Windows'ta^(Windows) , birinin belirli bir klasörün içindeki bir şeyi ne zaman görüntülediğini, düzenlediğini veya sildiğini izlemenize olanak tanıyan güzel bir küçük özellik vardır . Bu nedenle, kimin eriştiğini bilmek istediğiniz bir klasör veya dosya^{(folder or file)} varsa, bu, üçüncü taraf yazılımı kullanmak zorunda kalmadan yerleşik yöntemdir.

Bu özellik aslında , şirket ağındaki bilgisayarları sunucular aracılığıyla yöneten çoğu BT Uzmanı^{(IT Professionals)} tarafından kullanılan Grup İlkesi adlı bir ^{( Group Policy)}Windows güvenlik^{(Windows security)}  özelliğinin bir parçasıdır, ancak herhangi bir sunucu olmadan bir PC'de yerel olarak da kullanılabilir. Grup İlkesi^{(Group Policy)} kullanmanın tek dezavantajı , Windows'un^(Windows) daha düşük sürümlerinde mevcut olmamasıdır . Windows 7 için ^{(Windows 7)}Windows 7 Professional veya üzeri bir sürüme sahip olmanız gerekir . Windows 8^{(Windows 8)} için Pro veya Enterprise'a^(Enterprise) ihtiyacınız var .

Grup İlkesi^{(Group Policy)} terimi , temel olarak, bir grafik kullanıcı arabirimi^{(user interface)} aracılığıyla kontrol edilebilen bir dizi kayıt defteri ayarını ifade eder . Çeşitli ayarları etkinleştirir veya devre dışı bırakırsınız ve bu düzenlemeler daha sonra Windows kayıt defterinde^{(Windows registry)} güncellenir .

Windows XP'de^{(Windows XP)} , ilke düzenleyiciye^{(policy editor)} gitmek için Başlat'a^(Start) ve ardından Çalıştır'a^(Run) tıklayın . Metin kutusuna, aşağıda gösterildiği gibi tırnak işaretleri olmadan “ gpedit.msc ” yazın:^(gpedit.msc)

Windows 7'de^{(Windows 7)} , Başlat düğmesine^{(Start button and type)} tıklayıp Başlat Menüsünün^{(Start Menu)} altındaki arama kutusuna^{(search box)} gpedit.msc yazmanız^{( gpedit.msc)} yeterlidir . Windows 8'de^{(Windows 8)} , Başlangıç ​​Ekranına^{(Start Screen)} gidin ve yazmaya başlayın veya fare imlecinizi^{(mouse cursor)} ekranın en üstüne veya sağ altına getirerek Charms çubuğunu açın ve Ara'yı tıklayın^(Search) . Ardından gpedit yazın^(gpedit) . Şimdi aşağıdaki resme benzer bir şey görmelisiniz:

İki ana ilke kategorisi vardır: Kullanıcı^(User) ve Bilgisayar^(Computer) . Tahmin edebileceğiniz gibi, kullanıcı politikaları her kullanıcı için ayarları kontrol ederken, bilgisayar ayarları sistem çapında ayarlar olacak ve tüm kullanıcıları etkileyecektir. Bizim durumumuzda, ayarımızın tüm kullanıcılar için olmasını isteyeceğiz, bu nedenle Bilgisayar Yapılandırması^{(Computer Configuration)} bölümünü genişleteceğiz.

Windows Ayarları^{(Windows Settings)} ->  Security Settings -> Local Policies -> Audit Policy genişletmeye devam edin . Bu, öncelikle bir klasörü denetlemeye odaklandığından, diğer ayarların çoğunu burada açıklamayacağım. Şimdi sağ tarafta^{(hand side)} bir dizi ilke ve bunların geçerli ayarlarını göreceksiniz . Denetim ilkesi , ^{(Audit policy)}işletim sisteminin^{(operating system)} yapılandırılıp yapılandırılmadığını ve değişiklikleri izlemeye hazır olup olmadığını denetleyen şeydir .

