誰かがあなたのコンピュータ上のフォルダにアクセスしたときを追跡する方法
Windowsには、指定したフォルダ内で誰かが何かを表示、編集、または削除したときに追跡できる小さな機能が組み込まれています。したがって、誰がアクセスしているかを知りたいフォルダまたはファイルがある場合、これはサードパーティのソフトウェアを使用せずに組み込まれた方法です。(folder or file)
この機能は、実際にはグループポリシー( Group Policy) と呼ばれるWindowsセキュリティ(Windows security)機能の一部であり、サーバーを介して企業ネットワーク内のコンピューターを管理するほとんどのITプロフェッショナル(IT Professionals)によって使用されますが、サーバーなしでPC上でローカルに使用することもできます。グループポリシー(Group Policy)を使用することの唯一の欠点は、 Windowsの下位バージョンでは使用できないことです。Windows 7の場合、 Windows7Professional(Windows 7)以降(Professional)が必要です。Windows 8の場合、ProまたはEnterpriseが必要です。
グループポリシー(Group Policy)という用語は、基本的に、グラフィカルユーザーインターフェイス(user interface)を介して制御できる一連のレジストリ設定を指します。さまざまな設定を有効または無効にすると、これらの編集がWindowsレジストリ(Windows registry)で更新されます。
Windows XPでは(Windows XP)、ポリシーエディタにアクセスするには、[(policy editor)スタート]、[ファイル名を指定して(Start)実行(Run)]の順にクリックします。次のように、テキストボックスに引用符なしで「 gpedit.msc 」と入力します。(gpedit.msc)
Windows 7では、 [スタート]ボタンを(Start button and type)クリックして、 [スタート]メニュー(Start Menu)の下部にある検索ボックスに(search box)gpedit.mscと入力するだけです。Windows 8では、スタート画面(Start Screen)に移動して入力を開始するか、マウスカーソル(mouse cursor)を画面の右上または右下に移動してチャーム(Charms)バーを開き、[検索(Search)]をクリックします。次に、gpeditと入力するだけです。これで、下の画像のようなものが表示されるはずです。
ポリシーには、ユーザー(User)とコンピューター(Computer)の2つの主要なカテゴリがあります。ご想像のとおり、ユーザーポリシーは各ユーザーの設定を制御しますが、コンピューターの設定はシステム全体の設定であり、すべてのユーザーに影響します。この例では、すべてのユーザーが設定できるようにするため、[コンピューターの構成](Computer Configuration)セクションを展開します。
[Windowsの設定](Windows Settings) ->[ Security Settings -> Local Policies -> Audit Policy]に展開し続けます。これは主にフォルダの監査に焦点を合わせているため、ここでは他の設定の多くについては説明しません。これで、一連のポリシーとその現在の設定が右側に表示されます(hand side)。監査ポリシーは、(Audit policy)オペレーティングシステム(operating system)が構成され、変更を追跡する準備ができているかどうかを制御するものです。
次に、オブジェクトアクセスの監査(Audit Object Access )の設定をダブルクリックし、成功(Success)と失敗(Failure)の両方を選択して確認します。[OK](Click OK)をクリックすると、変更を監視する準備ができていることをWindowsに通知する最初の部分が完了します。次のステップは、正確に何を追跡したいかを伝えることです(EXACTLY)。これで、グループポリシーコンソール(Group Policy console)を終了できます。
次に、監視するWindowsエクスプローラー(Windows Explorer)を使用してフォルダーに移動します。エクスプローラー(Explorer)で、フォルダーを(folder and click) 右クリックし、 [プロパティ(Properties)]をクリックします。[セキュリティ]タブ( Security Tab)をクリックすると、次のようなものが表示されます。
次に、[詳細(Advanced)設定]ボタンをクリックし、[監査(Auditing)]タブをクリックします。ここで、このフォルダーの監視対象を実際に構成します。
先に進み、[追加(Add)]ボタンをクリックします。ユーザーまたはグループ(User or Group)を選択するように求めるダイアログが表示されます。ボックスに「 users 」という単語を入力し、[(word “)名前の確認(Check Names)]をクリックします。COMPUTERNAME\Usersの形式で自動的に更新されます。
[OK ]をクリックすると、「 (Click OK)Xのエントリの監査(Audit Entry for X)」という別のダイアログが表示されます。これが私たちがやりたかったことの本当の肉です。ここで、このフォルダを監視する対象を選択します。新しいファイル/フォルダの削除や作成など、追跡するアクティビティの種類を個別に選択できます。簡単にするために、 [フルコントロール](Full Control)を選択することをお勧めします。これにより、その下にある他のすべてのオプションが自動的に選択されます。成功(Success)と失敗(Failure)のためにこれを行います。このようにして、そのフォルダーまたはその中のファイルに対して行われることは何でも、レコードがあります。
次に、[OK]をクリックし、もう一度[OK]をクリックして、もう一度[OK]をクリックして、複数のダイアログボックス(dialog box)セットを終了します。これで、フォルダーの監査が正常に構成されました。それで、あなたは尋ねるかもしれません、あなたはどのようにイベントを見るのですか?
