «Выполнить», ввести в нем cmd и нажать Enter.

    После открытия командной строки необходимо использовать командный переключатель DIR. Затем вам нужно перейти к папке, в которой находится целевой файл или папка.

    Скажем, например, у вас есть папка на рабочем столе, и она называется TWC. Чтобы перейти в эту папку, вам нужно ввести эту команду-

    Теперь, если вы хотите проверить информацию о владельце только папки TWC, введите эту команду-

    Если вы хотите проверить информацию о владельце всех файлов, включенных в папку TWC, вы должны ввести эту команду-

    Вы создадите несколько столбцов, как показано на следующем рисунке-

    Как найти информацию о владельце файла с помощью командной строки

    Четвертый столбец содержит имя владельца.

    Поскольку все файлы принадлежат одной учетной записи пользователя или владельцу, отображается одно и то же имя. Если у вас несколько файлов и владельцев, вы можете найти разницу в том же столбце.

    Эта команда также показывает количество файлов, папок или каталогов и соответствующий размер, чтобы вы могли выполнить следующую задачу в соответствии с вашими требованиями.

    Связанные чтения:

    Дата: 30 декабря 2019 г. Теги: CMD

    Похожие сообщения


    Как включить CTRL+C и CTRL+V в командной строке в Windows 11/10

    Командная строка закрывает открытие командного файла

    Командная строка закрывается сразу после открытия пакетного файла

    Параметры завершения работы командной строки для файла shutdown.exe в Windows 11/10

    [электронная почта защищена]

    Судип любит использовать новейшие технологии и гаджеты. Помимо того, что он пишет обо всем, что связано с технологиями, он увлекается фотошопом и увлекается футболом.

    При работе с неизвестными или подозрительными файлами, особенно после заражения вирусами, вредоносными программами, троянскими программами, программами-вымогателями или другими вредоносными программами, может потребоваться выяснить, кто является пользователем, создавшим файлы, т. е. владельцем файлов. .

    В сетевом окружении с общими папками и ривами mappedd обнаружение владельца файлов, создавшего или изменившего файлы, помогает отследить источник, из которого были получены файлы, а в случае вспышки заражения помочь локализовать проблему. .

    Используйте один из следующих способов, чтобы определить владельца файла:

    Способ 1: сведения о свойствах файла

    Щелкните правой кнопкой мыши файл в проводнике Windows или проводнике, затем выберите «Свойства». Затем перейдите на вкладку Подробности. Если доступно, информация о владельце будет указана.

    Владелец файла

    Метод 2: безопасность свойств файла

    Щелкните правой кнопкой мыши файл в проводнике Windows или проводнике, затем выберите «Свойства». Затем перейдите на вкладку «Безопасность». Нажмите или коснитесь кнопки «Дополнительно», и вы сможете увидеть владельца в списке.

    Информация о владельце в дополнительных деталях безопасности

    Примечание: в более ранних версиях Windows до Windows 10 вам может потребоваться перейти на вкладку «Владелец», чтобы просмотреть информацию о текущем владельце.

    Способ 3. Команда Dir /Q

    Команда Dir имеет переключатель, который может отображать владельца файла, и это /Q. Чтобы отобразить информацию о владельце, просто введите следующую команду:

    Команда работает для всех пользователей, права администратора не требуются! Вы можете опустить имя файла, чтобы отобразить все файлы и каталоги для текущей папки вместе с их владельцами.

    Метод 4: SubInACL

    SubInACL — это инструмент командной строки, который позволяет администраторам получать информацию о безопасности файлов, разделов реестра и служб и передавать эту информацию от пользователя к пользователю, от локальной или глобальной группы к группе и от домена к домену. Его можно использовать для просмотра прав собственности на файлы.

