Comment savoir quand quelqu'un accède à un dossier sur votre ordinateur
Il existe une jolie petite fonctionnalité intégrée à Windows qui vous permet de savoir quand quelqu'un visualise, modifie ou supprime quelque chose à l'intérieur d'un dossier spécifié. Donc, s'il y a un dossier ou un fichier(folder or file) auquel vous voulez savoir qui accède, c'est la méthode intégrée sans avoir à utiliser de logiciel tiers.
Cette fonctionnalité fait en fait partie d'une fonctionnalité de sécurité Windows(Windows security) appelée Stratégie de groupe( Group Policy) , qui est utilisée par la plupart des professionnels de l'informatique(IT Professionals) qui gèrent les ordinateurs du réseau d'entreprise via des serveurs, mais elle peut également être utilisée localement sur un PC sans aucun serveur. Le seul inconvénient de l'utilisation de la stratégie de groupe(Group Policy) est qu'elle n'est pas disponible dans les versions inférieures de Windows . Pour Windows 7 , vous devez disposer de Windows 7 Professionnel(Professional) ou supérieur. Pour Windows 8 , vous avez besoin de Pro ou Enterprise .
Le terme stratégie de groupe(Group Policy) fait essentiellement référence à un ensemble de paramètres de registre pouvant être contrôlés via une interface utilisateur graphique(user interface) . Vous activez ou désactivez divers paramètres et ces modifications sont ensuite mises à jour dans le registre Windows(Windows registry) .
Sous Windows XP , pour accéder à l' éditeur de stratégie(policy editor) , cliquez sur Démarrer(Start) puis sur Exécuter(Run) . Dans la zone de texte, tapez « gpedit.msc » sans les guillemets, comme indiqué ci-dessous :
Dans Windows 7 , il vous suffit de cliquer sur le bouton Démarrer et de taper (Start button and type)gpedit.msc dans la zone de recherche(search box) en bas du menu Démarrer(Start Menu) . Sous Windows 8 , accédez simplement à l' écran(Start Screen) de démarrage et commencez à taper ou déplacez le curseur de votre souris(mouse cursor) tout en haut ou en bas à droite de l'écran pour ouvrir la barre des icônes(Charms) et cliquez sur Rechercher(Search) . Ensuite, tapez simplement gpedit . Vous devriez maintenant voir quelque chose qui ressemble à l'image ci-dessous :
Il existe deux catégories principales de stratégies : Utilisateur(User) et Ordinateur(Computer) . Comme vous l'avez peut-être deviné, les stratégies utilisateur contrôlent les paramètres de chaque utilisateur, tandis que les paramètres de l'ordinateur seront des paramètres à l'échelle du système et affecteront tous les utilisateurs. Dans notre cas, nous allons vouloir que notre paramètre soit pour tous les utilisateurs, nous allons donc développer la section Configuration de l'ordinateur(Computer Configuration) .
Continuez à développer Paramètres Windows(Windows Settings) -> Security Settings -> Local Policies -> Audit Policy . Je n'expliquerai pas grand-chose des autres paramètres ici, car ils sont principalement axés sur l'audit d'un dossier. Vous verrez maintenant un ensemble de stratégies et leurs paramètres actuels sur le côté(hand side) droit . La stratégie d'audit(Audit policy) est ce qui contrôle si le système d'exploitation(operating system) est configuré et prêt à suivre les modifications.
Vérifiez maintenant le paramètre pour Auditer l' accès à l'objet(Audit Object Access ) en double-cliquant dessus et en sélectionnant à la fois Succès(Success) et Échec(Failure) . Cliquez sur OK(Click OK) et nous avons maintenant terminé la première partie qui indique à Windows que nous voulons qu'il soit prêt à surveiller les modifications. Maintenant, la prochaine étape consiste à lui dire EXACTEMENT(EXACTLY) ce que nous voulons suivre. Vous pouvez maintenant fermer la console de stratégie de groupe(Group Policy console) .
