Cara Melacak Saat Seseorang Mengakses Folder di Komputer Anda

Ada fitur kecil yang bagus yang dibangun ke dalam Windows yang memungkinkan Anda untuk melacak ketika seseorang melihat, mengedit, atau menghapus sesuatu di dalam folder tertentu. Jadi jika ada folder atau file(folder or file) yang ingin diketahui siapa yang mengakses, maka ini adalah cara built-in tanpa harus menggunakan software pihak ketiga.

Fitur ini sebenarnya adalah bagian dari fitur keamanan Windows(Windows security)  yang disebut Kebijakan Grup( Group Policy) , yang digunakan oleh sebagian besar Profesional TI(IT Professionals) yang mengelola komputer di jaringan perusahaan melalui server, namun juga dapat digunakan secara lokal di PC tanpa server apa pun. Satu-satunya kelemahan menggunakan Kebijakan Grup(Group Policy) adalah tidak tersedia di versi Windows yang lebih rendah . Untuk Windows 7 , Anda harus memiliki Windows 7 Professional atau lebih tinggi. Untuk Windows 8 , Anda memerlukan Pro atau Enterprise .

Istilah Kebijakan Grup(Group Policy) pada dasarnya mengacu pada satu set pengaturan registri yang dapat dikontrol melalui antarmuka pengguna(user interface) grafis . Anda mengaktifkan atau menonaktifkan berbagai pengaturan dan pengeditan ini kemudian diperbarui di registri Windows(Windows registry) .

Di Windows XP , untuk membuka editor kebijakan(policy editor) , klik Mulai(Start) lalu Jalankan(Run) . Di kotak teks, ketik " gpedit.msc " tanpa tanda kutip seperti yang ditunjukkan di bawah ini:

jalankan gpedit

Di Windows 7 , Anda cukup mengklik tombol Start dan ketik (Start button and type)gpedit.msc ke dalam kotak pencarian(search box) di bagian bawah Start Menu . Di Windows 8 , cukup buka Layar Mulai(Start Screen) dan mulailah mengetik atau gerakkan kursor mouse(mouse cursor) Anda ke ujung kanan atas atau bawah layar untuk membuka bilah Mantra(Charms) dan klik Cari(Search) . Kemudian ketik saja gpedit . Sekarang Anda akan melihat sesuatu yang mirip dengan gambar di bawah ini:

editor kebijakan grup

Ada dua kategori utama kebijakan: Pengguna(User) dan Komputer(Computer) . Seperti yang Anda duga, kebijakan pengguna mengontrol pengaturan untuk setiap pengguna sedangkan pengaturan komputer akan menjadi pengaturan seluruh sistem dan akan mempengaruhi semua pengguna. Dalam kasus kami, kami ingin pengaturan kami untuk semua pengguna, jadi kami akan memperluas bagian Konfigurasi Komputer(Computer Configuration) .

Lanjutkan memperluas ke Pengaturan Windows(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy . Saya tidak akan menjelaskan banyak pengaturan lain di sini karena ini terutama difokuskan pada mengaudit folder. Sekarang Anda akan melihat serangkaian kebijakan dan setelannya saat ini di sisi kanan(hand side) . Kebijakan audit(Audit policy) adalah apa yang mengontrol apakah sistem operasi(operating system) dikonfigurasi dan siap untuk melacak perubahan atau tidak.

akses objek audit

Sekarang periksa pengaturan untuk Akses Objek Audit(Audit Object Access ) dengan mengklik dua kali dan memilih Sukses(Success) dan Kegagalan(Failure) . Klik OK(Click OK) dan sekarang kita telah menyelesaikan bagian pertama yang memberi tahu Windows bahwa kita ingin siap untuk memantau perubahan. Sekarang langkah selanjutnya adalah memberitahunya apa yang PERSIS(EXACTLY) kita ingin lacak. Anda dapat menutup konsol Kebijakan Grup(Group Policy console) sekarang.

Sekarang navigasikan ke folder menggunakan Windows Explorer yang ingin Anda pantau. Di Explorer , klik kanan pada folder dan klik (folder and click) Properties . Klik pada Tab Keamanan( Security Tab) dan Anda melihat sesuatu yang mirip dengan ini:

tab keamanan penjelajah

Sekarang klik pada tombol Advanced dan klik pada tab Auditing . Di sinilah kita sebenarnya akan mengonfigurasi apa yang ingin kita pantau untuk folder ini.

jendela tab audit

Silakan dan klik tombol Tambah(Add) . Dialog akan muncul meminta Anda untuk memilih Pengguna atau Grup(User or Group) . Di kotak, ketik kata " (word “)pengguna(users) " dan klik Periksa Nama(Check Names) . Kotak tersebut akan otomatis diperbarui dengan nama grup pengguna lokal untuk komputer Anda dalam bentuk COMPUTERNAME\Users .

izin grup pengguna

Klik OK(Click OK) dan sekarang Anda akan mendapatkan dialog lain yang disebut " Entri Audit untuk X(Audit Entry for X) ". Ini adalah daging sebenarnya dari apa yang kami ingin lakukan. Di sinilah Anda akan memilih apa yang ingin Anda tonton untuk folder ini. Anda dapat memilih sendiri jenis aktivitas yang ingin Anda lacak, seperti menghapus atau membuat file/folder baru, dll. Untuk mempermudah, saya sarankan memilih Kontrol Penuh(Full Control) , yang secara otomatis akan memilih semua opsi lain di bawahnya. Lakukan ini untuk Sukses(Success) dan Gagal(Failure) . Dengan cara ini, apa pun yang dilakukan pada folder itu atau file di dalamnya, Anda akan memiliki catatan.

penjelajah izin audit

Sekarang klik OK dan klik OK lagi dan OK sekali lagi untuk keluar dari beberapa set kotak dialog(dialog box) . Dan sekarang Anda telah berhasil mengonfigurasi audit pada folder! Jadi Anda mungkin bertanya, bagaimana Anda melihat peristiwa itu?

