Windows에 내장 된 멋진 기능으로 누군가 특정 폴더에서 뭔가를 보거나 편집하거나 삭제할 때 추적 할 수 있습니다. 따라서 누가 액세스하고 있는지 알고 싶은 폴더 나 파일이 있다면 타사 소프트웨어를 사용하지 않고도 내장 된 방법입니다.
이 기능은 실제로 Windows 보안 기능의 일부입니다 서버를 통해 기업 네트워크의 컴퓨터를 관리하는 대부분의 IT 전문가가 사용하는 그룹 정책이라고 부르지 만 서버가없는 PC에서도 로컬로 사용할 수 있습니다. 그룹 정책을 사용할 때의 단점은 하위 버전의 Windows에서는 사용할 수 없다는 것입니다. Windows 7의 경우 Windows 7 Professional 이상이 필요합니다. Windows 8의 경우 Pro 또는 Enterprise가 필요합니다.
그룹 정책이라는 용어는 기본적으로 그래픽 사용자 인터페이스를 통해 제어 할 수있는 레지스트리 설정 집합을 말합니다. 다양한 설정을 사용 또는 사용하지 않도록 설정하고 이러한 수정 사항은 Windows 레지스트리에서 업데이트됩니다.
Windows XP에서는 정책 편집기로 이동하려면 시작을 클릭 한 다음 실행을 클릭하십시오. 텍스트 상자에 다음과 같이 따옴표없이 "gpedit.msc"를 입력하십시오.
0
Windows 7 시작 버튼을 클릭하고 시작 메뉴 하단의 검색 창에 gpedit.msc를 입력하면됩니다. Windows 8에서는 시작 화면으로 이동하여 마우스 커서를 화면의 맨 위 또는 맨 아래 오른쪽으로 이동하여 부적표시 줄을 연 다음 검색. 그런 다음 gpedit을 입력하십시오. 이제 다음 이미지와 비슷한 내용을 보게됩니다.
정책에는 크게 두 가지 범주가 있습니다. 사용자및 컴퓨터가 있습니다. 짐작 하시겠지만 사용자 정책은 각 사용자의 설정을 제어하는 반면 컴퓨터 설정은 시스템 전체 설정이며 모든 사용자에게 적용됩니다. 이 경우 우리는 모든 사용자를 대상으로 설정하고자하므로 컴퓨터 구성섹션을 확장합니다.
Windows 설정 - & gt; 보안 설정 - & gt; 로컬 정책 - & gt; 감사 정책. 여기서는 주로 폴더 감사에 중점을두기 때문에 여기서는 다른 설정에 대해 설명하지 않겠습니다. 이제 일련의 정책과 현재 설정이 오른쪽에 표시됩니다. 감사 정책은 운영 체제가 구성되어 있고 변경 내용을 추적 할 준비가되었는지 여부를 제어합니다.
이제 Audit Object Access (개체 액세스)를 두 번 클릭하고 성공및 실패를 선택하십시오. 확인을 클릭하면 이제 Windows에 변경 사항을 모니터링 할 준비가되었음을 알리는 첫 번째 작업이 완료됩니다. 이제 다음 단계는 정확히 우리가 추적하고 싶은 것을 말해주는 것입니다. 지금 그룹 정책 콘솔을 닫을 수 있습니다.
이제 모니터링 할 Windows 탐색기를 사용하여 폴더로 이동하십시오. 탐색기에서 폴더를 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭하십시오. 보안 탭을 클릭하면 다음과 비슷한 메시지가 표시됩니다.
고급버튼을 클릭하고 감사탭을 클릭하십시오.
추가
strong>버튼을 클릭합니다. 사용자 또는 그룹을 선택하라는 대화 상자가 나타납니다. 상자에 "사용자"를 입력하고 이름 확인을 클릭하십시오. 이 상자는 컴퓨터의 로컬 사용자 그룹 이름으로 COMPUTERNAME \ Users형식으로 자동 업데이트됩니다.
이제 확인을 클릭하고 다시 확인을 클릭하십시오. OK를 클릭하면 여러 대화 상자 세트에서 빠져 나옵니다. 이제 폴더에 대한 감사를 성공적으로 구성했습니다! 이벤트를 보려면 어떻게해야합니까?