Accédez maintenant au dossier à l'aide de l' Explorateur Windows(Windows Explorer) que vous souhaitez surveiller. Dans l' Explorateur(Explorer) , faites un clic droit sur le dossier et cliquez sur (folder and click) Propriétés(Properties) . Cliquez sur l' onglet Sécurité( Security Tab) et vous voyez quelque chose de similaire à ceci :
Cliquez maintenant sur le bouton Avancé(Advanced) et cliquez sur l' onglet Audit . (Auditing)C'est ici que nous allons configurer ce que nous voulons surveiller pour ce dossier.
Allez-y et cliquez sur le bouton Ajouter(Add) . Une boîte de dialogue apparaîtra vous demandant de sélectionner un utilisateur ou un groupe(User or Group) . Dans la case, saisissez le mot « (word “)utilisateurs(users) » et cliquez sur Vérifier les noms(Check Names) . La boîte se mettra automatiquement à jour avec le nom du groupe d'utilisateurs locaux pour votre ordinateur sous la forme COMPUTERNAME\Users .
Cliquez sur OK(Click OK) et vous obtiendrez maintenant une autre boîte de dialogue appelée " Audit Entry for X ". C'est la vraie viande de ce que nous voulions faire. C'est ici que vous sélectionnerez ce que vous voulez regarder pour ce dossier. Vous pouvez choisir individuellement les types d'activité que vous souhaitez suivre, comme la suppression ou la création de nouveaux fichiers/dossiers, etc. Pour faciliter les choses, je vous suggère de sélectionner Contrôle total(Full Control) , qui sélectionnera automatiquement toutes les autres options en dessous. Faites ceci pour le succès(Success) et l' échec(Failure) . De cette façon, tout ce qui est fait pour ce dossier ou les fichiers qu'il contient, vous aurez un enregistrement.
Maintenant, cliquez sur OK et cliquez à nouveau sur OK et sur OK une fois de plus pour sortir du jeu de boîtes de dialogue(dialog box) multiples . Et maintenant, vous avez configuré avec succès l'audit sur un dossier ! Alors vous pourriez vous demander, comment voyez-vous les événements?
Pour afficher les événements, vous devez vous rendre dans le Panneau de configuration et cliquer(Control Panel and click) sur Outils d'administration(Administrative Tools) . Ouvrez ensuite l' Observateur d' événements(Event Viewer) . Cliquez sur la section Sécurité(Security) et vous verrez une grande liste d'événements sur le côté(hand side) droit :
Si vous continuez et créez un fichier ou ouvrez simplement le dossier et cliquez sur le bouton Actualiser(Refresh button) dans l' Observateur d' événements(Event Viewer) (le bouton avec les deux flèches vertes), vous verrez un tas d'événements dans la catégorie Système de fichiers( File System) . Celles-ci concernent toutes les opérations de suppression, de création, de lecture et d'écriture sur les dossiers/fichiers que vous auditez. Dans Windows 7 , tout s'affiche désormais dans la catégorie des tâches du système de fichiers(File System task) , donc pour voir ce qui s'est passé, vous devrez cliquer sur chacun et le faire défiler.
Afin de faciliter la lecture de tant d'événements, vous pouvez mettre un filtre et ne voir que les éléments importants. Cliquez(Click) sur le menu Affichage en haut et cliquez sur (View)Filtrer(Filter) . S'il n'y a pas d'option pour Filtrer(Filter) , cliquez avec le bouton droit sur le journal de sécurité(Security log) dans la page de gauche et choisissez Filtrer le journal actuel(Filter Current Log) . Dans la zone ID d' événement(Event ID box) , saisissez le nombre 4656 . Il s'agit de l'événement associé à un utilisateur particulier effectuant une action sur le système de fichiers (File System ) et vous donnera les informations pertinentes sans avoir à parcourir des milliers d'entrées.
Si vous souhaitez obtenir plus d'informations sur un événement, il vous suffit de double-cliquer dessus pour le visualiser.
Voici les informations de l'écran ci-dessus :
Un handle vers un objet a été demandé.(A handle to an object was requested.)
