วิธีติดตามเมื่อมีคนเข้าถึงโฟลเดอร์บนคอมพิวเตอร์ของคุณ

มีคุณลักษณะเล็กๆ น้อยๆ ในตัวWindowsที่ช่วยให้คุณติดตามเมื่อมีคนดู แก้ไข หรือลบบางสิ่งภายในโฟลเดอร์ที่ระบุ ดังนั้นหากมีโฟลเดอร์หรือไฟล์(folder or file)ที่คุณต้องการทราบว่าใครกำลังเข้าถึง นี่คือวิธีการที่มีอยู่แล้วภายในโดยไม่ต้องใช้ซอฟต์แวร์ของบริษัทอื่น

คุณลักษณะนี้เป็นส่วนหนึ่งของ คุณลักษณะ ด้านความปลอดภัยของ Windows(Windows security)  ที่เรียกว่าGroup Policyซึ่งใช้โดยผู้เชี่ยวชาญด้านไอที(IT Professionals) ส่วนใหญ่ ที่จัดการคอมพิวเตอร์ในเครือข่ายขององค์กรผ่านเซิร์ฟเวอร์ อย่างไรก็ตาม สามารถใช้ในเครื่องพีซีได้โดยไม่ต้องใช้เซิร์ฟเวอร์ ข้อเสียเพียงอย่างเดียวของการใช้Group Policyคือไม่มีในWindows เวอร์ชันที่ต่ำ กว่า สำหรับWindows 7คุณต้องมีWindows 7 Professionalขึ้นไป สำหรับWindows 8 คุณต้อง มีPro หรือEnterprise

คำว่านโยบายกลุ่ม(Group Policy)โดยทั่วไปหมายถึงชุดของการตั้งค่ารีจิสทรีที่สามารถควบคุมผ่านส่วนต่อประสานกราฟิกกับผู้ใช้ (user interface)คุณเปิดหรือปิดใช้งานการตั้งค่าต่างๆ จากนั้นการแก้ไขเหล่านี้จะได้รับการอัปเดตใน รีจิสทรี ของWindows(Windows registry)

ในWindows XPหากต้องการไปที่ตัวแก้ไขนโยบาย(policy editor)ให้คลิกที่Startแล้วคลิกRun ในกล่องข้อความ ให้พิมพ์ “ gpedit.msc ” โดยไม่ต้องใส่เครื่องหมายคำพูดดังที่แสดงด้านล่าง:

เรียกใช้ gpedit

ในWindows 7คุณเพียงแค่คลิกที่ปุ่ม Start และพิมพ์(Start button and type)gpedit.mscลงในช่องค้นหา(search box)ที่ด้านล่างของStart Menu (Start Menu)ในWindows 8เพียงไปที่หน้าจอ(Start Screen)เริ่มแล้วเริ่มพิมพ์หรือเลื่อนเคอร์เซอร์ของเมาส์(mouse cursor)ไปที่ด้านบนสุดหรือขวาล่างสุดของหน้าจอเพื่อเปิด แถบ Charmsแล้วคลิกค้นหา (Search)จาก นั้นเพียงพิมพ์gpedit ตอนนี้คุณควรเห็นสิ่งที่คล้ายกับภาพด้านล่าง:

บรรณาธิการนโยบายกลุ่ม

นโยบายมีสองประเภทหลัก: ผู้(User)ใช้และคอมพิวเตอร์ (Computer)ตามที่คุณอาจเดาได้ นโยบายผู้ใช้จะควบคุมการตั้งค่าสำหรับผู้ใช้แต่ละราย ในขณะที่การตั้งค่าคอมพิวเตอร์จะเป็นการตั้งค่าทั้งระบบ และจะมีผลกับผู้ใช้ทั้งหมด ในกรณีของเรา เราต้องการให้การตั้งค่าของเราเป็นการตั้งค่าสำหรับผู้ใช้ทั้งหมด ดังนั้นเราจะขยายส่วน การ กำหนดค่าคอมพิวเตอร์(Computer Configuration)

ขยายต่อไปในการตั้งค่า Windows(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policyสอบ ฉันจะไม่อธิบายการตั้งค่าอื่นๆ มากนักที่นี่ เนื่องจากสิ่งนี้เน้นที่การตรวจสอบโฟลเดอร์เป็นหลัก ตอนนี้ คุณจะเห็นชุดนโยบายและการตั้งค่าปัจจุบันทางด้านขวามือ (hand side)นโยบายการตรวจสอบ(Audit policy)คือสิ่งที่ควบคุมว่าระบบปฏิบัติการ(operating system)ได้รับการกำหนดค่าและพร้อมที่จะติดตามการเปลี่ยนแปลงหรือไม่

ตรวจสอบการเข้าถึงวัตถุ

ตอนนี้ ให้ตรวจสอบการตั้งค่าสำหรับAudit Object Access โดยดับเบิลคลิก และเลือกทั้งSuccessและFailure คลิกตกลง(Click OK)และตอนนี้เราทำส่วนแรกซึ่งบอก Windows ว่าเราต้องการให้พร้อมที่จะตรวจสอบการเปลี่ยนแปลง ขั้นตอนต่อไปคือการบอกว่า(EXACTLY)เราต้องการติดตามสิ่งใด คุณสามารถปิดคอนโซลนโยบายกลุ่ม(Group Policy console)ได้ทันที

