Windows에 내장된 멋진 기능이 있어 누군가가 지정된 폴더 내부의 항목을 보거나 편집하거나 삭제할 때 추적할 수 있습니다. 따라서 누가 액세스하는지 알고 싶은 폴더나 파일이 있는 경우 타사 소프트웨어를 사용할 필요 없이 기본 제공되는 방법입니다.
이 기능은 실제로 그룹 정책이라는 Windows 보안 기능의 일부입니다. , 서버를 통해 기업 네트워크에서 컴퓨터를 관리하는 대부분의 IT 전문가가 사용하지만 서버 없이 PC에서 로컬로 사용할 수도 있습니다. 그룹 정책을 사용할 때의 유일한 단점은 낮은 버전의 Windows에서는 사용할 수 없다는 것입니다. Windows 7의 경우 Windows 7 Professional 이상이 필요합니다. Windows 8의 경우 Pro 또는 Enterprise가 필요합니다.
그룹 정책이라는 용어는 기본적으로 그래픽 사용자 인터페이스를 통해 제어할 수 있는 일련의 레지스트리 설정을 나타냅니다. 다양한 설정을 사용 또는 사용 중지하면 이러한 수정 사항이 Windows 레지스트리에서 업데이트됩니다.
Windows XP에서 정책 편집기로 이동하려면 시작을 클릭합니다. 그런 다음 실행 . 텍스트 상자에 "gpedit.msc를 입력합니다. ” 아래와 같이 따옴표 없이:
Windows 7에서는 시작 버튼을 클릭하고 gpedit.msc를 입력하기만 하면 됩니다. 시작 메뉴 하단의 검색 상자에 Windows 8에서는 시작 화면으로 이동하여 입력을 시작하거나 마우스 커서를 화면의 맨 위 또는 맨 아래 오른쪽으로 이동하여 참을 엽니다. 막대를 클릭하고 검색을 클릭합니다. . 그런 다음 gpedit를 입력하세요. . 이제 아래 이미지와 유사한 것을 볼 수 있습니다.
정책에는 두 가지 주요 범주가 있습니다. 사용자 및 컴퓨터 . 짐작할 수 있듯이 사용자 정책은 각 사용자의 설정을 제어하는 반면 컴퓨터 설정은 시스템 전체 설정이며 모든 사용자에게 영향을 미칩니다. 우리의 경우 모든 사용자를 위한 설정을 원하므로 Computer Configuration 섹션.
Windows 설정으로 계속 확장 -> 보안 설정 -> 로컬 정책 -> 감사 정책 . 여기서는 주로 폴더 감사에 초점을 맞추므로 다른 설정에 대해서는 많이 설명하지 않겠습니다. 이제 오른쪽에 일련의 정책과 현재 설정이 표시됩니다. 감사 정책은 운영 체제가 구성되어 변경 사항을 추적할 준비가 되었는지 여부를 제어하는 것입니다.
이제 객체 액세스 감사 설정을 확인하십시오. 두 번 클릭하고 성공을 모두 선택하여 및 실패 . 확인을 클릭하면 이제 Windows에 변경 사항을 모니터링할 준비가 되었음을 알리는 첫 번째 부분이 완료되었습니다. 이제 다음 단계는 정확히 무엇을 추적하고 싶은지 알려주는 것입니다. 지금 그룹 정책 콘솔을 닫을 수 있습니다.
이제 모니터링하려는 Windows 탐색기를 사용하여 폴더로 이동합니다. 탐색기에서 폴더를 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭합니다. . 보안 탭을 클릭합니다. 다음과 유사한 항목이 표시됩니다.
이제 고급을 클릭합니다. 버튼을 클릭하고 감사를 클릭합니다. 탭. 여기에서 이 폴더에 대해 모니터링할 항목을 실제로 구성할 것입니다.
계속해서 추가를 클릭합니다. 단추. 사용자 또는 그룹을 선택하라는 대화 상자가 나타납니다. 상자에 "사용자 "를 클릭하고 이름 확인을 클릭합니다. . 상자는 COMPUTERNAME\Users 형식의 컴퓨터에 대한 로컬 사용자 그룹 이름으로 자동 업데이트됩니다. .
확인을 클릭하면 "X에 대한 항목 감사라는 또 다른 대화 상자가 나타납니다. ". 이것이 우리가 하고 싶었던 것의 진정한 고기입니다. 여기에서 이 폴더에 대해 보고 싶은 항목을 선택합니다. 새 파일/폴더를 삭제하거나 생성하는 등 추적하려는 활동 유형을 개별적으로 선택할 수 있습니다. 작업을 더 쉽게 하려면 아래에 있는 다른 모든 옵션이 자동으로 선택되는 전체 제어를 선택하는 것이 좋습니다. 성공을 위해 이렇게 하세요. 및 실패 . 이렇게 하면 해당 폴더나 그 안에 있는 파일에 대해 수행한 작업이 무엇이든 기록을 갖게 됩니다.
