誰かがあなたのコンピュータ上のフォルダにアクセスするときを追跡する方法


Windowsには、ユーザーが指定したフォルダ内で何かを表示、編集、または削除するときを追跡できる素敵な機能があります。したがって、誰がアクセスしているかを知りたいフォルダやファイルがある場合、これはサードパーティのソフトウェアを使わなくても組み込みの方法です。

この機能は実際にはWindowsのセキュリティ機能の一部です企業ネットワーク内のコンピュータをサーバー経由で管理するほとんどのITプロフェッショナルが使用するグループポリシーと呼ばれていますが、サーバーがなくてもPC上でローカルに使用できます。グループポリシーを使用することの唯一の欠点は、Windowsの下位バージョンでは利用できないことです。 Windows 7の場合、Windows 7 Professional以降が必要です。

グループポリシーという用語は、基本的にグラフィカルユーザーインターフェイスで制御できる一連のレジストリ設定を指しています。

Windows XPでは、ポリシーエディタを表示するには、開始をクリックしてから実行]をクリックします。テキストボックスに「gpedit.msc」と入力します。

0

Windows 7スタートボタンをクリックし、スタートメニューの下部にある検索ボックスにgpedit.mscと入力します。 Windows 8では、単にスタート画面に行き、マウスカーソルを画面の一番上または右下に移動してチャームバーを開き、検索をクリックするだけです>。次に、gpeditと入力します。

group policy editor

ポリシーには、ユーザーという2つの主要カテゴリがあります。 >およびコンピュータ]をクリックします。ご想像のとおり、ユーザーポリシーは各ユーザーの設定を制御しますが、コンピューターの設定はシステム全体の設定になり、すべてのユーザーに影響します。私たちの場合はすべてのユーザーのために設定したいので、コンピュータの設定セクションを展開します。

Windowsの設定 - > セキュリティ設定 - >ローカルポリシー - >監査ポリシー]を選択します。これは主にフォルダの監査に焦点を当てているので、ここでは他の設定の多くについては説明しません。これで、一連のポリシーとその現在の設定が右側に表示されます。

audit object access

監査の設定を確認します。オブジェクトアクセス]をダブルクリックして[成功]と[失敗]の両方を選択します。 [OK]をクリックすると、変更を監視する準備が整ったことをWindowsに伝える最初の作業が完了しました。次のステップは、正確に何を追跡したいのかを伝えることです。

次に、監視するWindowsエクスプローラを使用してフォルダに移動します。エクスプローラで、フォルダを右クリックし、[プロパティ]をクリックします。 セキュリティタブをクリックすると、次のような表示になります。

[]ボタンをクリックし、[監査]タブをクリックします。

auditing tab windows

追加]をクリックして、強い>ボタンを押します。ユーザーまたはグループを選択するダイアログが表示されます。ボックスに「ユーザー」と入力し、[名前の確認]をクリックします。このボックスは、COMPUTERNAME \ Usersの形式でコンピュータのローカルユーザーグループの名前で自動的に更新されます。

user group permissions p>OKをクリックすると、「Xの監査エントリ」という別のダイアログが表示されます。これは私たちがやりたいことの本当の肉です。ここでは、このフォルダを見たいものを選択します。新しいファイルやフォルダの削除や作成など、どの種類の活動を追跡するかを個別に選択することができます。もっと簡単にするために、フルコントロールを選択することをお勧めします。 成功失敗でこれを行います。

6

OKをクリックし、再度OKをクリックします。もう一度[OK]をクリックすると、複数のダイアログボックスが表示されます。これで、フォルダの監査が正常に設定されました。

イベントを表示するには、コントロールパネルに移動して[管理ツール]をクリックする必要があります。次に、[イベントビューア]を開きます。 セキュリティセクションをクリックすると、右側に大きなイベントの一覧が表示されます。

event viewer security

ファイルを作成するか、単にフォルダを開き、イベントビューアの[更新]ボタン(緑色の矢印が2つ付いたボタン)をクリックすると、[ファイルシステムをクリックします。これらは、監査対象のフォルダ/ファイルに対する削除、作成、読み取り、書き込みの操作に関係します。 Windows 7では、ファイルシステムのタスクカテゴリにすべてが表示されるので、何が起こったのかを確認するには、それぞれをクリックしてスクロールする必要があります。

たくさんのイベントを見て、フィルターを入れて重要なものだけを見ることができます。上部の[表示]メニューをクリックし、[フィルタ]をクリックします。フィルタのオプションがない場合は、左側のページのセキュリティログを右クリックし、[現在のログをフィルタリング]を選択します。 [イベントID]ボックスに、4656の番号を入力します。これは、ファイルシステムアクションを実行している特定のユーザーに関連付けられたイベントで、何千ものエントリを調べなくても関連情報を表示します。

これは上の画面の情報です:

件名:
セキュリティID:Aseem-Lenovo \ Aseemem>アカウント名:Aseemアカウントドメイン:Aseem-Lenovo
ログオンID:0x175a1オブジェクトタイプ:ファイル
オブジェクト名:C オブジェクト:
オブジェクトサーバー:セキュリティハンドル情報:
プロセス情報:
プロセスID:0x820
プロセス名:C:\ Windows \ explorer.exe/ em>
トランザクションID:{00000000-0000-0000-0000-000000000000}
アクセス:DELETE
SYNCHRONIZE>>ReadAttributes

上記の例では、デスクトップ上のTufuフォルダにある新しいText Document.txtファイルが使用されていました。 SYNCHRONIZEによって。私がここでしたのはファイルを削除することでした。

オブジェクトタイプ:ファイル
オブジェクト名:C:\ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
ハンドルID:0x178

プロセス情報:
プロセスID:0x1008
>プロセス名:C:¥Program Files(x86)¥Microsoft Office¥Office14¥WINWORD.EXE

アクセス要求情報:
トランザクションID:{00000000-0000-0000-0000-000000000000}
アクセス:READ_CONTROL
SYNCHRONIZE
ReadData (またはAddSubdirectoryまたはCreatePipeInstance)
WriteData(またはAddFile)WriteEA
ReadAttributes
WriteAttributes

アクセス理由:READ_CONTROL:所有権SYNCHRONIZE:D:(A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1​​000)

これを読んで、私はWINWORD.EXE progrを使ってAddress Labels.docxにアクセスしたことがわかります私と私のアクセスにはREAD_CONTROLが含まれ、私のアクセスの理由もREAD_CONTROLでした。通常、より多くのアクセスが表示されますが、アクセスの主なタイプである最初のものに注目してください。この場合、Wordを使用してファイルを開いただけです。それは何が起こっているのかを理解するためにイベントを通して少しテストと読書を取るが、一度それを持っていれば、それは非常に信頼できるシステムです。テストフォルダにファイルを作成し、さまざまなアクションを実行して、イベントビューアに表示される内容を確認することをお勧めします。

それはかなりです!フォルダへのアクセスや変更を素早く自由に追跡する方法!

Lesson 1: Practical Deep Learning for Coders

関連記事:


3.08.2014