ไปที่โฟลเดอร์โดยใช้Windows Explorerที่คุณต้องการตรวจสอบ ในExplorerให้คลิกขวาที่ โฟลเดอร์ แล้วคลิก(folder and click) Properties คลิกที่แท็บความปลอดภัย( Security Tab)แล้วคุณจะเห็นสิ่งที่คล้ายกันนี้:

แท็บความปลอดภัยของนักสำรวจ

ตอนนี้คลิกที่ ปุ่ม ขั้นสูง(Advanced)และคลิกที่แท็บ การ ตรวจสอบ (Auditing)นี่คือที่ที่เราจะกำหนดค่าสิ่งที่เราต้องการตรวจสอบสำหรับโฟลเดอร์นี้

หน้าต่างแท็บการตรวจสอบ

ไปข้างหน้าและคลิกปุ่มเพิ่ม (Add)กล่องโต้ตอบจะปรากฏขึ้นเพื่อขอให้คุณเลือกผู้ใช้หรือ(User or Group)กลุ่ม ในกล่อง ให้พิมพ์คำว่า " (word “)users " แล้วคลิกCheck Names กล่องจะอัปเดตโดยอัตโนมัติด้วยชื่อของกลุ่มผู้ใช้ภายในสำหรับคอมพิวเตอร์ของคุณในรูปแบบCOMPUTERNAME\Users

สิทธิ์กลุ่มผู้ใช้

คลิกตกลง(Click OK)และตอนนี้คุณจะได้รับกล่องโต้ตอบอื่นที่เรียกว่า " รายการตรวจสอบสำหรับ X(Audit Entry for X) " นี่คือเนื้อแท้ของสิ่งที่เราต้องการจะทำ นี่คือที่ที่คุณจะเลือกสิ่งที่คุณต้องการดูสำหรับโฟลเดอร์นี้ คุณสามารถเลือกประเภทของกิจกรรมที่ต้องการติดตามได้ทีละรายการ เช่น การลบหรือสร้างไฟล์/โฟลเดอร์ใหม่ เป็นต้น เพื่อให้ง่ายขึ้น เราขอแนะนำให้คุณเลือก การควบคุม(Full Control)ทั้งหมด ซึ่งจะเลือกตัวเลือกอื่นๆ ด้านล่างโดยอัตโนมัติ ทำสิ่งนี้เพื่อความสำเร็จ(Success)และความล้ม(Failure)เหลว ด้วยวิธีนี้ ไม่ว่าจะทำอะไรกับโฟลเดอร์นั้นหรือไฟล์ในนั้น คุณจะมีบันทึก

ตรวจสอบสิทธิ์ explorer

ตอนนี้คลิกตกลงแล้วคลิกตกลงอีกครั้งและตกลงอีกครั้งเพื่อออกจากชุดกล่องโต้ตอบ(dialog box) หลาย ชุด และตอนนี้คุณได้กำหนดค่าการตรวจสอบในโฟลเดอร์สำเร็จแล้ว! คุณอาจจะถามว่า คุณมองเหตุการณ์อย่างไร?

ในการดูกิจกรรม คุณต้องไปที่แผงควบคุมและคลิก(Control Panel and click)ที่เครื่องมือการดูแล(Administrative Tools)ระบบ จาก นั้นเปิดEvent Viewer คลิกที่ ส่วน ความปลอดภัย(Security)แล้วคุณจะเห็นรายการกิจกรรมมากมายทางด้านขวามือ(hand side) :

ความปลอดภัยของผู้ชมเหตุการณ์

หากคุณดำเนินการต่อและสร้างไฟล์หรือเพียงแค่เปิดโฟลเดอร์แล้วคลิกปุ่มรีเฟรช(Refresh button)ในEvent Viewer (ปุ่มที่มีลูกศรสีเขียวสองอัน) คุณจะเห็นกิจกรรมมากมายในหมวดFile System ( File System)สิ่งเหล่านี้เกี่ยวข้องกับการลบ สร้าง อ่าน เขียนในโฟลเดอร์/ไฟล์ที่คุณกำลังตรวจสอบ ในWindows 7ทุกอย่างจะแสดงขึ้น ในหมวด งาน File System(File System task)ดังนั้นคุณจะต้องคลิกที่แต่ละรายการแล้วเลื่อนดูเพื่อดูว่าเกิดอะไรขึ้น

เพื่อให้ง่ายต่อการดูเหตุการณ์มากมาย คุณสามารถใส่ตัวกรองและดูเฉพาะสิ่งที่สำคัญได้ คลิก(Click)ที่ เมนู มุมมอง(View)ที่ด้านบนและคลิกที่ตัวกรอง (Filter)หากไม่มีตัวเลือกสำหรับตัวกรอง(Filter)ให้คลิกขวาที่บันทึกความปลอดภัย(Security log)ในหน้าซ้ายและเลือกกรองบันทึก(Filter Current Log)ปัจจุบัน ในกล่อง ID เหตุการณ์(Event ID box) ให้ พิมพ์หมายเลข4656 นี่คือเหตุการณ์ที่เกี่ยวข้องกับผู้ใช้รายใดรายหนึ่งที่ดำเนินการกับระบบไฟล์ (File System )และจะให้ข้อมูลที่เกี่ยวข้องแก่คุณโดยไม่ต้องดูรายการนับพันรายการ

