कैसे ट्रैक करें जब कोई आपके कंप्यूटर पर किसी फोल्डर को एक्सेस करता है

विंडोज़(Windows) में एक अच्छा सा फीचर बनाया गया है जो आपको ट्रैक करने की अनुमति देता है जब कोई व्यक्ति किसी निर्दिष्ट फ़ोल्डर के अंदर कुछ देखता, संपादित करता या हटाता है। इसलिए यदि कोई फ़ोल्डर या फ़ाइल है जिसे आप जानना चाहते हैं कि कौन एक्सेस कर रहा है, तो यह तृतीय-पक्ष सॉफ़्टवेयर का उपयोग किए बिना अंतर्निहित विधि है।

यह सुविधा वास्तव में समूह नीति नामक एक ( Group Policy)विंडोज(Windows) सुरक्षा सुविधा का हिस्सा है , जिसका उपयोग अधिकांश आईटी पेशेवरों(IT Professionals) द्वारा किया जाता है जो सर्वर के माध्यम से कॉर्पोरेट नेटवर्क में कंप्यूटर का प्रबंधन करते हैं, हालांकि, इसे बिना किसी सर्वर के पीसी पर स्थानीय रूप से भी इस्तेमाल किया जा सकता है। समूह नीति(Group Policy) का उपयोग करने का एकमात्र नकारात्मक पक्ष यह है कि यह विंडोज(Windows) के निचले संस्करणों में उपलब्ध नहीं है । विंडोज 7(Windows 7) के लिए , आपके पास विंडोज 7 (Windows 7)प्रोफेशनल(Professional) या उच्चतर होना चाहिए। विंडोज 8(Windows 8) के लिए , आपको प्रो या एंटरप्राइज(Enterprise) की जरूरत है ।

समूह नीति(Group Policy) शब्द मूल रूप से रजिस्ट्री सेटिंग्स के एक सेट को संदर्भित करता है जिसे ग्राफिकल यूजर इंटरफेस के माध्यम से नियंत्रित किया जा सकता है। आप विभिन्न सेटिंग्स को सक्षम या अक्षम करते हैं और फिर इन संपादनों को विंडोज(Windows) रजिस्ट्री में अपडेट किया जाता है।

Windows XP में , नीति संपादक पर जाने के लिए, प्रारंभ करें(Start) और फिर चलाएँ(Run) पर क्लिक करें । टेक्स्ट बॉक्स में, नीचे दिखाए गए उद्धरणों के बिना “ gpedit.msc ” टाइप करें:(gpedit.msc)

भागो gpedit

विंडोज 7(Windows 7) में , आप बस स्टार्ट बटन पर क्लिक करें और (Start)स्टार्ट मेन्यू(Start Menu) के नीचे सर्च बॉक्स में gpedit.msc टाइप करें । विंडोज 8(Windows 8) में , बस स्टार्ट स्क्रीन पर जाएं और टाइप करना शुरू करें या अपने माउस कर्सर को (Start Screen)चार्म्स(Charms) बार खोलने के लिए स्क्रीन के सबसे ऊपर या नीचे दाईं ओर ले जाएं और सर्च(Search) पर क्लिक करें । इसके बाद बस gpedit(gpedit) टाइप करें । अब आपको कुछ ऐसा दिखना चाहिए जो नीचे दी गई छवि के समान है:

समूह नीति संपादक

नीतियों की दो मुख्य श्रेणियां हैं: उपयोगकर्ता(User) और कंप्यूटर(Computer) । जैसा कि आपने अनुमान लगाया होगा, उपयोगकर्ता नीतियां प्रत्येक उपयोगकर्ता के लिए सेटिंग्स को नियंत्रित करती हैं जबकि कंप्यूटर सेटिंग्स सिस्टम वाइड सेटिंग्स होंगी और सभी उपयोगकर्ताओं को प्रभावित करेंगी। हमारे मामले में हम चाहते हैं कि हमारी सेटिंग सभी उपयोगकर्ताओं के लिए हो, इसलिए हम कंप्यूटर कॉन्फ़िगरेशन(Computer Configuration) अनुभाग का विस्तार करेंगे।