이제 확인을 클릭하고 확인을 다시 클릭한 다음 확인을 한 번 더 클릭하여 다중 대화 상자 세트를 종료합니다. 이제 폴더에 대한 감사를 성공적으로 구성했습니다! 이벤트를 어떻게 보십니까?
이벤트를 보려면 제어판으로 이동하여 관리 도구를 클릭해야 합니다. . 그런 다음 이벤트 뷰어를 엽니다. . 보안을 클릭합니다. 섹션 오른쪽에 대규모 이벤트 목록이 표시됩니다.
파일을 생성하거나 단순히 폴더를 열고 이벤트 뷰어에서 새로 고침 버튼(두 개의 녹색 화살표가 있는 버튼)을 클릭하면 파일 시스템<범주에 많은 이벤트가 표시됩니다. /강한> . 이는 감사 중인 폴더/파일에 대한 삭제, 생성, 읽기, 쓰기 작업과 관련됩니다. Windows 7에서는 이제 모든 것이 파일 시스템 작업 범주에 표시되므로 무슨 일이 일어났는지 보려면 각 항목을 클릭하고 스크롤해야 합니다.
많은 이벤트를 보다 쉽게 볼 수 있도록 필터를 적용하고 중요한 내용만 볼 수 있습니다. 보기를 클릭합니다. 상단의 메뉴를 클릭하고 필터를 클릭합니다. . 필터 옵션이 없으면 왼쪽 페이지에서 보안 로그를 마우스 오른쪽 버튼으로 클릭하고 현재 로그 필터링을 선택합니다. . 이벤트 ID 상자에 숫자 4656을 입력합니다. . 파일 시스템을 수행하는 특정 사용자와 관련된 이벤트입니다. 수천 개의 항목을 살펴볼 필요 없이 관련 정보를 제공합니다.
이벤트에 대한 자세한 정보를 보려면 해당 이벤트를 더블 클릭하면 됩니다.
위 화면의 정보입니다.
객체에 대한 핸들이 요청되었습니다.
제목:
보안 ID:Aseem-Lenovo\Aseem
계정 이름:Aseem
계정 도메인:Aseem-Lenovo
로그온 ID:0x175a1
객체:
개체 서버:보안
개체 유형:파일
개체 이름:C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
핸들 ID:0x16a0
프로세스 정보:
프로세스 ID:0x820
프로세스 이름:C:\Windows\explorer.exe
액세스 요청 정보:
거래 ID:{00000000-0000-0000-0000-000000000000}
액세스:DELETE
동기화
속성 읽기
위의 예에서 작업한 파일은 내 바탕 화면의 Tufu 폴더에 있는 New Text Document.txt이고 내가 요청한 액세스는 DELETE 다음에 SYNCHRONIZE였습니다. 여기서 내가 한 것은 파일을 삭제하는 것입니다. 다음은 또 다른 예입니다.
개체 유형:파일
개체 이름:C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
핸들 ID:0x178
프로세스 정보:
프로세스 ID:0x1008
프로세스 이름:C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE
액세스 요청 정보:
거래 ID:{00000000-0000-0000-0000-000000000000}
액세스:READ_CONTROL
동기화
데이터 읽기(또는 ListDirectory)
데이터 쓰기(또는 AddFile)
AppendData(또는 AddSubdirectory 또는 CreatePipeInstance)
읽기EA
쓰기EA
속성 읽기
쓰기 속성
액세스 이유:READ_CONTROL:소유권 부여
동기화:D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000) 제공
이 내용을 읽으면서 WINWORD.EXE 프로그램을 사용하여 Address Labels.docx에 액세스했으며 액세스에는 READ_CONTROL이 포함되었으며 액세스 이유도 READ_CONTROL임을 알 수 있습니다. 일반적으로 더 많은 액세스 권한이 표시되지만 일반적으로 주요 액세스 유형이므로 첫 번째 액세스에만 집중하세요. 이 경우에는 단순히 Word를 사용하여 파일을 열었습니다. 무슨 일이 일어나고 있는지 이해하려면 이벤트를 통해 약간의 테스트와 읽기가 필요하지만 일단 종료되면 매우 안정적인 시스템입니다. 파일이 있는 테스트 폴더를 만들고 다양한 작업을 수행하여 이벤트 뷰어에 표시되는 내용을 확인하는 것이 좋습니다.
그 정도야! 폴더에 대한 액세스 또는 변경 사항을 빠르고 무료로 추적할 수 있는 방법입니다!