이벤트를 보려면 제어판으로 가서 관리 도구를 클릭해야합니다. 그런 다음 이벤트 뷰어를 엽니 다. 보안섹션을 클릭하면 오른쪽에 대규모 이벤트 목록이 표시됩니다.
파일을 만들거나 단순히 폴더를 열고 이벤트 뷰어에서 새로 고침 버튼 (두 개의 녹색 화살표가있는 버튼)을 클릭하면 파일 시스템 을 클릭하십시오. 이는 감사중인 폴더 / 파일에 대한 삭제, 작성, 읽기, 쓰기 작업과 관련이 있습니다. Windows 7에서는 파일 시스템 작업 카테고리 아래에 모든 항목이 표시되므로 어떤 일이 발생했는지 보려면 각 항목을 클릭하고 스크롤해야합니다.
많은 이벤트를 살펴보고, 필터를 넣고 중요한 것들을 볼 수 있습니다. 상단의 보기메뉴를 클릭하고 필터를 클릭하십시오. 필터 옵션이없는 경우 왼쪽 페이지에서 보안 로그를 마우스 오른쪽 버튼으로 클릭하고 현재 로그 필터링을 선택하십시오. 이벤트 ID 상자에 4656번호를 입력하십시오. 이 이벤트는 파일 시스템작업을 수행하는 특정 사용자와 관련된 이벤트로, 수천 개의 항목을 살펴 보지 않고도 관련 정보를 제공합니다.
8 <이벤트에 대한 자세한 정보를 보려면 이벤트를 두 번 클릭하십시오.
위 화면의 정보입니다.
제목 :보안 ID : Aseem-Lenovo \ Aseemem>계정 이름 : Aseem계정 도메인 : Aseem-Lenovo
로그온 ID : 0x175a1
객체 :
객체 서버 : 보안
객체 유형 : 핸들 정보 :핸들 정보 :핸들 정보
프로세스 ID : 0x820
프로세스 이름 : C : \ Windows \ explorer.exe
/ em>
트랜잭션 ID : {00000000-0000-0000-0000-000000000000}
액세스 : DELETE
SYNCHRONIZE>ReadAttributes
위의 예에서 작업 한 파일은 내 바탕 화면의 Tufu 폴더에있는 New Text Document.txt 였고 내가 요청한 액세스는 DELETE였습니다 SYNCHRONIZE에 의해. 제가 여기서 한 것은 파일을 지우는 것입니다. 다음은 또 다른 예입니다.
개체 유형 : 파일
개체 이름 : C : \ Users \ Aseem \ Desktop \ Tufu \ Address Labels.docx
핸들 ID : 0x178
프로세스 정보 :
프로세스 ID : 0x1008
>프로세스 이름 : C : \ Program Files (x86) \ Microsoft Office \ Office14 \ WINWORD.EXE
액세스 요청 정보 :
ID : {00000000-0000-0000-0000-000000000000} 액세스 : READ_CONTROL
SYNCHRONIZE
ReadData (또는 AddSubdirectory 또는 CreatePipeInstance) ReadEAWriteData (또는 AddFile) em>WriteAttributesWriteEA
ReadAttributes
WriteAttributes
SYNCHRONIZE : D : (A; ID; FA ;;; S-1-5-21-597862309-2018615179-2090787082-1000)
이 기사를 읽으면 WINWORD.EXE progr을 사용하여 Address Labels.docx에 액세스하는 것을 볼 수 있습니다. 오전 및 내 액세스에 READ_CONTROL이 포함되어 있으며 내 액세스 이유도 READ_CONTROL입니다. 일반적으로 더 많은 액세스가 표시되지만, 주로 액세스의 주요 유형 인 첫 번째 것에 집중하십시오. 이 경우 단순히 Word를 사용하여 파일을 열었습니다. 이벤트를 통해 약간의 테스트와 독서를 통해 무슨 일이 벌어지고 있는지 이해하지만, 일단 문제가 발생하면 매우 안정적인 시스템입니다. 파일이있는 테스트 폴더를 만들고 이벤트 뷰어에 표시되는 내용을 확인하기 위해 다양한 작업을 수행하는 것이 좋습니다.
꽤 많이 있습니다! 폴더에 대한 액세스 또는 변경 사항을 신속하고 무료로 추적 할 수 있습니다!