विंडोज सेटिंग्स(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy में विस्तार करना जारी रखें । मैं यहां अन्य सेटिंग्स की अधिक व्याख्या नहीं करने जा रहा हूं क्योंकि यह मुख्य रूप से एक फ़ोल्डर के ऑडिट पर केंद्रित है। अब आप दाईं ओर नीतियों का एक सेट और उनकी वर्तमान सेटिंग देखेंगे। ऑडिट नीति वह है जो नियंत्रित करती है कि ऑपरेटिंग सिस्टम कॉन्फ़िगर किया गया है या नहीं और परिवर्तनों को ट्रैक करने के लिए तैयार है।

ऑडिट ऑब्जेक्ट एक्सेस

अब ऑडिट ऑब्जेक्ट एक्सेस(Audit Object Access ) के लिए सेटिंग पर डबल क्लिक करके और सफलता(Success) और विफलता(Failure) दोनों का चयन करके जांचें । ओके पर क्लिक करें(Click OK) और अब हमने पहला भाग पूरा कर लिया है जो विंडोज को बता रहा है कि हम चाहते हैं कि यह परिवर्तनों की निगरानी के लिए तैयार हो। अब अगला कदम यह बताना है कि हम वास्तव(EXACTLY) में क्या ट्रैक करना चाहते हैं। अब आप समूह नीति(Group Policy) कंसोल से बाहर निकल सकते हैं।

अब विंडोज एक्सप्लोरर(Windows Explorer) का उपयोग करके उस फ़ोल्डर में नेविगेट करें जिसे आप मॉनिटर करना चाहते हैं। एक्सप्लोरर(Explorer) में , फ़ोल्डर पर राइट क्लिक करें और गुण(Properties) क्लिक करें । सुरक्षा टैब( Security Tab) पर क्लिक करें और आप कुछ ऐसा ही देखते हैं:

एक्सप्लोरर सुरक्षा टैब

अब एडवांस्ड(Advanced) बटन पर क्लिक करें और ऑडिटिंग(Auditing) टैब पर क्लिक करें। यह वह जगह है जहां हम वास्तव में कॉन्फ़िगर करेंगे कि हम इस फ़ोल्डर के लिए क्या मॉनिटर करना चाहते हैं।

ऑडिटिंग टैब विंडो

आगे बढ़ें और Add बटन पर क्लिक करें। एक डायलॉग दिखाई देगा जो आपको एक उपयोगकर्ता(User) या समूह(Group) का चयन करने के लिए कहेगा । बॉक्स में, " उपयोगकर्ता " शब्द टाइप करें और (users)चेक नाम(Check Names) पर क्लिक करें । बॉक्स स्वचालित रूप से COMPUTERNAME\Users के रूप में आपके कंप्यूटर के लिए स्थानीय उपयोगकर्ता समूह के नाम के साथ अपडेट हो जाएगा ।

उपयोगकर्ता समूह अनुमतियाँ

ओके पर क्लिक करें(Click OK) और अब आपको " एक्स के लिए ऑडिट एंट्री(Audit Entry for X) " नामक एक और डायलॉग मिलेगा । हम जो करना चाहते हैं उसका असली मांस यही है। यहां वह जगह है जहां आप चुनेंगे कि आप इस फ़ोल्डर के लिए क्या देखना चाहते हैं। आप व्यक्तिगत रूप से चुन सकते हैं कि आप किस प्रकार की गतिविधि को ट्रैक करना चाहते हैं, जैसे नई फ़ाइलें/फ़ोल्डर हटाना या बनाना आदि। चीजों को आसान बनाने के लिए, मैं पूर्ण नियंत्रण(Full Control) का चयन करने का सुझाव देता हूं , जो स्वचालित रूप से इसके नीचे अन्य सभी विकल्पों का चयन करेगा। सफलता(Success) और असफलता(Failure) के लिए ऐसा करें । इस तरह, उस फ़ोल्डर या उसके भीतर की फाइलों के साथ जो कुछ भी किया जाता है, आपके पास एक रिकॉर्ड होगा।

