リムーバブル記憶装置の使用状況の監視Monitor the use of removable storage devices

適用対象Applies to

  • Windows 10Windows10

IT プロフェッショナル向けのこのトピックでは、リムーバブル記憶域デバイスを使ってネットワークリソースにアクセスする試みを監視する方法について説明します。This topic for the IT professional describes how to monitor attempts to use removable storage devices to access network resources. 詳細セキュリティ監査オプションを使用して動的なアクセス制御オブジェクトを監視する方法について説明します。It describes how to use advanced security auditing options to monitor dynamic access control objects.

このポリシー設定を構成すると、ユーザーがリソースをリムーバブル記憶域デバイスにコピー、移動、または保存しようとするたびに、監査イベントが生成されます。If you configure this policy setting, an audit event is generated each time a user attempts to copy, move, or save a resource to a removable storage device.

次の手順を使用して、リムーバブルストレージデバイスの使用を監視し、デバイスが監視されていることを確認します。Use the following procedures to monitor the use of removable storage devices and to verify that the devices are being monitored.

インストールされているオペレーティングシステムのバージョンとエディション、アカウントのアクセス許可、メニューの設定によって、サーバーの動作が異なることがあります。Your server might function differently based on the version and edition of the operating system that is installed, your account permissions, and your menu settings.

注意

リムーバブル記憶域を監査するポリシーがコンピューターにプッシュされると、監査設定を含むすべてのリムーバブル記憶域デバイスに新しいセキュリティ記述子を適用する必要があります。When a policy to audit removable storage is pushed to a computer, a new Security Descriptor needs to be applied to all removable storage devices with the audit settings. デバイスのセキュリティ記述子は、デバイスがインストールされたとき、またはレジストリでデバイスプロパティを設定することによって設定できます。これは、デバイスのインストール関数を呼び出すことによって行われます。The security descriptor for a device can be set up either when the device is installed, or by setting up the device properties in the registry, which is done by calling a device installation function. 新しいセキュリティ記述子を適用するには、デバイスを再起動する必要があります。This may require the device to restart to apply the new security descriptor.

リムーバブル記憶域デバイスを監視するための設定を構成するにはTo configure settings to monitor removable storage devices

  1. ドメイン管理者の資格情報を使用して、ドメインコントローラーにサインインします。Sign in to your domain controller by using domain administrator credentials.
  2. サーバーマネージャーで、[ツール] をポイントし、[グループポリシーの管理] をクリックします。In Server Manager, point to Tools, and then click Group Policy Management.
  3. コンソールツリーで、ドメインコントローラー上の柔軟なアクセスグループポリシーオブジェクトを右クリックし、[編集] をクリックします。In the console tree, right-click the flexible access Group Policy Object on the domain controller, and then click Edit.
  4. [コンピューターの構成] をダブルクリックし、[セキュリティ設定] をダブルクリックし、[詳細な監査ポリシー構成] をダブルクリックして、[オブジェクトアクセス] をダブルクリックし、[リムーバブル記憶域の監査] をダブルクリックします。Double-click Computer Configuration, double-click Security Settings, double-click Advanced Audit Policy Configuration, double-click Object Access, and then double-click Audit Removable Storage.
  5. [次の監査イベントを構成する] チェックボックスをオンにして、(必要に応じて) [成功] チェックボックスをオンにし、[ OK] をクリックします。Select the Configure the following audit events check box, select the Success check box (and the Failure check box, if desired), and then click OK.
  6. [失敗] チェックボックスをオンにした場合は、[監査ハンドルの操作] をダブルクリックし、[次の監査イベントを構成する] チェックボックスをオンにして、[失敗] を選びます。If you selected the Failure check box, double-click Audit Handle Manipulation, select the Configure the following audit events check box, and then select Failure.
  7. [OK] をクリックして、グループ ポリシー管理エディターを閉じます。Click OK, and then close the Group Policy Management Editor.

リムーバブル記憶域デバイスを監視するように設定を構成した後、次の手順を使用して、設定がアクティブであることを確認します。After you configure the settings to monitor removable storage devices, use the following procedure to verify that the settings are active.

リムーバブル記憶域デバイスが監視されていることを確認するにはTo verify that removable storage devices are monitored

  1. 監視するリソースをホストしているコンピューターにサインインします。Sign in to the computer that hosts the resources that you want to monitor. Windows キーを押しながら R キーを押し、「 cmd 」と入力してコマンドプロンプトウィンドウを開きます。Press the Windows key + R, and then type cmd to open a Command Prompt window.

    注意

    [ユーザーアカウント制御] ダイアログボックスが表示されたら、必要な操作が表示されていることを確認し、[はい] をクリックします。If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.

  2. Gpupdate/force」と入力して、enter キーを押します。Type gpupdate /force, and press ENTER.

  3. リムーバブル記憶域デバイスをターゲットコンピューターに接続し、リムーバブル記憶域の監査ポリシーで保護されているファイルをコピーしようとします。Connect a removable storage device to the targeted computer and attempt to copy a file that is protected with the Removable Storage Audit policy.

  4. サーバーマネージャーで、[ツール] をクリックし、[イベントビューアー] をクリックします。In Server Manager, click Tools, and then click Event Viewer.

  5. [ Windows ログ] を展開し、[セキュリティ] をクリックします。Expand Windows Logs, and then click Security.

  6. リムーバブル記憶域デバイスへの書き込みまたは読み取りが成功した場合にログが記録されるイベント4663を探します。Look for event 4663, which logs successful attempts to write to or read from a removable storage device. 失敗すると、イベント4656がログに記録されます。Failures will log event 4656. どちらのイベントにも、タスクカテゴリ = リムーバブルストレージデバイスがあります。Both events include Task Category = Removable Storage device.

    検索する重要な情報には、ファイルにアクセスしようとしたユーザーの名前とアカウントドメイン、ユーザーがアクセスしようとしているオブジェクト、リソースのリソース属性、および実行されたアクセスの種類が含まれます。Key information to look for includes the name and account domain of the user who attempted to access the file, the object that the user is attempting to access, resource attributes of the resource, and the type of access that was attempted.

    注意

    リムーバブルストレージデバイス上のファイル共有をホストするファイルサーバーでこのカテゴリを有効にすることはお勧めしません。We do not recommend that you enable this category on a file server that hosts file shares on a removable storage device. リムーバブル記憶域の監査が構成されている場合、リムーバブル記憶域デバイスにアクセスしようとすると、監査イベントが生成されます。When Removable Storage Auditing is configured, any attempt to access the removable storage device will generate an audit event.

関連リソースRelated resource