Protokollierung, wenn jemand ein USB-Gerät mit/von einem Windows-Computer verbindet oder entfernt
Ich versuche gerade, einen Weg zu finden, um alle Verbindungen und Trennungen von USB-Geräten von allen Windows-Computern in unserem Netzwerk zu protokollieren. Diese Informationen müssen automatisch in einer Datei auf dem Computer protokolliert werden, diese Datei kann dann von nxlog gelesen und dann zur Verarbeitung an unsere zentrale Protokollierungsplattform versendet werden. Ich hatte gehofft, dass diese Informationen automatisch von Windows-Protokollen protokolliert werden, aber ich fand das, während einige Informationen über USB-Wechselspeicher scheint in der Ereignisanzeige protokolliert zu werden, dies sind ziemlich begrenzte Informationen und werden nicht angezeigt, wenn USB-Tastaturen und-Mäuse angeschlossen und getrennt werden.
Nach einigem Graben stellte ich fest, dass nirsoft eine kleine EXE geschrieben hatte, die viel harte Arbeit leistet, USBLogView kann ohne Installation ausgeführt werden und protokolliert jedes Mal, wenn ein USB-Gerät eine Verbindung herstellt und die Verbindung zum Computer trennt. Das Problem dabei ist, dass ich weder eine Möglichkeit sehe, dies als Dienst auszuführen, noch sehe ich sie können die ausgegebenen Informationen automatisch in einer Protokolldatei protokollieren, obwohl Sie Protokolleinträge auswählen und manuell auswählen können, um sie in einer Protokolldatei zu speichern.
Ich könnte Gruppenrichtlinien verwenden, um eine lokale Kopie der EXE-Datei zu erstellen und diese exe dann während des Startvorgangs irgendwie zur Ausführung zu zwingen, aber das Hauptproblem, dass die Protokolle nicht automatisch in eine Datei geschrieben werden können, muss noch überwunden werden. Ich müsste auch sicherstellen können, dass der Benutzer das nicht schließen kann programm, das möglich ist, wenn ich es selbst starte, idealerweise ausgeblendet zu haben und kein Tray-Symbol anzuzeigen, wäre der beste Weg, um es einzurichten (aber wenn ich versucht habe, die versteckte Einstellung zu verwenden, scheint es mir, dass es entweder angezeigt werden kann im Hauptfenster oder nur das Systray-Symbol anzeigen). Ich habe auf der Website nachgesehen, aber ich sehe keine Möglichkeit, das Programm mit Optionen aufzurufen, um es anzuweisen, dies zu tun. Ich habe letzte Woche auch eine E-Mail an nirsoft gesendet, um zu sehen, ob sie einen Rat hatten, aber ich warte immer noch auf einen Antwort.
Hat jemand alternative Möglichkeiten, dies überhaupt zu tun? Irgendwelche Vorschläge oder Hilfe willkommen! Dank
4 answers
Es gibt bezahlte Lösungen für diese zB. EndProtection4 von CoSoSys. Keine Ahnung, wie das in dem auf dem Gerät installierten Agenten funktioniert, aber es gibt Ihnen alle Informationen zu angeschlossenen Geräten. Sie benötigen eine Serverseite, die die Clients verwaltet, da dies die Software ist, die den Zugriff auf Geräte verwaltet. Funktioniert auch auf Macs und Linux.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2016-07-19 12:55:58
Das Anschließen und Trennen von USB-Geräten wird im "Ereignisprotokoll" protokolliert.
Unter Berufung auf diese detaillierte Beschreibung (Blog "Digital Forensics Stream", 2014-01-02, Das Windows 7-Ereignisprotokoll und die USB-Geräteverfolgung):
Verbindungsereignis-IDs
Wenn ein USB-Wechseldatenträger an ein Windows 7-System angeschlossen ist, eine Reihe von Ereignisdatensätzen sollte generiert werden in der Microsoft-Windows-DriverFrameworks-UserMode/Operational-Ereignisprotokoll. Die Datensätze enthalten die Ereignis-ID 2003, 2004, 2005, 2010, 2100, 2105, und mehr. ...Trennungsereignis-IDs
Wenn ein USB-Stick von einem Windows 7-System getrennt wird, ein paar Ereignisaufzeichnungen sollten sein generiert im selben Ereignisprotokoll wie die Verbindungsereignisse. Einträge mit der Ereignis-ID 2100, 2102, und möglicherweise können mehr generiert werden, wenn ein USB-Gerät getrennt wird. ...
Zum Automatisieren von Exporten aus dem Ereignisprotokoll, Microsoft bietet den Logparser kostenlos an.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2016-01-27 12:10:55
Ich würde versuchen, ein Tool wie AutoIt zu verwenden.
$vFile = FileOpen("usb.txt", 2)
Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")
$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
For $vObjItem In $vObjItems
If StringInStr($vObjItem.Caption, "USB") Then
FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
EndIf
Next
EndIf
FileClose($vFile)
ShellExecute("usb.txt")
Ein Forenbeitrag aus dem AutoIt Forum befindet sich hier: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2015-08-29 17:29:30
Verwenden Sie regedit und schauen Sie in die registry Elemente unter:
HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Für einige Details öffnen Sie PowerShell und führen Sie aus:
$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg
Oder schauen Sie hier in die Protokolldatei: C:\Windows\inf\setupapi.dev.log.
Weitere technische Details findest du im Nicoles Blog .
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2017-05-29 22:07:41