Windows
 Computer >> コンピューター >  >> システム >> Windows

コンピュータ上のフォルダへのアクセスを追跡する方法

Windows には、誰かが特定のフォルダー内の何かをいつ表示、編集、または削除したかを追跡できる便利な小さな機能が組み込まれています。そのため、誰がアクセスしているかを知りたいフォルダーやファイルがある場合、これはサードパーティのソフトウェアを使用する必要のない組み込みの方法です。

この機能は、実際にはグループ ポリシーと呼ばれる Windows セキュリティ機能の一部です 、サーバー経由で企業ネットワーク内のコンピューターを管理するほとんどの IT プロフェッショナルが使用していますが、サーバーなしで PC でローカルに使用することもできます。グループ ポリシーを使用することの唯一の欠点は、それより前のバージョンの Windows では使用できないことです。 Windows 7 の場合、Windows 7 Professional 以降が必要です。 Windows 8 の場合、Pro または Enterprise が必要です。

グループ ポリシーという用語は、基本的に、グラフィカル ユーザー インターフェイスを介して制御できる一連のレジストリ設定を指します。さまざまな設定を有効または無効にすると、これらの編集内容が Windows レジストリで更新されます。

Windows XP でポリシー エディターを表示するには、[開始] をクリックします。 そして実行 .テキスト ボックスに「gpedit.msc」と入力します。 」以下に示すように引用符なし:

Windows 7 では、[スタート] ボタンをクリックして、gpedit.msc と入力するだけです。 スタートメニューの下部にある検索ボックスに。 Windows 8 では、スタート画面に移動して入力を開始するか、マウス カーソルを画面の右上または右下に移動して Charms を開きます。 バーをクリックして 検索 をクリックします . gpedit と入力するだけです .以下の画像のようなものが表示されるはずです:

コンピュータ上のフォルダへのアクセスを追跡する方法

ポリシーには主に 2 つのカテゴリがあります:ユーザーコンピュータ .ご想像のとおり、ユーザー ポリシーは各ユーザーの設定を制御しますが、コンピューターの設定はシステム全体の設定であり、すべてのユーザーに影響します。この場合、設定をすべてのユーザーに適用したいので、コンピュータの構成 を展開します。

Windows の設定への展開を続ける -> セキュリティ設定 -> ローカル ポリシー -> 監査ポリシー .これは主にフォルダーの監査に焦点を当てているため、ここでは他の設定の多くを説明するつもりはありません。一連のポリシーとその現在の設定が右側に表示されます。監査ポリシーは、オペレーティング システムが構成され、変更を追跡する準備ができているかどうかを制御するものです。

コンピュータ上のフォルダへのアクセスを追跡する方法

オブジェクト アクセスの監査の設定を確認します。 それをダブルクリックして両方の Success を選択する そして失敗 . [OK] をクリックすると、変更を監視する準備ができていることを Windows に伝える最初の部分が完了しました。次のステップは、追跡したいものを正確に伝えることです。これで、グループ ポリシー コンソールを閉じることができます。

次に、Windows エクスプローラーを使用して、監視するフォルダーに移動します。エクスプローラーでフォルダーを右クリックし、[プロパティ] をクリックします。 . [セキュリティ] タブをクリックします 次のようなものが表示されます:

コンピュータ上のフォルダへのアクセスを追跡する方法

[詳細] をクリックします。 ボタンをクリックして、[監査] をクリックします。 タブ。ここで、このフォルダーの監視対象を実際に構成します。

コンピュータ上のフォルダへのアクセスを追跡する方法

[追加] をクリックします。 ボタン。ユーザーまたはグループの選択を求めるダイアログが表示されます。ボックスに「users」と入力します 」をクリックし、[名前の確認] をクリックします。 .ボックスは、COMPUTERNAME\Users の形式で、コンピューターのローカル ユーザー グループの名前で自動的に更新されます。 .

コンピュータ上のフォルダへのアクセスを追跡する方法

[OK] をクリックすると、「Audit Entry for X」という別のダイアログが表示されます。 」。これこそが、私たちがやりたかったことの真骨頂です。ここで、このフォルダで見たいものを選択します。新しいファイル/フォルダーの削除または作成など、追跡するアクティビティの種類を個別に選択できます。簡単にするために、[フル コントロール] を選択することをお勧めします。これにより、その下にある他のすべてのオプションが自動的に選択されます。 成功のためにこれを行う そして失敗 .このようにして、そのフォルダーまたはその中のファイルに対して何を行っても、記録が残ります。

コンピュータ上のフォルダへのアクセスを追跡する方法

ここで [OK] をクリックし、もう一度 [OK] をクリックしてからもう一度 [OK] をクリックして、複数のダイアログ ボックス セットから抜け出します。これで、フォルダーの監査が正常に構成されました。では、イベントをどのように表示しますか?