Objet : (Subject:)
Security ID: Aseem-Lenovo\Aseem
Nom du ( Account Name: Aseem)
compte Aseem : Domaine du compte Aseem : ID de connexion Aseem-Lenovo( Account Domain: Aseem-Lenovo)
: 0x175a1( Logon ID: 0x175a1)
Objet : (Object:)
Serveur d'objets : Sécurité ( Object Server: Security)
Type d'objet : Fichier ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID d'identification : 0x16a0( Handle ID: 0x16a0)
Informations sur le (Process Information:)
processus : ID du processus : 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
Informations sur la demande d'accès : (Access Request Information:)
ID de transaction : {00000000-0000-0000-0000-000000000000} Accès( Transaction ID: {00000000-0000-0000-0000-000000000000})
: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
Dans l'exemple ci-dessus, le fichier sur lequel j'ai travaillé était New Text Document.txt dans le dossier Tufu(Tufu folder) sur mon bureau et les accès que j'ai demandés étaient DELETE suivi de SYNCHRONIZE . Ce que j'ai fait ici a été de supprimer le fichier. Voici un autre exemple :
Type d'objet : fichier ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID de traitement : 0x178( Handle ID: 0x178)
Informations sur le (Process Information:)
processus : ID du processus : 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
Informations sur la demande d'accès : (Access Request Information:)
ID de transaction : {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Accès : READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (ou ListDirectory) ( ReadData (or ListDirectory))
WriteData (ou AddFile) ( WriteData (or AddFile))
AppendData (ou AddSubdirectory ou CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Motifs d'accès : READ_CONTROL : accordé par ( Access Reasons: READ_CONTROL: Granted by Ownership)
le propriétaire( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
En lisant ceci, vous pouvez voir que j'ai accédé à Address Labels.docx à l'aide du programme WINWORD.EXE(WINWORD.EXE program) et que mes accès incluaient READ_CONTROL et que mes raisons d'accès étaient également READ_CONTROL . Habituellement, vous verrez beaucoup plus d'accès, mais concentrez-vous simplement sur le premier car c'est généralement le principal type d'accès. Dans ce cas, j'ai simplement ouvert le fichier en utilisant Word . Il faut un peu de test et de lecture(testing and reading) des événements pour comprendre ce qui se passe, mais une fois que vous l'avez compris, c'est un système très fiable. Je suggère de créer un dossier de test(test folder) avec des fichiers et d'effectuer diverses actions pour voir ce qui apparaît dans l' Observateur d' événements(Event Viewer) .
C'est à peu près tout ! Un moyen rapide et gratuit de suivre l' accès ou les modifications apportées(access or changes) à un dossier !
Related posts
Comment créer un dossier sécurisé et verrouillé dans Windows XP
Comment enregistrer la disposition des icônes de votre bureau dans Windows XP, 7, 8
Comment réparer l'erreur "Manquant ou corrompu NTFS.sys" dans Windows XP
Accès à distance à un ordinateur Windows XP ou Windows Server 2003
Installer une imprimante réseau à partir de Windows XP à l'aide de la configuration du pilote
Le Panneau de configuration de Windows - Comment basculer vers la vue classique de Windows XP
Installer une imprimante réseau à partir de Windows XP à l'aide de l'assistant d'ajout d'imprimante
Windows ne peut pas access Shared Folder or Drive dans Windows 10
Joindre un ordinateur Windows XP à un groupe résidentiel Windows 7/8/10
msvcr120.dll manquant sur votre ordinateur ? 8 façons de réparer
Transférer des fichiers de Windows XP, Vista, 7 ou 8 vers Windows 10 à l'aide de Windows Easy Transfer
Comment ajouter un programme au démarrage dans Windows XP
8 alternatives moins chères à Geek Squad pour réparer votre ordinateur
Comment installer Windows 8.1 RTM sur votre ordinateur
Comment corriger l'erreur : macOS n'a pas pu être installé sur votre ordinateur
Comment trouver le modèle de votre ordinateur sous Windows
Comment masquer d'autres réseaux WiFi lors de la connexion à votre ordinateur
Comment lire des disques Blu-Ray sur votre ordinateur
Comment obtenir les notifications de votre appareil Android sur votre ordinateur
Comment configurer le bureau à distance sur Windows XP