누군가가 컴퓨터의 폴더에 액세스할 때 추적하는 방법

Windows 에 내장된 멋진 작은 기능이 있어 누군가가 지정된 폴더 내부의 항목을 보거나 편집하거나 삭제할 때 추적할 수 있습니다. 따라서 누가 액세스하는지 알고 싶은 폴더나 파일(folder or file) 이 있는 경우 타사 소프트웨어를 사용할 필요 없이 기본 제공되는 방법입니다.

이 기능은 실제로 서버를 통해 회사 네트워크에서 컴퓨터를 관리 하는 대부분의 IT 전문가 가 사용하는 (IT Professionals)그룹 정책 이라는 ( Group Policy)Windows 보안(Windows security)  기능 의 일부 이지만 서버가 없는 PC에서 로컬로 사용할 수도 있습니다. 그룹 정책(Group Policy) 을 사용할 때의 유일한 단점 은 낮은 버전의 Windows 에서는 사용할 수 없다는 것입니다 . Windows 7 의 경우 Windows 7 Professional 이상 이 필요합니다 . Windows 8 의 경우 Pro 또는 Enterprise 가 필요합니다 .

그룹 정책(Group Policy) 이라는 용어 는 기본적으로 그래픽 사용자 인터페이스(user interface) 를 통해 제어할 수 있는 일련의 레지스트리 설정을 나타냅니다 . 다양한 설정을 활성화하거나 비활성화하면 이러한 편집 내용이 Windows 레지스트리(Windows registry) 에서 업데이트됩니다 .

Windows XP 에서 정책 편집기(policy editor) 로 이동하려면 시작(Start) 을 클릭 한 다음 실행(Run) 을 클릭합니다 . 텍스트 상자에 아래와 같이 따옴표 없이 " gpedit.msc "를 입력합니다.(gpedit.msc)

실행 gpedit

Windows 7 에서는 시작 버튼을(Start button and type) 클릭 하고 시작 메뉴(Start Menu) 하단의 검색 상자 에 (search box)gpedit.msc 를 입력하기만 하면 됩니다. Windows 8 에서는 시작 화면(Start Screen) 으로 이동하여 입력을 시작하거나 마우스 커서(mouse cursor) 를 화면의 맨 위 또는 맨 아래 오른쪽으로 이동하여 참 표시줄을 열고 (Charms)검색(Search) 을 클릭합니다 . 그런 다음 gpedit 를 입력하십시오 . 이제 아래 이미지와 유사한 것을 볼 수 있습니다.

그룹 정책 편집기

정책에는 사용자(User)컴퓨터(Computer) 의 두 가지 주요 범주가 있습니다 . 짐작할 수 있듯이 사용자 정책은 각 사용자의 설정을 제어하는 ​​반면 컴퓨터 설정은 시스템 전체 설정이며 모든 사용자에게 영향을 미칩니다. 우리의 경우 모든 사용자에 대한 설정을 원하므로 컴퓨터 구성(Computer Configuration) 섹션을 확장합니다.

Windows 설정(Windows Settings) ->  Security Settings -> Local Policies -> Audit Policy 으로 계속 확장합니다 . 여기서는 주로 폴더 감사에 초점을 맞추므로 다른 설정에 대해서는 많이 설명하지 않겠습니다. 이제 오른쪽(hand side) 에 일련의 정책과 현재 설정이 표시됩니다 . 감사 정책 은 (Audit policy)운영 체제(operating system) 가 구성되어 변경 사항을 추적할 준비가 되었는지 여부를 제어하는 ​​것 입니다.

개체 액세스 감사

이제 두 번 클릭하고 성공(Success)실패 를 선택하여 (Failure)개체 액세스 감사(Audit Object Access ) 설정을 확인합니다 . 확인(Click OK) 을 클릭하면 이제 Windows에 변경 사항을 모니터링할 준비가 되었음을 알리는 첫 번째 부분이 완료되었습니다. 이제 다음 단계는 정확히(EXACTLY) 무엇 을 추적하고 싶은지 알려주는 것입니다. 지금 그룹 정책 콘솔(Group Policy console) 을 닫을 수 있습니다 .