ऑडिट अनुमतियाँ एक्सप्लोरर

अब ओके पर क्लिक करें और फिर से ओके पर क्लिक करें और मल्टीपल डायलॉग बॉक्स सेट से बाहर निकलने के लिए एक बार फिर ओके पर क्लिक करें। और अब आपने एक फ़ोल्डर पर ऑडिटिंग को सफलतापूर्वक कॉन्फ़िगर कर लिया है! तो आप पूछ सकते हैं, आप घटनाओं को कैसे देखते हैं?

घटनाओं को देखने के लिए, आपको नियंत्रण कक्ष में जाना होगा और (Control Panel)प्रशासनिक उपकरण(Administrative Tools) पर क्लिक करना होगा । फिर इवेंट व्यूअर खोलें(Event Viewer)सुरक्षा(Security) अनुभाग पर क्लिक करें और आप दाईं ओर घटनाओं की एक बड़ी सूची देखेंगे:

घटना दर्शक सुरक्षा

यदि आप आगे बढ़ते हैं और एक फ़ाइल बनाते हैं या केवल फ़ोल्डर खोलते हैं और ईवेंट व्यूअर (दो हरे तीरों वाला बटन) में (Event Viewer)ताज़ा(Refresh) करें बटन पर क्लिक करते हैं, तो आप फ़ाइल सिस्टम( File System) की श्रेणी में ईवेंट का एक समूह देखेंगे । ये आपके द्वारा ऑडिट किए जा रहे फोल्डर/फाइलों पर किसी भी डिलीट, क्रिएट, रीड, राइट ऑपरेशंस से संबंधित हैं। विंडोज 7(Windows 7) में , अब सब कुछ फाइल सिस्टम(File System) टास्क कैटेगरी के तहत दिखाई देता है, इसलिए क्या हुआ यह देखने के लिए, आपको हर एक पर क्लिक करना होगा और इसके माध्यम से स्क्रॉल करना होगा।

इतनी सारी घटनाओं को देखना आसान बनाने के लिए, आप एक फ़िल्टर लगा सकते हैं और केवल महत्वपूर्ण चीजें देख सकते हैं। सबसे ऊपर व्यू(View) मेन्यू पर क्लिक करें और फिल्टर पर (Click)क्लिक(Filter) करें । यदि फ़िल्टर(Filter) के लिए कोई विकल्प नहीं है , तो बाएं पृष्ठ में सुरक्षा(Security) लॉग पर राइट-क्लिक करें और वर्तमान लॉग फ़िल्टर(Filter Current Log) करें चुनें । इवेंट आईडी(Event ID) बॉक्स में, नंबर 4656 टाइप(4656) करें । यह एक फ़ाइल सिस्टम (File System ) क्रिया करने वाले किसी विशेष उपयोगकर्ता से जुड़ी घटना है और आपको हजारों प्रविष्टियों को देखे बिना प्रासंगिक जानकारी देगा।

फ़िल्टर लॉग

यदि आप किसी ईवेंट के बारे में अधिक जानकारी प्राप्त करना चाहते हैं, तो देखने के लिए बस उस पर डबल क्लिक करें।

इवेंट आईडी हटाएं

यह ऊपर स्क्रीन से जानकारी है:

किसी ऑब्जेक्ट के लिए एक हैंडल का अनुरोध किया गया था।(A handle to an object was requested.)

