誰かがあなたのコンピュータ上のフォルダにアクセスした時を追跡する方法
Windowsには、特定のフォルダ内の誰かが表示、編集、削除を行ったときに追跡できるようにするための素晴らしい小さな機能があります。したがって、誰がアクセスしているのかを知りたいフォルダまたはファイルがある場合は、サードパーティ製のソフトウェアを使用しなくても、これが組み込みの方法になります。.
この機能は、実際にはWindowsのセキュリティ機能の一部です。 グループポリシー, これは、サーバーを介して企業ネットワーク内のコンピューターを管理するほとんどのITプロフェッショナルによって使用されますが、サーバーなしでPC上でローカルに使用することもできます。グループポリシーを使用する唯一の欠点は、それがWindowsの下位バージョンでは使用できないことです。 Windows 7の場合は、Windows 7 Professional以上が必要です。 Windows 8の場合、ProまたはEnterpriseが必要です。.
グループポリシーという用語は基本的に、グラフィカルユーザーインターフェイスを介して制御できる一連のレジストリ設定を指します。さまざまな設定を有効または無効にすると、これらの編集内容はWindowsレジストリで更新されます。.
Windows XPでは、ポリシーエディタに移動するには、をクリックします。 開始 その後 実行する. テキストボックスに「gpedit.msc以下のように引用符なしで。
Windows 7では、スタートボタンをクリックして、 gpedit.msc スタートメニューの下部にある検索ボックスに。 Windows 8では、単にスタート画面に移動して入力を開始するか、マウスカーソルを画面の右上または右下に移動して画面を開きます。 チャーム バーをクリックして サーチ. それからちょうどタイプしなさい gpedit. 下の画像のようなものが見えるはずです。
ポリシーには主に2つのカテゴリがあります。 ユーザー そして コンピューター. ご想像のとおり、ユーザーポリシーは各ユーザーの設定を制御しますが、コンピューターの設定はシステム全体の設定になり、すべてのユーザーに影響します。私たちの場合は、すべてのユーザーに設定を適用したいので、 コンピュータ構成 セクション.
に拡大を続ける Windowsの設定 -> セキュリティ設定 - >ローカルポリシー - >監査ポリシー. ここでは主にフォルダの監査に焦点を当てているため、他の設定の多くについては説明しません。これで、右側に一連のポリシーとその現在の設定が表示されます。監査ポリシーは、オペレーティングシステムが構成されていて変更を追跡する準備ができているかどうかを制御するものです。.
今の設定を確認してください オブジェクトアクセスの監査 ダブルクリックして両方を選択する 成功 そして 失敗. [OK]をクリックすると、最初の部分であるWindowsに変更を監視する準備が整ったことを伝えます。次のステップは、私たちが何を正確に追跡したいのかを伝えることです。今すぐグループポリシーコンソールを閉じることができます。.
監視したいWindowsエクスプローラを使用してフォルダに移動します。エクスプローラでフォルダを右クリックして プロパティ. クリックしてください セキュリティタブ そして、あなたはこれに似た何かを見る:
今すぐクリックして 高度な ボタンをクリックして 監査 タブ。ここで、このフォルダについて監視したいものを実際に設定します。.
先に進んでクリック 追加する ボタン。ユーザーまたはグループを選択するように求めるダイアログが表示されます。ボックスに、「ユーザークリックして 名前を確認する. ボックスは、あなたのコンピュータのローカルユーザーグループの名前で自動的に更新されます。 コンピュータ名\ユーザー.
[OK]をクリックすると、「ダイアログ」という別のダイアログが表示されます。Xの監査エントリ「。これが私たちがやりたかったことの本当の意味です。このフォルダで見たいものを選択します。新しいファイル/フォルダの削除や作成など、追跡したいアクティビティの種類を個別に選択できます。作業を簡単にするために、[フルコントロール]を選択すると、その下にある他のすべてのオプションが自動的に選択されます。これをしなさい 成功 そして 失敗. このようにして、そのフォルダまたはその中のファイルに何が行われても、レコードが得られます。.