イベントを表示するには、コントロール パネルに移動し、[管理ツール] をクリックする必要があります。 . イベント ビューアを開きます . セキュリティをクリックします セクションをクリックすると、右側にイベントの大きなリストが表示されます:

コンピュータ上のフォルダへのアクセスを追跡する方法

先に進んでファイルを作成するか、単純にフォルダを開いてイベント ビューアの [更新] ボタン (2 つの緑色の矢印が付いたボタン) をクリックすると、ファイル システム<のカテゴリに一連のイベントが表示されます。 /強い> .これらは、監査しているフォルダー/ファイルに対する削除、作成、読み取り、書き込み操作に関連しています。 Windows 7 では、すべてがファイル システム タスク カテゴリの下に表示されるようになったため、何が起こったかを確認するには、それぞれをクリックしてスクロールする必要があります。

非常に多くのイベントを簡単に確認できるようにするために、フィルターを適用して重要なものだけを表示できます。 表示をクリックします メニューをクリックし、[フィルタ] をクリックします。 .フィルタのオプションがない場合は、左側のページでセキュリティ ログを右クリックし、[現在のログをフィルタ] を選択します。 . [イベント ID] ボックスに、数値 4656 を入力します .これは、ファイル システムを実行している特定のユーザーに関連付けられたイベントです アクションを実行し、何千ものエントリを調べることなく関連情報を提供します。

コンピュータ上のフォルダへのアクセスを追跡する方法

イベントに関する詳細情報を取得したい場合は、ダブルクリックして表示してください。

コンピュータ上のフォルダへのアクセスを追跡する方法

これは上の画面からの情報です:

オブジェクトへのハンドルが要求されました。

件名:
セキュリティ ID:Aseem-Lenovo\Aseem
アカウント名:Aseem
アカウント ドメイン:Aseem-Lenovo
ログオン ID:0x175a1

オブジェクト:
オブジェクト サーバー:セキュリティ
オブジェクト タイプ:ファイル
オブジェクト名:C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ハンドル ID:0x16a0

プロセス情報:
プロセス ID:0x820
プロセス名:C:\Windows\explorer.exe

アクセス リクエスト情報:
トランザクション ID:{00000000-0000-0000-0000-000000000000}
アクセス:DELETE
同期
ReadAttributes

上記の例では、作業したファイルはデスクトップの Tufu フォルダーにある New Text Document.txt であり、要求したアクセスは DELETE に続いて SYNCHRONIZE でした。ここで私がしたことは、ファイルを削除することでした。別の例を次に示します。

オブジェクト タイプ:ファイル
オブジェクト名:C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ハンドル ID:0x178

プロセス情報:
プロセス ID:0x1008
プロセス名:C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

アクセス リクエスト情報:
トランザクション ID:{00000000-0000-0000-0000-000000000000}
アクセス:READ_CONTROL
同期
ReadData (または ListDirectory)
WriteData (または AddFile)
AppendData (または AddSubdirectory または CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes

アクセスの理由:READ_CONTROL:所有権による付与
SYNCHRONIZE:D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1​​000) によって付与

これを読むと、WINWORD.EXE プログラムを使用して Address Labels.docx にアクセスしたことがわかります。私のアクセスには READ_CONTROL が含まれており、アクセスの理由も READ_CONTROL でした。通常、さらに多くのアクセスが表示されますが、通常は最初のアクセスが主なタイプであるため、最初のアクセスに注目してください。この場合、Word を使用してファイルを開いただけです。何が起こっているのかを理解するには、少しテストしてイベントを読む必要がありますが、一度ダウンしてしまえば、非常に信頼できるシステムです.ファイルを含むテスト フォルダーを作成し、さまざまなアクションを実行して、イベント ビューアーに何が表示されるかを確認することをお勧めします。

それだけです!フォルダへのアクセスまたは変更を追跡するための迅速かつ無料の方法!


  1. MSCONFIG で PC をスピードアップする方法

    これは、私たちの意見では、これまで Windows 用に作成された最高のコマンドです。 MSCONFIG は Windows の過去のバージョンに存在し、Windows 10 にも存在します。これは、この記事を読んでいるうちに理解できる明らかな理由からです。 MSCONFIG で PC をスピードアップする方法を知ってください! MSCONFIG が役立つ理由 MSCONFIG で多くのことを制御できますが、自動的に起動するプログラムを制御するため、MSCONFIG が特に気に入っています。これらは、貴重なメモリを使用しているプログラムでもあります。これにより、コンピューターの読み込みに

  2. Windows コンピュータから Google ドライブをアンインストールする方法

    PC で Google ドライブが不要になりましたか? Google ドライブをアンインストールして無駄なストレージ容量を回復したいですか? 心配しないで!この投稿では、Windows システムから Google ドライブを削除するさまざまな方法について説明します。また、ストレージ スペースの回復、PC のクリーンアップ、切断、Google ドライブの一時停止の方法についても説明します。 Windows システムから Google ドライブを切断する方法 PC から Google ドライブを削除する前に、システムから切断する必要があります。 Google ドライブを再利用したい場合に便利で