Untuk melihat acara, Anda harus pergi ke Control Panel dan klik (Control Panel and click)Administrative Tools . Kemudian buka Peraga Peristiwa(Event Viewer) . Klik pada bagian Keamanan(Security) dan Anda akan melihat daftar besar acara di sisi kanan(hand side) :

keamanan penonton acara

Jika Anda melanjutkan dan membuat file atau cukup buka folder dan klik tombol Segarkan(Refresh button) di Peraga Peristiwa(Event Viewer) (tombol dengan dua panah hijau), Anda akan melihat banyak peristiwa dalam kategori Sistem Berkas( File System) . Ini berkaitan dengan operasi hapus, buat, baca, tulis pada folder/file yang Anda audit. Di Windows 7 , semuanya sekarang muncul di bawah kategori tugas Sistem File(File System task) , jadi untuk melihat apa yang terjadi, Anda harus mengklik masing-masing dan menggulirnya.

Agar lebih mudah untuk melihat melalui begitu banyak acara, Anda dapat menempatkan filter dan hanya melihat hal-hal penting. Klik(Click) menu Lihat(View) di bagian atas dan klik Filter . Jika tidak ada opsi untuk Filter , maka klik kanan pada log Keamanan(Security log) di halaman sebelah kiri dan pilih Filter Log Saat Ini(Filter Current Log) . Pada kotak Event ID(Event ID box) , ketikkan angka 4656 . Ini adalah peristiwa yang terkait dengan pengguna tertentu yang melakukan tindakan Sistem File (File System ) dan akan memberi Anda informasi yang relevan tanpa harus melihat ribuan entri.

log filter

Jika Anda ingin mendapatkan informasi lebih lanjut tentang suatu acara, cukup klik dua kali untuk melihatnya.

penghapusan id acara

Ini adalah informasi dari layar di atas:

Pegangan ke objek diminta.(A handle to an object was requested.)

Perihal: (Subject:)
Security ID: Aseem-Lenovo\Aseem
Nama Akun Aseem: ( Account Name: Aseem)
Akun Aseem Domain: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
ID Masuk: 0x175a1( Logon ID: 0x175a1)

Objek: (Object:)
Server Objek: Keamanan ( Object Server: Security)
Jenis Objek: Nama Objek File ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
Handle ID: 0x16a0

Informasi (Process Information:)
Proses: ID Proses: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

Informasi Permintaan Akses: (Access Request Information:)
ID Transaksi: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Mengakses: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

Pada contoh di atas, file yang dikerjakan adalah New Text Document.txt di folder Tufu(Tufu folder) di desktop saya dan akses yang saya minta adalah DELETE diikuti oleh SYNCHRONIZE . Apa yang saya lakukan di sini adalah menghapus file. Berikut contoh lain:

Jenis Objek: File ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
Handle ID: 0x178

Informasi (Process Information:)
Proses: ID Proses: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

Informasi Permintaan Akses: (Access Request Information:)
ID Transaksi: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
Mengakses: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData (atau ListDirectory) ( ReadData (or ListDirectory))
WriteData (atau AddFile) ( WriteData (or AddFile))
AppendData (atau AddSubdirectory atau CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes

Alasan Akses: READ_CONTROL: Diberikan oleh Kepemilikan ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: Diberikan oleh D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

Saat Anda membaca ini, Anda dapat melihat saya mengakses Address Labels.docx menggunakan program WINWORD.EXE(WINWORD.EXE program) dan akses saya termasuk READ_CONTROL dan alasan akses saya juga READ_CONTROL . Biasanya, Anda akan melihat lebih banyak akses, tetapi hanya fokus pada yang pertama karena biasanya itu adalah jenis akses utama. Dalam hal ini, saya cukup membuka file menggunakan Word . Dibutuhkan sedikit pengujian dan membaca(testing and reading) peristiwa untuk memahami apa yang terjadi, tetapi begitu Anda menyelesaikannya, ini adalah sistem yang sangat andal. Saya sarankan membuat folder uji(test folder) dengan file dan melakukan berbagai tindakan untuk melihat apa yang muncul di Peraga Peristiwa(Event Viewer) .

Itu cukup banyak! Cara cepat dan gratis untuk melacak akses atau perubahan(access or changes) ke folder!



Karta Maulana

About the author

Saya seorang pengulas profesional dan penambah produktivitas. Saya suka menghabiskan waktu online bermain video game, menjelajahi hal-hal baru, dan membantu orang dengan kebutuhan teknologi mereka. Saya memiliki beberapa pengalaman dengan Xbox dan telah membantu pelanggan menjaga keamanan sistem mereka sejak 2009.


Related posts