Şimdi Denetim Nesnesi Erişimi^{(Audit Object Access )} ayarını üzerine çift tıklayarak ve hem Başarılı^(Success) hem de Başarısız'ı^(Failure) seçerek kontrol edin . Tamam'ı tıklayın^{(Click OK)} ve şimdi Windows'a değişiklikleri izlemeye hazır olmasını istediğimizi söyleyen ilk bölümü bitirdik. Şimdi bir sonraki adım, TAM OLARAK^(EXACTLY) neyi izlemek istediğimizi söylemek . Grup İlkesi konsolunu^{(Group Policy console)} şimdi kapatabilirsiniz .

Şimdi Windows Gezgini'ni^{(Windows Explorer)} kullanarak izlemek istediğiniz klasöre gidin . Explorer'da^(Explorer) , klasöre^{(folder and click)} sağ tıklayın ve Özellikler'e tıklayın^(Properties) . Güvenlik Sekmesine^{( Security Tab)} tıklayın ve buna benzer bir şey görürsünüz:

Şimdi Gelişmiş^(Advanced) düğmesine tıklayın ve Denetim^(Auditing) sekmesine tıklayın. Burası, bu klasör için neyi izlemek istediğimizi gerçekten yapılandıracağımız yerdir.

Devam edin ve Ekle^(Add) düğmesini tıklayın. Bir Kullanıcı veya Grup^{(User or Group)} seçmenizi isteyen bir iletişim kutusu açılacaktır . Kutuya “ users ” kelimesini yazın ve ^{(word “)}Check Names 'i tıklayın . COMPUTERNAME\Users biçimindeki yerel kullanıcılar grubunun adıyla otomatik olarak güncellenir .

Tamam'ı tıklayın ve şimdi “ ^{(Click OK)}X için Denetim Girişi^{(Audit Entry for X)} “ adlı başka bir iletişim kutusu göreceksiniz . Yapmak istediğimiz şeyin gerçek özü bu. Bu klasör için ne izlemek istediğinizi seçeceğiniz yer burasıdır. Yeni dosya/klasör silme veya oluşturma gibi hangi tür etkinlikleri izlemek istediğinizi tek tek seçebilirsiniz. İşleri kolaylaştırmak için, altındaki diğer tüm seçenekleri otomatik olarak seçecek olan Tam Denetim öğesini seçmenizi öneririm. ^{(Full Control)}Bunu Başarı^(Success) ve Başarısızlık^(Failure) için yapın . Bu şekilde o klasöre veya içindeki dosyalara ne yapılırsa yapılsın kaydınız olacaktır.

Şimdi Tamam'ı tıklayın ve çoklu iletişim kutusu^{(dialog box)} kümesinden çıkmak için tekrar Tamam'ı ve bir kez daha Tamam'ı tıklayın . Ve şimdi bir klasörde denetimi başarıyla yapılandırdınız! Olaylara nasıl bakıyorsunuz diye sorabilirsiniz.

Etkinlikleri görüntülemek için Denetim Masası'na^{(Control Panel and click)} gitmeniz ve Yönetimsel Araçlar'a^{(Administrative Tools)} tıklamanız gerekir . Ardından Olay Görüntüleyiciyi^{(Event Viewer)} açın . Güvenlik^(Security) bölümüne tıklayın ve sağ tarafta^{(hand side)} geniş bir olay listesi göreceksiniz :

Devam edip bir dosya oluşturursanız veya klasörü açıp Olay Görüntüleyici'deki ^{(Event Viewer)}Yenile düğmesini^{(Refresh button)} ( iki yeşil oklu düğme) tıklarsanız, Dosya Sistemi^{( File System)} kategorisinde bir sürü olay görürsünüz . Bunlar, denetlediğiniz klasörler/dosyalar üzerindeki tüm silme, oluşturma, okuma, yazma işlemleriyle ilgilidir. Windows 7'de^{(Windows 7)} artık her şey Dosya Sistemi görev^{(File System task)} kategorisi altında görünüyor , bu yüzden ne olduğunu görmek için her birine tıklayıp kaydırmanız gerekecek.