บันทึกตัวกรอง

หากคุณต้องการรับข้อมูลเพิ่มเติมเกี่ยวกับกิจกรรม เพียงดับเบิลคลิกเพื่อดู

รหัสเหตุการณ์ ลบ

นี่คือข้อมูลจากหน้าจอด้านบน:

มีการร้องขอหมายเลขอ้างอิงไปยังวัตถุ(A handle to an object was requested.)

เรื่อง: (Subject:)
Security ID: Aseem-Lenovo\Aseem
ชื่อบัญชี: Aseem ( Account Name: Aseem)
โดเมนบัญชี: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
รหัสการเข้าสู่ระบบ: 0x175a1( Logon ID: 0x175a1)

วัตถุ: (Object:)
เซิร์ฟเวอร์วัตถุ: ความปลอดภัย( Object Server: Security)
ชนิดของวัตถุ: ไฟล์( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
หมายเลขจัดการ: 0x16a0( Handle ID: 0x16a0)

ข้อมูล(Process Information:)
กระบวนการ: รหัสกระบวนการ: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

ข้อมูลการร้องขอการเข้าถึง: (Access Request Information:)
รหัสธุรกรรม: {00000000-0000-0000-0000-000000000000} การ ( Transaction ID: {00000000-0000-0000-0000-000000000000})
เข้าถึง: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

ในตัวอย่างด้านบน ไฟล์ที่ใช้คือNew Text Document.txtในโฟลเดอร์ Tufu(Tufu folder)บนเดสก์ท็อปของฉัน และการเข้าถึงที่ฉันขอคือDELETEตามด้วยSYNCHRONIZE สิ่งที่ฉันทำที่นี่คือลบไฟล์ นี่เป็นอีกตัวอย่างหนึ่ง:

ประเภทวัตถุ: ไฟล์( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

ข้อมูล(Process Information:)
กระบวนการ: รหัสกระบวนการ: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

ข้อมูลคำขอเข้าถึง: (Access Request Information:)
รหัสธุรกรรม: {00000000-0000-0000-0000-000000000000} การ ( Transaction ID: {00000000-0000-0000-0000-000000000000})
เข้าถึง: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (หรือ ListDirectory) ( ReadData (or ListDirectory))
WriteData (หรือ AddFile) ( WriteData (or AddFile))
AppendData (หรือ AddSubdirectory หรือ CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes

เหตุผลในการเข้าถึง: READ_CONTROL: Granted by Ownership ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)

ในขณะที่คุณอ่านสิ่งนี้ คุณจะเห็นว่าฉันเข้าถึงAddress Labels.docxโดยใช้โปรแกรม WINWORD.EXE(WINWORD.EXE program)และการเข้าถึงของฉันมีREAD_CONTROLและเหตุผลในการเข้าถึงของฉันคือREAD_CONTROL โดยปกติ คุณจะเห็นการเข้าถึงจำนวนมากขึ้น แต่ให้เน้นที่รายการแรก เนื่องจากปกติแล้วจะเป็นประเภทการเข้าถึงหลัก ในกรณีนี้ ฉันเพียงแค่เปิดไฟล์โดยใช้Word . ต้องใช้การทดสอบเล็กน้อยและอ่าน(testing and reading)เหตุการณ์ต่างๆ เพื่อทำความเข้าใจว่าเกิดอะไรขึ้น แต่เมื่อคุณหยุดทำงาน มันจะเป็นระบบที่น่าเชื่อถือมาก ฉันแนะนำให้สร้างโฟลเดอร์ทดสอบ(test folder)พร้อมไฟล์และดำเนินการต่างๆ เพื่อดูว่ามีอะไรแสดงในEvent Viewer(Event Viewer)

แค่นั้นเอง! วิธีที่รวดเร็วและฟรีในการติดตามการเข้าถึงหรือการเปลี่ยนแปลง(access or changes)ในโฟลเดอร์!



ธเนศ รุจิอาภรณ์

About the author

ฉันเป็นผู้เชี่ยวชาญด้านการสนับสนุนลูกค้า windows 10/11/10 ที่มีประสบการณ์มากกว่า 5 ปี ฉันยังเป็นนักเล่นเกมตัวยงในช่วงไม่กี่ปีที่ผ่านมาและมีความสนใจอย่างมากใน xbox One จุดสนใจปัจจุบันของฉันคือการช่วยเหลือลูกค้าเกี่ยวกับปัญหาที่เกิดขึ้นกับระบบ windows 10 หรือ Windows 11 บ่อยครั้งผ่านการใช้เครื่องมือบริการลูกค้าของเรา เช่น การสนับสนุนคอลเซ็นเตอร์และความช่วยเหลือออนไลน์


Related posts