Windows11/10のグループポリシーを使用してドキュメントを監視する

グループポリシーを使用すると、Windowsコンピューターでの変更を監査または監視できます。グループポリシーを使用すると、誰がいつログオンしたか、誰がドキュメントを開いたか、誰が新しいユーザーアカウントを作成したか、またはセキュリティポリシーを変更したかを監視できます。

グループポリシーを使用してドキュメントを監視する

これを行うには、 secpol.mscと入力します 検索を開始し、Enterキーを押してローカルセキュリティポリシーを開きます。

左側のペインの[セキュリティ設定]で、[ローカルポリシー]を展開し、[監査ポリシー]を選択します。

ご覧のとおり、監査できます：

• アカウントログオンイベント： アカウントログオンイベントは、コンピューターが権限のあるアカウントの資格情報を検証するたびに生成されます。
• アカウント管理： 誰かがアカウント名を変更したか、アカウントを有効または無効にしたか、アカウントを作成または削除したか、パスワードを変更したか、ユーザーグループを変更したかを確認できます
• ディレクトリサービスへのアクセス： これを監視して、誰かが独自のシステムアクセス制御リスト（SACL）を持つActiveDirectoryオブジェクトにアクセスするタイミングを確認します。
• ログオンイベント： ログオンしたユーザーアカウントのログオンセッションが終了するたびに、ログオフイベントが生成されます。
• オブジェクトアクセス： 誰かがファイル、フォルダ、プリンタ、レジストリキー、または別のオブジェクトを使用したことを確認できます。
• ポリシーの変更： ローカルセキュリティポリシーへの変更を監査します。
• 特権の使用： これを監視して、誰かが実行する権限を持っているコンピューターでタスクを実行するタイミングを確認します
• プロセス追跡： プログラムのアクティブ化やプロセスの終了などのイベントを追跡します。
• システムイベント： 誰かがコンピュータをシャットダウンまたは再起動したとき、またはプロセスまたはプログラムが許可されていないことを実行しようとしたときを監視および確認できます。

監視するものをダブルクリックして、[成功]オプションを選択します。 [適用]をクリックします。 [説明]タブをクリックすると、それぞれの詳細情報を取得できます。

ドキュメントの監視を有効にする 、ファイルを右クリックして[プロパティ]をクリックします。

[セキュリティ]タブ>[詳細設定]>[監査]タブを選択します。

[続行]をクリックして[セキュリティの詳細設定]ボックスを開き、[追加]をクリックします。

次に、[選択するオブジェクト名を入力してください]ボックスに、アクションを追跡するユーザーまたはグループの名前を入力し、それぞれで[OK]をクリックします。 4つの開いているダイアログボックス。

監査するアクションのチェックボックスを選択し、[OK]をクリックします。監査できる内容とファイルの監査可能なアクションの詳細については、Microsoftにアクセスしてください。

監査ログを表示するには 、「イベントビューア」と入力します 検索を開始してEnterキーを押します。

左側のウィンドウで、[Windowsログ]をダブルクリックし、[セキュリティ]をクリックします。次に、イベントをダブルクリックして、ログの詳細を表示します。

この投稿がお役に立てば幸いです。