Bu kadar çok olaya bakmayı kolaylaştırmak için bir filtre koyabilir ve sadece önemli şeyleri görebilirsiniz. Üstteki Görünüm menüsüne ^(View)tıklayın^(Click) ve Filtre'ye^(Filter) tıklayın . Filtre^(Filter) seçeneği yoksa , soldaki sayfada Güvenlik günlüğüne^{(Security log)} sağ tıklayın ve Geçerli Günlüğü Filtrele öğesini^{(Filter Current Log)} seçin . Olay Kimliği kutusuna ^{(Event ID box)}4656 numarasını yazın . Bu, belirli bir kullanıcının bir Dosya Sistemi ^{(File System )} eylemi gerçekleştirmesiyle ilişkili olaydır ve binlerce girişe bakmanıza gerek kalmadan size ilgili bilgileri verecektir.

Bir etkinlik hakkında daha fazla bilgi almak istiyorsanız, görüntülemek için üzerine çift tıklamanız yeterlidir.

Bu, yukarıdaki ekrandaki bilgilerdir:

Bir nesne için bir tanıtıcı istendi.^{(A handle to an object was requested.)}

Konu: ^(Subject:)
Security ID: Aseem-Lenovo\Aseem
Hesap Adı: Aseem ^{( Account Name: Aseem)}
Hesabı Etki Alanı: Aseem-Lenovo ^{( Account Domain: Aseem-Lenovo)}
Oturum Açma Kimliği: 0x175a1^{( Logon ID: 0x175a1)}

Nesne: ^(Object:)
Nesne Sunucusu: Güvenlik ^{( Object Server: Security)}
Nesne Türü: Dosya ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

İşlem Bilgileri: ^{(Process Information:)}
İşlem Kimliği: 0x820 ^{( Process ID: 0x820)}
Process Name: C:\Windows\explorer.exe

Erişim Talebi Bilgileri: ^{(Access Request Information:)}
İşlem Kimliği: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Erişimler: DELETE ^{( Accesses: DELETE)}
SYNCHRONIZE
ReadAttributes

Yukarıdaki örnekte, üzerinde çalışılan dosya masaüstümdeki Tufu klasöründeki ^{(Tufu folder)}New Text Document.txt idi ve istediğim erişimler DELETE ve ardından SYNCHRONIZE idi . Burada yaptığım şey dosyayı silmekti. İşte başka bir örnek:

Nesne Türü: Dosya ^{( Object Type: File)}
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Tutamaç Kimliği: 0x178^{( Handle ID: 0x178)}

İşlem Bilgileri: ^{(Process Information:)}
İşlem Kimliği: 0x1008 ^{( Process ID: 0x1008)}
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Erişim Talebi Bilgileri: ^{(Access Request Information:)}
İşlem Kimliği: {00000000-0000-0000-0000-000000000000} ^{( Transaction ID: {00000000-0000-0000-0000-000000000000})}
Erişimler: READ_CONTROL ^{( Accesses: READ_CONTROL)}
SYNCHRONIZE ReadData ( ^{( SYNCHRONIZE)}
veya ListDirectory) WriteData (veya AddFile ^{( ReadData (or ListDirectory))}
) ^{( WriteData (or AddFile))}
AppendData (veya AddSubdirectory veya CreatePipeInstance) ^{( AppendData (or AddSubdirectory or CreatePipeInstance))}
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Erişim Nedenleri: READ_CONTROL: Sahiplik Tarafından Verildi ^{( Access Reasons: READ_CONTROL: Granted by Ownership)}
SYNCHRONIZE: Tarafından Verildi D:(A;ID;FA;;S-1-5-21-597862309-2018615179-2090787082-1000)^{( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))}

Bunu okurken , WINWORD.EXE programını^{(WINWORD.EXE program)} kullanarak Address Labels.docx'e^{(Address Labels.docx)} eriştiğimi ve erişimlerimin READ_CONTROL içerdiğini ve erişim nedenlerimin de READ_CONTROL olduğunu görebilirsiniz^{(READ_CONTROL)} . Genellikle daha fazla erişim görürsünüz, ancak genellikle ana erişim türü olduğu için ilkine odaklanın. Bu durumda, dosyayı Word^(Word) kullanarak açtım . Neler olup bittiğini anlamak için biraz test etmek ve olayları okumak^{(testing and reading)} gerekiyor, ancak bir kez indirdiğinizde, çok güvenilir bir sistem. Olay Görüntüleyicide^{(Event Viewer)} neyin göründüğünü görmek için dosyalar içeren bir test klasörü^{(test folder)} oluşturmanızı ve çeşitli eylemler gerçekleştirmenizi öneririm .