[OK]をクリックし、もう一度[OK]をクリックして、もう一度[OK]をクリックして、複数のダイアログボックスセットから抜け出します。これで、フォルダに対する監査の設定が完了しました。それで、あなたは尋ねるかもしれません、あなたはどのようにイベントを見ますか??
イベントを見るためには、コントロールパネルを開いてをクリックする必要があります。 管理ツール. それから イベントビューアー. クリックしてください セキュリティ セクションをクリックすると、右側に多数のイベントのリストが表示されます。
先に進んでファイルを作成するか、単にフォルダを開いてイベントビューアの[更新]ボタン(2つの緑色の矢印の付いたボタン)をクリックすると、[カテゴリ]に多数のイベントが表示されます。 ファイルシステム. これらは、監査しているフォルダ/ファイルに対する削除、作成、読み取り、書き込み操作に関係します。 Windows 7では、すべてがファイルシステムのタスクカテゴリの下に表示されるので、何が起こったのかを確認するには、それぞれをクリックしてスクロールする必要があります。.
非常に多くのイベントを調べやすくするために、フィルターを設定して重要なものだけを見ることができます。クリックしてください 見る 上部のメニューをクリックして フィルタ. フィルタのオプションがない場合は、左側のページでセキュリティログを右クリックして、 現在のログをフィルタ. [イベントID]ボックスに番号を入力します。 4656. これは、特定のユーザーが実行したことに関連するイベントです。 ファイルシステム 何千ものエントリーを調べなくても、適切な情報を提供します。.
イベントに関する詳細情報を取得したい場合は、イベントをダブルクリックして表示してください。.
これは上のスクリーンからの情報です:
オブジェクトへのハンドルが要求されました.
件名:
セキュリティID:Aseem-Lenovo \ Aseem
アカウント名:Aseem
アカウントドメイン:Aseem-Lenovo
ログオンID:0x175a1
オブジェクト:
オブジェクトサーバ:セキュリティ
オブジェクトタイプ:ファイル
オブジェクト名:C:¥Users¥Aseem¥Desktop¥Tufu¥New Text Document.txt
ハンドルID:0x16a0
プロセス情報:
プロセスID:0x820
プロセス名:C:\ Windows \ explorer.exe
アクセス要求情報:
トランザクションID:00000000-0000-0000-0000-000000000000
アクセス:DELETE
同期
ReadAttributes
上の例では、作業中のファイルは私のデスクトップのTufuフォルダにあるNew Text Document.txtであり、私が要求したアクセスはDELETEとそれに続くSYNCHRONIZEでした。私がここでしたことはファイルを削除することでした。これは別の例です。
オブジェクトタイプ:ファイル
オブジェクト名:C:¥Users¥Aseem¥Desktop¥Tufu¥Address Labels.docx
ハンドルID:0x178
プロセス情報:
プロセスID:0x1008
プロセス名:C:\ Program Files(x86)\ Microsoft Office \ Office14 \ WINWORD.EXE
アクセス要求情報:
トランザクションID:00000000-0000-0000-0000-000000000000
アクセス:READ_CONTROL
同期
ReadData(またはListDirectory)
WriteData(またはAddFile)
AppendData(またはAddSubdirectoryまたはCreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
アクセスの理由:READ_CONTROL:所有権によって付与されました
同期:Dによる許可:(A; ID; FA ;;;; S-1-5-21-597862309-2018615179-2090787082-1000)
これを読み進めると、WINWORD.EXEプログラムを使用してAddress Labels.docxにアクセスしたところ、READ_CONTROLが含まれていて、アクセスの理由もREAD_CONTROLであることがわかります。通常はもっとたくさんのアクセスがありますが、通常は主なアクセスタイプであるため、最初のアクセスに集中してください。この場合は、Wordを使用してファイルを開きました。何が起こっているのかを理解するには、イベントを少しずつテストしたり読んだりする必要がありますが、いったん停止すると、非常に信頼性の高いシステムになります。ファイルを含むテストフォルダーを作成し、イベントビューアーに表示される内容を確認するためにさまざまな操作を実行することをお勧めします。.
それはほとんどそれです!フォルダへのアクセスまたは変更を追跡するためのすばやく無料の方法!