이제 모니터링하려는 Windows 탐색기 를 사용하여 폴더로 이동합니다. (Windows Explorer)탐색기(Explorer) 에서 폴더를(folder and click) 마우스 오른쪽 버튼으로 클릭하고 속성(Properties) 을 클릭 합니다. 보안 탭( Security Tab) 을 클릭 하면 다음과 유사한 항목이 표시됩니다.

익스플로러 보안 탭

이제 고급(Advanced) 버튼을 클릭하고 감사(Auditing) 탭을 클릭합니다. 여기에서 이 폴더에 대해 모니터링할 항목을 실제로 구성합니다.

감사 탭 창

계속해서 추가(Add) 버튼 을 클릭하십시오 . 사용자 또는 그룹(User or Group) 을 선택하라는 대화 상자가 나타납니다 . 상자에 " users " 라는 단어 를 입력하고 (word “)이름 확인(Check Names) 을 클릭 합니다. COMPUTERNAME\Users 형식의 컴퓨터에 대한 로컬 사용자 그룹 이름으로 자동 업데이트됩니다 .

사용자 그룹 권한

확인을 클릭 하면 " (Click OK)X에 대한 감사 항목(Audit Entry for X) "이라는 또 다른 대화 상자가 나타납니다 . 이것이 우리가 하고자 했던 것의 진정한 고기입니다. 여기에서 이 폴더에 대해 감시할 항목을 선택합니다. 새 파일/폴더를 삭제하거나 생성하는 등 추적하려는 활동 유형을 개별적으로 선택할 수 있습니다. 작업을 더 쉽게 하려면 아래에 있는 다른 모든 옵션이 자동으로 선택되는 전체 제어 를 선택하는 것이 좋습니다. (Full Control)성공(Success)실패(Failure) 를 위해 이것을 하십시오 . 이렇게 하면 해당 폴더나 그 안에 있는 파일에 대해 수행한 작업이 무엇이든 기록을 갖게 됩니다.

감사 권한 탐색기

이제 확인을 클릭하고 확인을 다시 클릭한 다음 확인을 한 번 더 클릭하여 다중 대화 상자(dialog box) 세트를 종료합니다. 이제 폴더에 대한 감사를 성공적으로 구성했습니다! 그래서 당신은 이벤트를 어떻게 볼 수 있습니까?

이벤트를 보려면 제어판으로 이동하여 관리 도구 를 클릭(Control Panel and click) 해야 합니다(Administrative Tools) . 그런 다음 이벤트 뷰어(Event Viewer) 를 엽니다 . 보안(Security) 섹션을 클릭 하면 오른쪽에 많은 이벤트 목록이 표시 됩니다(hand side) .

이벤트 뷰어 보안

파일을 생성하거나 단순히 폴더를 열고 이벤트 뷰어(Event Viewer) 에서 새로 고침 버튼(Refresh button) (두 개의 녹색 화살표가 있는 버튼)을 클릭하면 파일 시스템( File System) 범주에 많은 이벤트가 표시 됩니다. 이는 감사 중인 폴더/파일에 대한 삭제, 생성, 읽기, 쓰기 작업과 관련됩니다. Windows 7 에서는 이제 모든 것이 파일 시스템 작업(File System task) 범주 아래에 표시되므로 무슨 일이 일어났는지 보려면 각 항목을 클릭하고 스크롤해야 합니다.

많은 이벤트를 보다 쉽게 ​​볼 수 있도록 필터를 적용하고 중요한 내용만 볼 수 있습니다. 상단 의 보기(View) 메뉴를 클릭하고 필터 (Click)(Filter) 클릭합니다 . 필터(Filter) 옵션이 없으면 왼쪽 페이지에서 보안 로그(Security log) 를 마우스 오른쪽 버튼으로 클릭하고 현재 로그 필터링(Filter Current Log) 을 선택합니다 . 이벤트 ID 상자(Event ID box) 에 숫자 4656 을 입력 합니다 . 이것은 파일 시스템 (File System ) 작업을 수행하는 특정 사용자와 관련된 이벤트이며 수천 개의 항목을 살펴보지 않고도 관련 정보를 제공합니다.

필터 로그

이벤트에 대한 자세한 정보를 보려면 해당 이벤트를 두 번 클릭하기만 하면 됩니다.

이벤트 ID 삭제

위 화면의 정보입니다.

개체에 대한 핸들이 요청되었습니다.(A handle to an object was requested.)

제목: (Subject:)
Security ID: Aseem-Lenovo\Aseem
계정 이름: Aseem ( Account Name: Aseem)
계정 도메인: Aseem-Lenovo ( Account Domain: Aseem-Lenovo)
로그온 ID: 0x175a1( Logon ID: 0x175a1)

개체: (Object:)
개체 서버: 보안 ( Object Server: Security)
개체 유형: 파일 ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\New Text Document.txt
핸들 ID: 0x16a0( Handle ID: 0x16a0)

프로세스 정보: (Process Information:)
프로세스 ID: 0x820 ( Process ID: 0x820)
Process Name: C:\Windows\explorer.exe

액세스 요청 정보: (Access Request Information:)
트랜잭션 ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
액세스: DELETE ( Accesses: DELETE)
SYNCHRONIZE
ReadAttributes

위의 예에서 작업한 파일은 내 데스크탑 의 Tufu 폴더 에 있는 (Tufu folder)New Text Document.txt 였으며 내가 요청한 액세스는 DELETE 다음에 SYNCHRONIZE 였습니다. 여기서 내가 한 것은 파일을 삭제한 것입니다. 다음은 또 다른 예입니다.

개체 유형: 파일 ( Object Type: File)
Object Name: C:\Users\Aseem\Desktop\Tufu\Address Labels.docx
핸들 ID: 0x178( Handle ID: 0x178)

프로세스 정보: (Process Information:)
프로세스 ID: 0x1008 ( Process ID: 0x1008)
Process Name: C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE

액세스 요청 정보: (Access Request Information:)
트랜잭션 ID: {00000000-0000-0000-0000-000000000000} ( Transaction ID: {00000000-0000-0000-0000-000000000000})
액세스: READ_CONTROL ( Accesses: READ_CONTROL)
SYNCHRONIZE
ReadData(또는 ListDirectory) ( ReadData (or ListDirectory))
WriteData(또는 AddFile) AppendData(또는 ( WriteData (or AddFile))AddSubdirectory ( WriteAttributes)
또는 CreatePipeInstance) ( AppendData (or AddSubdirectory or CreatePipeInstance))
ReadEA
WriteEA
ReadAttributes

액세스 이유: READ_CONTROL: 소유권 부여 ( Access Reasons: READ_CONTROL: Granted by Ownership)
SYNCHRONIZE: 부여 D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000)( SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-597862309-2018615179-2090787082-1000))

이 내용을 읽으면서 WINWORD.EXE 프로그램(WINWORD.EXE program) 을 사용하여 Address Labels.docx 에 액세스 했으며 액세스에는 READ_CONTROL 이 포함 되었으며 액세스 이유도 READ_CONTROL 임을 알 수 있습니다 . 일반적으로 액세스 권한이 더 많이 표시되지만 일반적으로 주요 액세스 유형이므로 첫 번째 액세스에만 집중하세요. 이 경우 Word 를 사용하여 파일을 열었습니다 . 무슨 일이 일어나고 있는지 이해하려면 이벤트를 통해 약간의 테스트와 읽기(testing and reading) 가 필요하지만 일단 중지하면 매우 안정적인 시스템입니다. 파일이 있는 테스트 폴더 를 만들고 (test folder)이벤트 뷰어(Event Viewer) 에 표시되는 내용을 확인하기 위해 다양한 작업을 수행하는 것이 좋습니다 .

그 정도야! 폴더에 대한 액세스 또는 변경 사항(access or changes) 을 빠르고 무료로 추적할 수 있는 방법 입니다!



여진 민

About the author

저는 Windows 11 및 10을 모두 사용한 경험이 있는 웹 개발자입니다. 또한 수년간 Firefox 사용자였으며 완전히 새로운 Xbox One 게임 콘솔 사용에 능숙해졌습니다. 저의 주요 관심사는 소프트웨어 개발, 특히 웹 및 모바일 개발, 데이터 과학에 있습니다. 저는 다양한 컴퓨터 시스템과 그 사용법에 대해 잘 알고 있기 때문에 여러분이 사용할 수 있는 다양한 프로그램이나 서비스에 대해 편견 없는 피드백을 제공할 수 있습니다.


Related posts