    Загрузите SubInACL от Microsoft. Затем откройте командную строку администратора и введите следующую команду, чтобы просмотреть текущего владельца:


    < /p>

    Дэнни Мерфи

    Существует множество причин, по которым вам может понадобиться отслеживать действия с файлами и папками на файловых серверах Windows; включая безопасность данных и соответствие требованиям. Знание того, когда пользователи получают доступ, читают, создают, изменяют или удаляют ваши файлы и папки, имеет первостепенное значение для обеспечения безопасности и целостности ваших файловых серверов. В этой статье мы покажем вам, как отслеживать, что происходит с вашими файлами и папками, с помощью собственных процессов, а также как использование Lepide File Server Auditor может помочь упростить весь процесс. Ниже приведены шаги:

    Шаг 1. Настройте политику аудита «Аудит доступа к объектам»

    Выполните следующие шаги, чтобы настроить эту политику аудита:

    1. На основном контроллере домена или на рабочей станции, где установлены «Средства администрирования», откройте диалоговое окно «Выполнить», введите «gpmc.msc» и нажмите «ОК», чтобы открыть консоль «Управление групповыми политиками».
    2. В окне «Управление групповыми политиками» щелкните правой кнопкой мыши стандартную или настроенную политику домена и выберите «Изменить» в контекстном меню, чтобы открыть окно редактора управления групповыми политиками.

    Примечание. Рекомендуется создать новый объект групповой политики, связать его с доменом и отредактировать.

    Шаг 2. Настройте аудит файлов и папок

    Выполните следующие шаги, чтобы включить аудит файлов и папок, которые вы хотите проверить на файловом сервере Windows.

    1. Откройте «Проводник Windows» и перейдите к папке, которую вы хотите отслеживать.
    2. Щелкните правой кнопкой мыши папку и выберите «Свойства» в контекстном меню. На экране появится окно свойств папки.

    Примечание. Если вы хотите отслеживать несколько папок, вам придется настроить аудит для каждой папки отдельно.

    Шаг 3. Просмотр событий в средстве просмотра событий Windows

    После того как вы настроили вышеуказанные параметры аудита, вы можете отслеживать любые изменения, внесенные в папки, подпапки и файлы. Для этого откройте «Просмотр событий Windows» и перейдите в «Журналы Windows» ➔ «Безопасность». На правой панели используйте параметр «Фильтровать текущий журнал», чтобы найти соответствующие события.

    Например, если кто-либо создаст новый файл, в журнале будут зарегистрированы события с идентификатором 4656 и событие с идентификатором 4663. Чтобы проиллюстрировать это, в нашем случае был создан файл в папке «Рабочие файлы». На следующем изображении вы можете увидеть подробности события с идентификатором 4656:


    < /p>

    Рисунок 7: Событие создания объекта для файла

    Вы можете увидеть имя нового файла (C:\Work files\New Text Document), которое отображается после прокрутки боковой панели вниз.

    То же самое событие с идентификатором 4656 показывает все обращения к объектам, таким как файлы и папки.

    Легко отслеживать действия с файлами и папками с помощью Lepide File Server Auditor

    Lepide File Server Auditor (часть Lepide Data Security Platform) можно использовать для отслеживания всех действий пользователей с файлами и папками. В отличие от собственного аудита, вам не нужно вручную включать аудит для разных файлов и папок. Вам просто нужно установить решение, один раз настроить параметры аудита, и все готово.

    На следующем изображении показан отчет о создании файлов и папок. Вы можете фильтровать записи по любому столбцу; включая имя файла, время создания, имя пользователя и любой другой доступный столбец. Вся необходимая информация, связанная с событием создания, отображается в одной строке записи.

    Отчет о создании файла

    Рисунок 8: Отчет о создании файла

    На изображении выше мы выделили запись, содержащую информацию о том, где был создан файл. Ответы на все соответствующие вопросы аудита, такие как «кто, что, когда и где», доступны в одной строке записи.

    Заключение

    В этой статье вы увидели, как отслеживать все действия с файлами и папками на файловом сервере Windows, используя как собственные методы, так и Lepide File Server Auditor. Программное обеспечение для аудита файловых серверов Lepide, безусловно, является более простым вариантом. Оно поможет вам отслеживать все файлы и папки на ваших файловых серверах Windows.

    Читайте также: