このチュートリアルでは、Windowsを実行しているコンピュータ上のファイルを誰が削除したかを監査する方法を説明します。

このチュートリアルでは、Windows 2012を実行しているコンピュータでオブジェクト監査機能を有効にするために必要なすべての手順を説明します。

?ドメインコントローラがWindows 2012 R2を実行しています。

?ドメインコンピュータはWindows 7とWindows 10を実行しています。

ハードウェアリスト:

次のセクションでは、このWindowsチュートリアルの作成に使用される機器のリストを示します。

上記の各ハードウェアは、AmazonのWebサイトにあります。

Windows Playlist:

このページでは、Windowsに関連するビデオの一覧にすばやくアクセスできます。

私たちのYouTubeチャンネルに登録することを忘れないでください FKIT.

Windows関連のチュートリアル:

このページでは、Windowsに関連するチュートリアルの一覧にすばやくアクセスできます。

チュートリアル – オブジェクト監査GPOを構成する

まず、ドメイン全体のオブジェクト監査機能を有効にする必要があります。

Active Directoryを使用してWindows 2012 R2を実行しているドメインコントローラで、次のタスクが実行されました。

[スタート]メニューをクリックし、グループポリシー管理ツールを見つけて開きます。

[グループポリシーの管理]画面で、[グループポリシーオブジェクト]という名前のフォルダを探します。

既定のドメインポリシーという名前のグループポリシーオブジェクトを右クリックし、[編集]オプションを選択します。

Default Domain Policy

グループポリシーエディタ画面では、ユーザー構成とコンピューター構成が表示されます。

コンピュータの設定のみを変更します。

ユーザー設定を変更する必要はありません。

グループポリシーエディタ画面で、コンピュータの構成フォルダを展開し、次の項目を探します。

•コンピュータの構成>ポリシー> Windowsの設定>セキュリティの設定>ローカルポリシー>監査ポリシー

GPO Audit Policy

右側に、利用可能な構成オプションのリストが表示されます。

Windows 2012 audit deleted objects

「Audit Object Access」という名前の構成項目をダブルクリックします。

次のセキュリティ設定を有効にします。

•これらのポリシー設定を定義する
• 成功
•失敗

Audit Object Access Properties

グループポリシーの作成を終了するには、グループポリシーエディタウィンドウを閉じる必要があります。

グループポリシーウィンドウを閉じるときだけ、システムは設定を保存します。

チュートリアル – オブジェクト監査GPOを有効にする

ここで、目的のファイルとフォルダに対してオブジェクト監査機能を有効にする必要があります。

この例では、TECHEXPERTという名前のフォルダーに対してオブジェクト監査を有効にします。

最初に、TECHEXPERTという名前のフォルダを作成します。

次に、フォルダを右クリックし、[プロパティ]オプションを選択します。

Windows Object Audit folder

[プロパティ]画面で[セキュリティ]タブにアクセスし、[詳細設定]ボタンをクリックします。

Windows audit deleted files- Security advanced

[セキュリティの詳細設定]画面で、[監査]タブにアクセスし、[追加]ボタンをクリックします。

Windows object add auditing

新しい画面で、プリンシパルの選択オプションをクリックします。

Auditing entry file object

「Everyone」という名前のグループを入力し、「OK」ボタンをクリックします。

Add group everyone

次の設定を行います。

•タイプ – すべて

•適用対象 – このフォルダ、サブフォルダ、およびファイル

Audit deleted files windows

[高度なアクセス許可]領域で、[詳細なアクセス許可を表示する]オプションをクリックします。

Windows Audit object basic permissions

[高度な権限]領域で、次のオプションのみを有効にします。

•サブフォルダとファイルを削除する。
•削除します。

Windows audit deleted file and folders

OKボタンをクリックしてWindowsを閉じます。

[OK]ボタンをクリックします。

[OK]ボタンをクリックします。

コンピュータを再起動して、オブジェクト監査グループポリシーを有効にします。

この例では、TECHEXPERTという名前のフォルダにオブジェクト監査を有効にしました。

必要なオブジェクト監査設定が完了しました。

チュートリアル – 誰が私のファイルを削除しましたか?

これで、GPOの作成が完了しました。

しかし、あなたはまだあなたのファイルを誰が削除したかを知る方法を学ぶ必要があります。

この例では、ファイルを削除したユーザーを検出するために必要なすべての手順を示します。

まず、TECHEXPERTフォルダ内にTEST.TXTという名前のテキストファイルを作成しましょう。

Windows audit deleted file

今、TEST.TXTファイルを削除します。

Windowsイベントビューアアプリケーションを開きます。

[イベントビューア]画面で、[Windowsログ]を展開し、[セキュリティ]オプションを選択します。

Event Viewer

セキュリティログを右クリックし、[検索]オプションを選択します。

削除したファイルの名前を入力し、[検索]ボタンをクリックします。

Windows log find deleted files

削除されたファイルの詳細を含むイベントビューアID 4663が表示されます。

Windows who deleted my file

この例では、TEST.TXTファイルが管理者によって削除されたことが検出されました。