イベントを表示するには、コントロールパネルに移動し、[(Control Panel and click)管理ツール(Administrative Tools)]をクリックする必要があります。次に、イベントビューア(Event Viewer)を開きます。[セキュリティ(Security)]セクションをクリックすると、右側にイベントの大きなリストが表示されます(hand side)。
先に進んでファイルを作成するか、フォルダを開いてイベントビューアの[(Event Viewer)更新]ボタン(2つの緑色の矢印が付いたボタン)をクリックすると、(Refresh button)ファイルシステム( File System)のカテゴリに一連のイベントが表示されます。これらは、監査しているフォルダー/ファイルに対する削除、作成、読み取り、書き込み操作に関係します。Windows 7では、すべてがファイルシステムタスク(File System task)カテゴリの下に表示されるようになったため、何が起こったかを確認するには、それぞれをクリックしてスクロールする必要があります。
非常に多くのイベントを簡単に確認できるようにするために、フィルターを配置して重要なものだけを表示できます。上部の[表示(View)]メニューをクリック(Click)し、 [フィルター(Filter)]をクリックします。フィルタ(Filter)のオプションがない場合は、左側のページのセキュリティログ(Security log)を右クリックして、[現在のログのフィルタ](Filter Current Log)を選択します。[イベントID]ボックス(Event ID box)に、番号4656を入力します。これは、ファイルシステム (File System )アクションを実行する特定のユーザーに関連付けられたイベントであり、何千ものエントリを調べることなく、関連情報を提供します。
イベントに関する詳細情報を取得したい場合は、イベントをダブルクリックして表示してください。
これは上の画面からの情報です:
オブジェクトへのハンドルが要求されました。(A handle to an object was requested.)
件名:(Subject:)
Security ID: Aseem-Lenovo\Aseem
アカウント名: Aseem( Account Name: Aseem)
アカウントドメイン:Aseem-Lenovo( Account Domain: Aseem-Lenovo)
ログオンID:0x175a1( Logon ID: 0x175a1)
オブジェクト:(Object:)
オブジェクトサーバー:セキュリティ( Object Server: Security)
オブジェクトタイプ:ファイル( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
ハンドルID:0x16a0( Handle ID: 0x16a0)
プロセス情報:(Process Information:)
プロセスID:0x820( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe
アクセス要求情報:(Access Request Information:)
トランザクションID:{00000000-0000-0000-0000-000000000000}( Transaction ID: {00000000-0000-0000-0000-000000000000})
アクセス:DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes
上記の例では、作業したファイルはデスクトップのTufuフォルダーにある(Tufu folder)New Text Document.txtであり、要求したアクセスはDELETEの後にSYNCHRONIZEが続きます。ここで行ったことは、ファイルを削除することでした。別の例を次に示します。
オブジェクトタイプ:ファイル( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
ハンドルID:0x178( Handle ID: 0x178)
プロセス情報:(Process Information:)
プロセスID:0x1008( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
アクセス要求情報:(Access Request Information:)
トランザクションID:{00000000-0000-0000-0000-000000000000}( Transaction ID: {00000000-0000-0000-0000-000000000000})
アクセス:READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData(またはListDirectory)( ReadData (or ListDirectory))
WriteData(またはAddFile)( WriteData (or AddFile))
AppendData(またはAddSubdirectoryまたはCreatePipeInstance)( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes
WriteAttributes
アクセス理由:READ_CONTROL:所有権によって付与同期:( Access Reasons: READ_CONTROL: Granted by Ownership)
Dによって付与:(A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))
これを読むと、 WINWORD.EXEプログラム(WINWORD.EXE program)を使用してAddress Labels.docxにアクセスし、アクセスには(Address Labels.docx)READ_CONTROLが含まれ、アクセス理由もREAD_CONTROLであることがわかります。通常、より多くのアクセスが表示されますが、通常は最初のアクセスが主なタイプであるため、最初のアクセスに注目してください。この場合、Wordを使用してファイルを開くだけです。何が起こっているのかを理解するには、イベントを少しテストして読む(testing and reading)必要がありますが、一度停止すると、非常に信頼性の高いシステムになります。ファイルを含むテストフォルダを作成し、さまざまなアクションを実行して、(test folder)イベントビューア(Event Viewer)に何が表示されるかを確認することをお勧めします。
それはほとんどそれです!フォルダへのアクセスや変更(access or changes)を追跡するための迅速で無料の方法!
About the author
私はモバイル業界で 10 年以上の経験を持つ電話エンジニアで、スマートフォンの修理とアップグレードを専門としています。私の仕事には、電話ファームウェアの開発と保守、Apple デバイス用のイメージの開発、Firefox OS プロジェクトでの作業が含まれます。ソフトウェア開発、ハードウェア エンジニアリング、画像処理、Firefox OS 開発のスキルを活かして、複雑な問題を解決し、あらゆるデバイスで機能するシンプルなソリューションに変えることができます。
Related posts
WindowsXPでセキュリティで保護されロックされたフォルダを作成する方法
Windows XP、7、8でデスクトップアイコンのレイアウトを保存する方法
WindowsXPで「NTFS.sysの欠落または破損」エラーを修正する方法
WindowsXPまたはWindowsServer2003コンピュータへのリモートアクセス
ドライバセットアップを使用してWindowsXPからネットワークプリンタをインストールする
WindowsXPワイヤレスネットワーク接続の問題のトラブルシューティング
msvcr120.dllがお使いのコンピュータにありませんか?修正する8つの方法
Fix Folderは存在しません - Origin errorをWindowsの10に
コンピューターにWordPressテストサイトをインストールする方法
Windowsでコンピュータのモデルを見つける方法
WindowsでデフォルトのPictureViewerを変更する方法
古いDOSゲームとプログラムをWindowsXP、Vista、7/8/10で実行する
Windowsでファイルとフォルダのアクセス許可を設定する方法
WindowsXPでVHDファイルを添付する
管理者エラーによりレジストリ編集が無効になっている問題を修正
ON or OFF Public FolderをWindows 10で共有する方法
WindowsXPコンピューターをWindows7/8/10ホームグループに参加させる
Windowsのコントロールパネル-クラシックWindowsXPビューに切り替える方法
WindowsフォルダをGoogleドライブ、OneDrive、Dropboxと同期する
WindowsXPで「コンピュータが危険にさらされている可能性があります」をオフまたは削除します