Il existe une jolie petite fonctionnalité intégrée à Windows qui vous permet de savoir quand quelqu'un visualise, modifie ou supprime quelque chose à l'intérieur d'un dossier spécifié. Donc, s'il y a un dossier ou un fichier^{(folder or file)} auquel vous voulez savoir qui accède, c'est la méthode intégrée sans avoir à utiliser de logiciel tiers.

Cette fonctionnalité fait en fait partie d'une fonctionnalité de sécurité Windows^{(Windows security)}  appelée Stratégie de groupe^{( Group Policy)} , qui est utilisée par la plupart des professionnels de l'informatique^{(IT Professionals)} qui gèrent les ordinateurs du réseau d'entreprise via des serveurs, mais elle peut également être utilisée localement sur un PC sans aucun serveur. Le seul inconvénient de l'utilisation de la stratégie de groupe^{(Group Policy)} est qu'elle n'est pas disponible dans les versions inférieures de Windows . Pour Windows 7 , vous devez disposer de Windows 7 Professionnel^{(Professional)} ou supérieur. Pour Windows 8 , vous avez besoin de Pro ou Enterprise .

Le terme stratégie de groupe^{(Group Policy)} fait essentiellement référence à un ensemble de paramètres de registre pouvant être contrôlés via une interface utilisateur graphique^{(user interface)} . Vous activez ou désactivez divers paramètres et ces modifications sont ensuite mises à jour dans le registre Windows^{(Windows registry)} .

Sous Windows XP , pour accéder à l' éditeur de stratégie^{(policy editor)} , cliquez sur Démarrer^(Start) puis sur Exécuter^(Run) . Dans la zone de texte, tapez « gpedit.msc » sans les guillemets, comme indiqué ci-dessous :

Dans Windows 7 , il vous suffit de cliquer sur le bouton Démarrer et de taper ^{(Start button and type)}gpedit.msc dans la zone de recherche^{(search box)} en bas du menu Démarrer^{(Start Menu)} . Sous Windows 8 , accédez simplement à l' écran^{(Start Screen)} de démarrage et commencez à taper ou déplacez le curseur de votre souris^{(mouse cursor)} tout en haut ou en bas à droite de l'écran pour ouvrir la barre des icônes^(Charms) et cliquez sur Rechercher^(Search) . Ensuite, tapez simplement gpedit . Vous devriez maintenant voir quelque chose qui ressemble à l'image ci-dessous :

Il existe deux catégories principales de stratégies : Utilisateur^(User) et Ordinateur^(Computer) . Comme vous l'avez peut-être deviné, les stratégies utilisateur contrôlent les paramètres de chaque utilisateur, tandis que les paramètres de l'ordinateur seront des paramètres à l'échelle du système et affecteront tous les utilisateurs. Dans notre cas, nous allons vouloir que notre paramètre soit pour tous les utilisateurs, nous allons donc développer la section Configuration de l'ordinateur^{(Computer Configuration)} .

Continuez à développer Paramètres Windows^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy . Je n'expliquerai pas grand-chose des autres paramètres ici, car ils sont principalement axés sur l'audit d'un dossier. Vous verrez maintenant un ensemble de stratégies et leurs paramètres actuels sur le côté^{(hand side)} droit . La stratégie d'audit^{(Audit policy)} est ce qui contrôle si le système d'exploitation^{(operating system)} est configuré et prêt à suivre les modifications.

Vérifiez maintenant le paramètre pour Auditer l' accès à l'objet^{(Audit Object Access )} en double-cliquant dessus et en sélectionnant à la fois Succès^(Success) et Échec^(Failure) . Cliquez sur OK^{(Click OK)} et nous avons maintenant terminé la première partie qui indique à Windows que nous voulons qu'il soit prêt à surveiller les modifications. Maintenant, la prochaine étape consiste à lui dire EXACTEMENT^(EXACTLY) ce que nous voulons suivre. Vous pouvez maintenant fermer la console de stratégie de groupe^{(Group Policy console)} .

Accédez maintenant au dossier à l'aide de l' Explorateur Windows^{(Windows Explorer)} que vous souhaitez surveiller. Dans l' Explorateur^(Explorer) , faites un clic droit sur le dossier et cliquez sur ^{(folder and click)} Propriétés^(Properties) . Cliquez sur l' onglet Sécurité^{( Security Tab)} et vous voyez quelque chose de similaire à ceci :

Cliquez maintenant sur le bouton Avancé^(Advanced) et cliquez sur l' onglet Audit . ^(Auditing)C'est ici que nous allons configurer ce que nous voulons surveiller pour ce dossier.

