Windows ファイルサーバーで共有ファイルを削除・変更・参照した利用者を特定する方法

確実な監査には高度な監査ポリシー、フォルダー SACL、十分なログ容量、集中保持が必要で、イベント 4663、SID、所有者、経路を合わせて分析します。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「Windows Server と共有権限」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• 「有効なアクセス」を使用し、グループ所属、継承、明示的な拒否を含む最終権限を確認します。

3. 推奨する切り分け順序

1. ファイル削除監査には、高度な監査ポリシーと対象フォルダーの SACL の両方が必要です。サーバーポリシーだけでは全操作を記録できません。
2. 削除や変更を追跡するには、オブジェクトアクセス監査、適切な SACL、十分なログ容量、集中保管を設定します。
3. ファイル量と操作頻度に合わせてセキュリティログ容量、保持方法、集中収集を設計し、イベント 4663 が調査前に上書きされないようにします。
4. 監査結果は表示名だけでなく、SID、グループ所属、所有者、アプリのサービスアカウント、アクセス経路と合わせて判断します。
5. 退職時は、アカウント無効化、グループ所属、ファイル／NAS 権限、所有権、VPN、業務アプリ、引き継ぎ記録を一括して確認します。
6. 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

auditpol /get /subcategory:"File System"
Get-WinEvent -FilterHashtable @{LogName="Security";Id=4663} -MaxEvents 20 | Format-List TimeCreated,Message

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。企業環境では個人 ACL を部門・役割・プロジェクトのグループへ移行し、権限表、承認記録、ロールバックスクリプトを残します。

• 監査結果は表示名だけでなく、SID、グループ所属、所有者、アプリのサービスアカウント、アクセス経路と合わせて判断します。
• 退職時は、アカウント無効化、グループ所属、ファイル／NAS 権限、所有権、VPN、業務アプリ、引き継ぎ記録を一括して確認します。
• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• 削除や変更を追跡するには、オブジェクトアクセス監査、適切な SACL、十分なログ容量、集中保管を設定します。
• 誤った保存済み資格情報と古い SMB セッションを削除し、意図したドメインまたはローカルアカウントで接続していることを確認します。

避けるべき一般的な誤り

• 暫定対応として Everyone にフルコントロールを付与すること。
• 共有権限だけを変更し、NTFS ACL と継承を確認しないこと。
• ACL をエクスポートせずにルートから再帰的にリセットすること。