विषय: (Subject:)
Security ID: Aseem-Lenovo\Aseem
खाता नाम: असीम ( Account Name: Aseem)
खाता डोमेन: असीम-लेनोवो ( Account Domain: Aseem-Lenovo)
लॉगऑन आईडी: 0x175a1( Logon ID: 0x175a1)

ऑब्जेक्ट: (Object:)
ऑब्जेक्ट सर्वर: सुरक्षा ( Object Server: Security)
ऑब्जेक्ट प्रकार: फ़ाइल ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
हैंडल आईडी: 0x16a0( Handle ID: 0x16a0)

प्रक्रिया की जानकारी: (Process Information:)
प्रक्रिया आईडी: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

एक्सेस अनुरोध जानकारी: (Access Request Information:)
लेन-देन आईडी: {00000000-0000-0000-0000-000000000000} एक्सेस ( Transaction ID: {00000000-0000-0000-0000-000000000000})
: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

ऊपर के उदाहरण में, मेरे डेस्कटॉप पर Tufu फ़ोल्डर में जिस फ़ाइल पर काम किया गया था, वह थी New Text Document.txt और जिन एक्सेस का मैंने अनुरोध किया था, वे DELETE के बाद SYNCHRONIZE थे । मैंने यहां जो किया वह फ़ाइल को हटा दिया गया था। यहाँ एक और उदाहरण है:

ऑब्जेक्ट का प्रकार: फ़ाइल ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
हैंडल आईडी: 0x178( Handle ID: 0x178)

प्रक्रिया की जानकारी: (Process Information:)
प्रक्रिया आईडी: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

एक्सेस अनुरोध जानकारी: (Access Request Information:)
लेन-देन आईडी: {00000000-0000-0000-0000-000000000000} एक्सेस ( Transaction ID: {00000000-0000-0000-0000-000000000000})
: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (या ListDirectory) ( ReadData (or ListDirectory))
WriteData (या AddFile ) AppendData ( ( WriteData (or AddFile))
या AddSubdirectory या CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
ReadEA ( WriteEA)
ReadAttributes
WriteAttributes

पहुंच के कारण: READ_CONTROL: स्वामित्व द्वारा दी गई ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: D द्वारा दी गई:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

जैसा कि आप इसे पढ़ते हैं, आप देख सकते हैं कि मैंने WINWORD.EXE प्रोग्राम का उपयोग करके पता Labels.docx को एक्सेस किया है और मेरे एक्सेस में (Address Labels.docx)READ_CONTROL शामिल है और मेरे एक्सेस के कारण भी READ_CONTROL थे । आम तौर पर, आप एक समूह को और अधिक एक्सेस देखेंगे, लेकिन केवल पहले वाले पर ध्यान केंद्रित करें क्योंकि यह आमतौर पर मुख्य प्रकार का एक्सेस होता है। इस मामले में, मैंने बस Word का उपयोग करके फ़ाइल खोली । यह समझने के लिए कि क्या हो रहा है, यह समझने के लिए थोड़ा परीक्षण और घटनाओं के माध्यम से पढ़ना पड़ता है, लेकिन एक बार जब आप इसे नीचे कर लेते हैं, तो यह एक बहुत ही विश्वसनीय प्रणाली है। मैं सुझाव देता हूं कि फाइलों के साथ एक परीक्षण फ़ोल्डर बनाएं और इवेंट व्यूअर(Event Viewer) में क्या दिखाई देता है यह देखने के लिए विभिन्न क्रियाएं करें ।

तो इतना ही है! किसी फ़ोल्डर तक पहुंच या परिवर्तनों को ट्रैक करने का एक त्वरित और निःशुल्क तरीका!



Owais Handa

About the author

मैं एक सॉफ्टवेयर इंजीनियर हूं, जिसके पास मोबाइल और डेस्कटॉप एप्लिकेशन पर काम करने का दो साल से अधिक का अनुभव है। मुझे विंडोज़ अपडेट, सेवाओं और जीमेल में विशेषज्ञता हासिल है। मेरे कौशल मुझे विंडोज़ एप्लिकेशन विकसित करने या ईमेल क्लाइंट बनाए रखने जैसे कार्यों के लिए सही उम्मीदवार बनाते हैं।


Related posts