Allez-y et cliquez sur le bouton Ajouter^(Add) . Une boîte de dialogue apparaîtra vous demandant de sélectionner un utilisateur ou un groupe^{(User or Group)} . Dans la case, saisissez le mot « ^{(word “)}utilisateurs^(users) » et cliquez sur Vérifier les noms^{(Check Names)} . La boîte se mettra automatiquement à jour avec le nom du groupe d'utilisateurs locaux pour votre ordinateur sous la forme COMPUTERNAME\Users .

Cliquez sur OK^{(Click OK)} et vous obtiendrez maintenant une autre boîte de dialogue appelée " Audit Entry for X ". C'est la vraie viande de ce que nous voulions faire. C'est ici que vous sélectionnerez ce que vous voulez regarder pour ce dossier. Vous pouvez choisir individuellement les types d'activité que vous souhaitez suivre, comme la suppression ou la création de nouveaux fichiers/dossiers, etc. Pour faciliter les choses, je vous suggère de sélectionner Contrôle total^{(Full Control)} , qui sélectionnera automatiquement toutes les autres options en dessous. Faites ceci pour le succès^(Success) et l' échec^(Failure) . De cette façon, tout ce qui est fait pour ce dossier ou les fichiers qu'il contient, vous aurez un enregistrement.

Maintenant, cliquez sur OK et cliquez à nouveau sur OK et sur OK une fois de plus pour sortir du jeu de boîtes de dialogue^{(dialog box)} multiples . Et maintenant, vous avez configuré avec succès l'audit sur un dossier ! Alors vous pourriez vous demander, comment voyez-vous les événements?

Pour afficher les événements, vous devez vous rendre dans le Panneau de configuration et cliquer^{(Control Panel and click)} sur Outils d'administration^{(Administrative Tools)} . Ouvrez ensuite l' Observateur d' événements^{(Event Viewer)} . Cliquez sur la section Sécurité^(Security) et vous verrez une grande liste d'événements sur le côté^{(hand side)} droit :

Si vous continuez et créez un fichier ou ouvrez simplement le dossier et cliquez sur le bouton Actualiser^{(Refresh button)} dans l' Observateur d' événements^{(Event Viewer)} (le bouton avec les deux flèches vertes), vous verrez un tas d'événements dans la catégorie Système de fichiers^{( File System)} . Celles-ci concernent toutes les opérations de suppression, de création, de lecture et d'écriture sur les dossiers/fichiers que vous auditez. Dans Windows 7 , tout s'affiche désormais dans la catégorie des tâches du système de fichiers^{(File System task)} , donc pour voir ce qui s'est passé, vous devrez cliquer sur chacun et le faire défiler.

Afin de faciliter la lecture de tant d'événements, vous pouvez mettre un filtre et ne voir que les éléments importants. Cliquez^(Click) sur le menu Affichage en haut et cliquez sur ^(View)Filtrer^(Filter) . S'il n'y a pas d'option pour Filtrer^(Filter) , cliquez avec le bouton droit sur le journal de sécurité^{(Security log)} dans la page de gauche et choisissez Filtrer le journal actuel^{(Filter Current Log)} . Dans la zone ID d' événement^{(Event ID box)} , saisissez le nombre 4656 . Il s'agit de l'événement associé à un utilisateur particulier effectuant une action sur le système de fichiers ^{(File System )} et vous donnera les informations pertinentes sans avoir à parcourir des milliers d'entrées.

Si vous souhaitez obtenir plus d'informations sur un événement, il vous suffit de double-cliquer dessus pour le visualiser.

