ヒント: ディスクとファイル システムを管理する 7 つの無料ツール マイクロソフトでは、ディスクとファイル システムを管理するのに便利な無料のツールを提供しています。このヒントでは、すべての管理者にお勧めする 7 つの無料ツールを紹介します。 Disk Usage ファイル システムの管理で直面する最大の課題は、ディスクの使用状況を管理することでしょう。クォータも役に立ちますが、多くのディスク領域を消費しているフォルダーやファイルは手動で特定する必要があります。 Disk Usage (Du) (英語) は、無料でダウンロードできるツールです。このツールを使用すると、特定のフォルダーとそのサブフォルダーで消費しているディスク領域を特定できます。Du.exe は、次のように解析するフォルダーに対して実行します。 Du C:\users\ Du v1.33 - report directory disk usage Copyright (C) 2005-2007 Mark Russinovich Sysinternals - www.sysinternals.com Files: 96459 Directories: 19696 Size: 51,641,352,816 bytes Size on disk: 47,647,077,498 bytes EFSDump EFS で暗号化されているファイルは、ファイルに他のユーザー証明書を追加することで共有できます。ただし、エクスプローラーの GUI を使用して、ファイルへのアクセス許可があるユーザーを監査すると非常に時間がかかります。EFSDump (英語) を使用すると、暗号化されたファイルへのアクセス許可があるユーザーの一覧を簡単に確認できます。このツールは、無料でダウンロードできます。 たとえば、暗号化されたサブフォルダーのファイルに対してアクセス許可があるユーザーを一覧表示するには、次のコマンドを実行します。 Efsdump -s encrypted EFS Information Dumper v1.02 Copyright (C) 1999 Mark Russinovich Systems Internals - https://www.sysinternals.com C:\Users\User1\Documents\Encrypted\MyFile.txt: DDF Entry: COMPUTER\User1: User1(User1@COMPUTER) DDF Entry: COMPUTER\User2: User2(User2@COMPUTER) DRF Entry: SDelete ファイルを削除すると、Windows では、削除したファイルのインデックスを削除して、オペレーティング システムがファイルのコンテンツにアクセスできないようにしています。ただし、ディスクに直接アクセスできる場合、攻撃者は、削除したファイルが別のファイルで上書きされるまで、削除したファイルのコンテンツにアクセスできます。また、削除したファイルが別のファイルで上書きされる保証はどこにもありません。同様に、EFS で暗号化されたファイルは、ディスク上に暗号化されていないファイルのコンテンツを残します。 SDelete (英語) は、無料でダウンロードできるツールです。このツールを使用すると、ディスクの空き領域のコンテンツを上書きして、削除または暗号化されたファイルが回復されるのを回避できます。 SDelete を使用して、C ドライブにある削除したファイルを上書きするには、次のコマンドを実行します。 Sdelete -z C: SDelete - Secure Delete v1.51 Copyright (C) 1999-2005 Mark Russinovich Sysinternals - www.sysinternals.com SDelete is set for 1 pass. Free space cleaned on C: Streams NTFS ファイルには、複数のデータ ストリームが含まれていることがあります。各ストリームは、個別のファイルと似ていますが、1 つのファイルに含まれています。ストリームには、<ファイル>:<ストリーム> という構文を使用してアクセスします。既定では、メイン ストリームには名前がありません (そのため、メイン ストリームには、単純にファイル名を指定するだけでアクセスできます)。 たとえば、echo コマンドを使用して、ファイルまたはストリームを作成できます。Text.txt という名前のファイルに Data という名前のストリームを作成するには、次のコマンドを実行します。 Echo Hello, world > text.txt:data ディレクトリの一覧表示では、Text.txt ファイルが 0 バイト長であることが示され、このファイルをテキスト エディターで開くと、ファイルは空です。ですが、このファイルの Data ストリームにはデータが含まれています。これは、次のコマンドを実行して確認できます。 More < text.txt:data Hello, world 多くの場合、正規のプログラムでは、ストリームを使用しています。ただし、悪意のあるソフトウェアでも、データを隠す目的でストリームが使用されています。Streams (英語) は、無料でダウンロードできるツールです。このツールを使用すると、ストリームを一覧表示できます。たとえば、Windows ディレクトリにあるファイルのうち、ストリームを含むファイルを一覧表示するには、次のコマンドを実行します。 