Hepsi bukadar! Bir klasöre erişimi veya değişiklikleri^{(access or changes)} izlemenin hızlı ve ücretsiz bir yolu !

How to Track When Someone Accesses a Folder on Your Computer

There’s a nice little feature built into Wіndows that allows you to track when someone views, edits, or deletes something inside of a specified folder. So if therе’s a folder or file that you want to know who is accessing, then this is the built-in method without having tо use third-party software.

This feature is actually part of a Windows security feature called Group Policy, which is used by most IT Professionals who manage computers in the corporate network via servers, however, it can also be used locally on a PC without any servers. The only downside to using Group Policy is that it is not available in lower versions of Windows. For Windows 7, you need to have Windows 7 Professional or higher. For Windows 8, you need Pro or Enterprise.

The term Group Policy basically refers to a set of registry settings that can be controlled via a graphical user interface. You enable or disable various settings and these edits are then updated in the Windows registry.

In Windows XP, to get to the policy editor, click on Start and then Run. In the text box, type “gpedit.msc” without the quotes as shown below:

In Windows 7, you would just click on the Start button and type gpedit.msc into the search box at the bottom of the Start Menu. In Windows 8, simply go to the Start Screen and start typing or move your mouse cursor to the far top or bottom right of the screen to open the Charms bar and click on Search. Then just type in gpedit. Now you should see something that is similar to the image below:

There are two main categories of policies: User and Computer. As you might have guessed, the user policies control the settings for each user whereas the computer settings will be system wide settings and will effect all users. In our case we’re going to want our setting to be for all users, so we’ll expand the Computer Configuration section.

Continue expanding to Windows Settings -> Security Settings -> Local Policies -> Audit Policy. I’m not going to explain much of the other settings here since this is primarily focused on auditing a folder. Now you’ll see a set of policies and their current settings on the right hand side. Audit policy is what controls whether or not the operating system is configured and ready to track changes.

Now check the setting for Audit Object Access by double clicking on it and selecting both Success and Failure. Click OK and now we’re done the first part which is telling Windows that we want it to be ready to monitor changes. Now the next step is to tell it what EXACTLY we want to track. You can close out of the Group Policy console now.

Now navigate to the folder using Windows Explorer that you would like to monitor. In Explorer, right click on the folder and click Properties. Click on the Security Tab and you see something similar to this:

Now click on the Advanced button and click on the Auditing tab. This is where we’ll actually configure what we want to monitor for this folder.

Go ahead and click the Add button. A dialog will appear asking you to select a User or Group. In the box, type in the word “users” and click Check Names. The box will automatically update with the name of the local users group for your computer in the form COMPUTERNAME\Users.

Click OK and now you’ll get another dialog called “Audit Entry for X“. This is the real meat of what we’ve been wanting to do. Here is where you’ll select what you want to watch for this folder. You can individually choose which types of activity you want to track, such as deleting or creating new files/folders, etc. To make things easier, I suggest selecting Full Control, which will automatically select all the other options below it. Do this for Success and Failure. This way, whatever is done to that folder or the files within it, you will have a record.

Now click OK and click OK again and OK one more time to get out of the multiple dialog box set. And now you have successfully configured auditing on a folder! So you might ask, how do you view the events?