Voici les informations de l'écran ci-dessus :

Un handle vers un objet a été demandé.^{(A handle to an object was requested.)}

Objet : ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Nom du ^{( Account Name: Aseem)}
compte Aseem : Domaine du compte Aseem : ID de connexion Aseem-Lenovo^{( Account Domain: Aseem-Lenovo)}
 : 0x175a1^{( Logon ID: 0x175a1)}

Objet : ^(Object:)
Serveur d'objets : Sécurité ^{( Object Server: Security)}
Type d'objet : Fichier ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ID d'identification : 0x16a0^{( Handle ID: 0x16a0)}

Informations sur le ^{(Process Information:)}
processus : ID du processus : 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Informations sur la demande d'accès : ^{(Access Request Information:)}
ID de transaction : {00000000-0000-0000-0000-000000000000} Accès^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
 : DELETE ^{( Accesses: DELETE)}
SYNCHRONIZE
ReadAttributes

Dans l'exemple ci-dessus, le fichier sur lequel j'ai travaillé était New Text Document.txt dans le dossier Tufu^{(Tufu folder)} sur mon bureau et les accès que j'ai demandés étaient DELETE suivi de SYNCHRONIZE . Ce que j'ai fait ici a été de supprimer le fichier. Voici un autre exemple :

Type d'objet : fichier ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ID de traitement : 0x178^{( Handle ID: 0x178)}

Informations sur le ^{(Process Information:)}
processus : ID du processus : 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Informations sur la demande d'accès : ^{(Access Request Information:)}
ID de transaction : {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Accès : READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE
ReadData (ou ListDirectory) ^{( ReadData (or ListDirectory))}
WriteData (ou AddFile) ^{( WriteData (or AddFile))}
AppendData (ou AddSubdirectory ou CreatePipeInstance) ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Motifs d'accès : READ_CONTROL : accordé par ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
le propriétaire^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

En lisant ceci, vous pouvez voir que j'ai accédé à Address Labels.docx à l'aide du programme WINWORD.EXE^{(WINWORD.EXE program)} et que mes accès incluaient READ_CONTROL et que mes raisons d'accès étaient également READ_CONTROL . Habituellement, vous verrez beaucoup plus d'accès, mais concentrez-vous simplement sur le premier car c'est généralement le principal type d'accès. Dans ce cas, j'ai simplement ouvert le fichier en utilisant Word . Il faut un peu de test et de lecture^{(testing and reading)} des événements pour comprendre ce qui se passe, mais une fois que vous l'avez compris, c'est un système très fiable. Je suggère de créer un dossier de test^{(test folder)} avec des fichiers et d'effectuer diverses actions pour voir ce qui apparaît dans l' Observateur d' événements^{(Event Viewer)} .

C'est à peu près tout ! Un moyen rapide et gratuit de suivre l' accès ou les modifications apportées^{(access or changes)} à un dossier !

How to Track When Someone Accesses a Folder on Your Computer

Therе’s a niсe little feature built intо Windows that allows you to track when someone views, edits, or deletes something inside of a specified fоlder. So if there’s a folder or file that you want to know who is accessing, then this iѕ the built-in method without hаving to use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Comment créer un dossier sécurisé et verrouillé dans Windows XP

• Comment enregistrer la disposition des icônes de votre bureau dans Windows XP, 7, 8

• Comment réparer l'erreur "Manquant ou corrompu NTFS.sys" dans Windows XP

• Accès à distance à un ordinateur Windows XP ou Windows Server 2003

• Installer une imprimante réseau à partir de Windows XP à l'aide de la configuration du pilote

• Le Panneau de configuration de Windows - Comment basculer vers la vue classique de Windows XP

• Installer une imprimante réseau à partir de Windows XP à l'aide de l'assistant d'ajout d'imprimante

• Windows ne peut pas access Shared Folder or Drive dans Windows 10

• Joindre un ordinateur Windows XP à un groupe résidentiel Windows 7/8/10

• msvcr120.dll manquant sur votre ordinateur ? 8 façons de réparer

• Transférer des fichiers de Windows XP, Vista, 7 ou 8 vers Windows 10 à l'aide de Windows Easy Transfer

• Comment ajouter un programme au démarrage dans Windows XP

• 8 alternatives moins chères à Geek Squad pour réparer votre ordinateur

• Comment installer Windows 8.1 RTM sur votre ordinateur

• Comment corriger l'erreur : macOS n'a pas pu être installé sur votre ordinateur

• Comment trouver le modèle de votre ordinateur sous Windows

• Comment masquer d'autres réseaux WiFi lors de la connexion à votre ordinateur

• Comment lire des disques Blu-Ray sur votre ordinateur

• Comment obtenir les notifications de votre appareil Android sur votre ordinateur

• Comment configurer le bureau à distance sur Windows XP