Streams -s %windir% Streams v1.56 - Enumerate alternate NTFS data streams Copyright (C) 1999-2007 Mark Russinovich Sysinternals - www.sysinternals.com C:\Windows\Thumbs.db: :encryptable:$DATA 0 C:\Windows\PLA\System\LAN Diagnostics.xml: :0v1ieca3Feahez0jAwxjjk5uRh:$DATA 2524 :{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}:$DATA 0 C:\Windows\PLA\System\System Diagnostics.xml: :0v1ieca3Feahez0jAwxjjk5uRh:$DATA 5384 :{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}:$DATA 0 C:\Windows\PLA\System\System Performance.xml: :0v1ieca3Feahez0jAwxjjk5uRh:$DATA 500 :{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}:$DATA 0 C:\Windows\PLA\System\Wireless Diagnostics.xml: :0v1ieca3Feahez0jAwxjjk5uRh:$DATA 3240 :{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}:$DATA 0 C:\Windows\ShellNew\Thumbs.db: :encryptable:$DATA 0 C:\Windows\System32\Thumbs.db: :encryptable:$DATA 0 この出力では、C:\Windows\ ディレクトリのサブディレクトリにあるいくつかのファイルに $DATA という名前のストリームがあることがわかります。 Sync Windows では、ディスクに書き込む前にデータをキャッシュすることがあります。コンピューターが正常にシャットダウンされると、すべてのキャッシュされたデータはディスクに書き込まれます。(Stop エラーを発生させたり、電源をオフにしたりすることで) コンピューターを強制的に終了する予定がある場合は、Sync コマンドを実行して、ファイル システムのデータをディスクにフラッシュできます。Sync (英語) は無料でダウンロードできます。このツールは、すべてのデータがリムーバブル ディスクに書き込まれるようにするのに便利です。 Sync の最も簡単な使用方法は、管理者特権がある状態でパラメーターを指定せずに実行することです。このように実行すると、すべてのディスクのデータがフラッシュされます。 sync Sync 2.2: Disk Flusher for Windows 9x/Me/NT/2K/XP Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com Flushing: C E F F ドライブ (リムーバブル ディスク) にデータをフラッシュしてから、ドライブを取り出すには、次のコマンドを実行します。 Sync -r -e F: Sync 2.2: Disk Flusher for Windows 9x/Me/NT/2K/XP Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com Flushing: F MoveFile オペレーティング システムやアプリケーションで使用中のファイルは移動できません。ファイルが常時使用されている場合は、MoveFile (英語) ツールを使用して、起動時にファイルを移動するように Windows をスケジュールできます (MoveFile は無料でダウンロードできます)。 MoveFile の使用方法は、move コマンドとまったく同じです。たとえば、コマンドは次のように実行します。 Movefile file.txt test\file.txt Movefile v1.0 - copies over an in-use file at boot time Move successfully scheduled. ファイルは、すぐに移動されるのではなく、次回コンピューターを再起動したときに移動されます。常時使用されているファイルを削除する場合は (悪意のあるソフトウェアを削除する場合の一般的な要件です)、次のように移動先を "" と指定します。 Movefile file2.txt "" Movefile v1.0 - copies over an in-use file at boot time Move successfully scheduled. PendMoves PendMoves (英語) は、無料でダウンロードできるツールで、MoveFile と同じダウンロードに収録されています。このツールでは、スケジュールされているファイルの移動と削除を確認できます。このツールは、次のようにパラメーターを指定せずに実行します。 pendmoves PendMove v1.1 Copyright (C) 2004 Mark Russinovich Sysinternals - wwww.sysinternals.com Source: C:\Users\User1\Documents\file.txt Target: C:\Users\User1\Documents\dest\file.txt Source: C:\Users\User1\Documents\file2.txt Target: DELETE Time of last update to pending moves key: 2/27/2008 10:08 AM 出典: Mitch Tulloch、Tony Northrup、Jerry Honeycutt、Ed Wilson、Windows 7 Team 共著『Windows 7 Resource Kit (英語)』(Microsoft Press、2009 年)