In order to view the events, you need to go to the Control Panel and click on Administrative Tools. Then open up the Event Viewer. Click on the Security section and you’ll see a large listing of events on the right hand side:

If you go ahead and create a file or simply open the folder and click the Refresh button in the Event Viewer (the button with the two green arrows), you’ll see a bunch of events in the category of File System. These pertain to any delete, create, read, write operations on the folders/files you are auditing. In Windows 7, everything now shows up under File System task category, so in order to see what happened, you’ll have to click on each one and scroll through it.

In order to make it easier to look through so many events, you can put a filter and just see the important stuff. Click on the View menu at the top and click on Filter. If there is no option for Filter, then right-click on the Security log in the left-hand page and choose Filter Current Log. In the Event ID box, type in the number 4656. This is the event associated with a particular user performing a File System action and will give you the relevant information without having to look through thousands of entries.

If you want to get more information about an event, simply double click on it to view.

This is the information from the screen above:

A handle to an object was requested.

Subject:
Security ID: Aseem-Lenovo\Aseem
Account Name: Aseem
Account Domain: Aseem-Lenovo
Logon ID: 0x175a1

Object:
Object Server: Security
Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Process Information:
Process ID: 0x820
Process Name: C:\Windows\explorer.exe

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: DELETE
SYNCHRONIZE
ReadAttributes

In the example above, the file worked on was New Text Document.txt in the Tufu folder on my desktop and the accesses that I requested were DELETE followed by SYNCHRONIZE. What I did here was delete the file. Here’s another example:

Object Type: File
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Process Information:
Process ID: 0x1008
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Access Request Information:
Transaction ID: {00000000-0000-0000-0000-000000000000}
Accesses: READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Access Reasons: READ_CONTROL: Granted by Ownership
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

As you read through this, you can see I accessed Address Labels.docx using the WINWORD.EXE program and my accesses included READ_CONTROL and my access reasons were also READ_CONTROL. Usually, you’ll see a bunch more accesses, but just focus on the first one as that’s usually the main type of access. In this case, I simply opened the file using Word. It does take a little testing and reading through the events to understand what’s going on, but once you have it down, it’s a very reliable system. I suggest creating a test folder with files and performing various actions to see what shows up in the Event Viewer.

That’s pretty much it! A quick and free way to track access or changes to a folder!

Related posts

• Windows XP'de Güvenli ve Kilitli Klasör Nasıl Oluşturulur

• Windows XP, 7, 8'de Masaüstü Simge Düzeninizi Nasıl Kaydedebilirsiniz?

• Windows XP'de "Eksik veya bozuk NTFS.sys" Hatası Nasıl Onarılır

• Windows XP veya Windows Server 2003 Bilgisayarına Uzaktan Erişim

• Sürücü Kurulumunu Kullanarak Windows XP'den Bir Ağ Yazıcısı Kurun

• Windows XP'de VHD Dosyası Ekleme

• Windows'ta Dosya ve Klasör İzinleri Nasıl Ayarlanır

• Resimler için Windows Gezgini Varsayılan Küçük Resim Boyutu Nasıl Artırılır

• Bilgisayarınızdaki, Telefonunuzdaki veya Ağınızdaki Herhangi Bir Web Sitesini Nasıl Engellersiniz?

• Windows XP'de Başlangıca Program Nasıl Eklenir

• Windows XP, Vista, 7/8/10'da Eski DOS Oyunlarını ve Programlarını Çalıştırın

• Windows'ta DEP'yi (Veri Yürütme Engellemesi) Yapılandırma veya Kapatma

• Your Computer hızını artırmak için 15 ipucu

• Yazıcı Ekleme Sihirbazını Kullanarak Windows XP'den Bir Ağ Yazıcısı Kurun

• Ownership File or Folder Windows 11/10'te Nasıl Değiştirilir?

• Windows'ta Denetim Masası - Klasik Windows XP görünümüne nasıl geçilir

• Windows XP Kablosuz Ağ Bağlantısı Sorunlarını Giderin

• msvcr120.dll Bilgisayarınızda Eksik mi? Düzeltmenin 8 Yolu

• Windows 10'deki Perflogs klasörü nedir

• Windows Kolay Aktarım kullanarak Windows XP, Vista, 7 veya 8'den Windows 10'a Dosya Aktarın