การบันทึกเมื่อมีคนเชื่อมต่อหรือลบอุปกรณ์ USB ไปยัง / จากเครื่อง Windows

ฉันกำลังพยายามที่จะหาวิธีที่จะล็อกทั้งหมดของการเชื่อมต่อและ disconnections อุปกรณ์ USB จากทุกเครื่อง Windows บนเครือข่ายของเรา ข้อมูลนี้จะต้องบันทึกโดยอัตโนมัติไปยังไฟล์บนเครื่องไฟล์นี้สามารถอ่านได้โดย nxlog แล้วส่งไปยังแพลตฟอร์มการบันทึกส่วนกลางของเราเพื่อการประมวลผล ฉันหวังว่าข้อมูลนี้จะถูกบันทึกโดย Windows จะบันทึกโดยอัตโนมัติ แต่ฉันพบว่าในขณะที่ข้อมูลบางอย่างเกี่ยวกับที่เก็บข้อมูล USB แบบถอดได้ดูเหมือนจะได้รับการบันทึกไว้ใน Event Viewer นี่เป็นข้อมูลที่ค่อนข้าง จำกัด และไม่รับเมื่อคีย์บอร์ดและเมาส์ USB เชื่อมต่อและตัดการเชื่อมต่อแล้ว

หลังจากการขุดฉันพบว่า nirsoft ได้เขียน exe ขนาดเล็กซึ่งทำงานหนักมากUSBLogViewสามารถทำงานได้โดยไม่ต้องติดตั้งและบันทึกทุกครั้งที่อุปกรณ์ USB เชื่อมต่อและตัดการเชื่อมต่อกับเครื่อง ปัญหาเกี่ยวกับสิ่งนี้คือฉันไม่เห็นวิธีเรียกใช้บริการนี้และฉันไม่เห็นวิธีที่จะให้มันบันทึกข้อมูลที่ส่งออกไปยังล็อกไฟล์โดยอัตโนมัติแม้ว่าคุณจะสามารถเลือกรายการบันทึกและเลือกรายการด้วยตนเอง บันทึกลงในไฟล์บันทึกแล้ว

ฉันสามารถใช้ Group Policy เพื่อสร้างสำเนาไฟล์ exe ภายในเครื่องและจากนั้นบังคับให้ exe นี้ทำงานระหว่างการเริ่มต้น แต่ปัญหาหลักของการไม่สามารถรับบันทึกที่เขียนลงไฟล์โดยอัตโนมัติจะยังคงต้องเอาชนะ ฉันจะต้องสามารถตรวจสอบให้แน่ใจว่าผู้ใช้ไม่สามารถปิดโปรแกรมซึ่งเป็นไปได้เมื่อฉันเปิดตัวเองโดยซ่อนมันไว้อย่างดีเลิศและไม่แสดงไอคอนถาดจะเป็นวิธีที่ดีที่สุดสำหรับการตั้งค่า ขึ้น (แต่เมื่อฉันได้ลองใช้การตั้งค่าที่ซ่อนอยู่ฉันคิดว่ามันสามารถแสดงในหน้าต่างหลักหรือเพียงแค่แสดงไอคอน systray) ฉันดูในเว็บไซต์ แต่ฉันไม่เห็นวิธีที่จะเรียกใช้โปรแกรมพร้อมตัวเลือกเพื่อบอกให้ทำเช่นนี้ ฉันได้ส่งอีเมลไปยัง nirsoft เมื่อสัปดาห์ที่แล้วเพื่อดูว่าพวกเขามีคำแนะนำใด ๆ หรือไม่ แต่ฉันยังคงรอคำตอบอยู่

มีใครมีวิธีอื่นในการทำเช่นนี้บ้าง? ข้อเสนอแนะหรือความช่วยเหลือใด ๆ ยินดีต้อนรับ! ขอบคุณ

มีวิธีการชำระเงินเช่นนั้น EndProtection4 โดย CoSoSys ไม่ทราบวิธีการทำงานภายในตัวแทนที่ติดตั้งบนอุปกรณ์ แต่ให้ข้อมูลทั้งหมดเกี่ยวกับอุปกรณ์ที่เชื่อมต่อคุณต้องมีฝั่งเซิร์ฟเวอร์ที่จัดการไคลเอ็นต์เนื่องจากเป็นซอฟต์แวร์ที่จัดการการเข้าถึงอุปกรณ์ ทำงานบน Mac และ Linux ได้เช่นกัน

การเชื่อมต่อและยกเลิกการเชื่อมต่ออุปกรณ์ USB นั้นถูกบันทึกไว้ใน "Event Log"

การอ้างอิงคำอธิบายโดยละเอียดนี้(บล็อก "Digital Forensics Stream", 2014-01-02, บันทึกเหตุการณ์ Windows 7 และการติดตามอุปกรณ์ USB ):

รหัสเหตุการณ์การเชื่อมต่อ
เมื่ออุปกรณ์เก็บข้อมูลแบบถอดได้ USB เชื่อมต่อกับระบบ Windows 7 ควรมีการสร้างบันทึกเหตุการณ์จำนวนหนึ่งในบันทึกเหตุการณ์ Microsoft-Windows-DriverFrameworks-UserMode / Operational ระเบียนรวมถึงรายการที่มีรหัสเหตุการณ์ 2003, 2004, 2005, 2010, 2100, 2105 และอื่น ๆ ...

การตัดการเชื่อมต่อ ID เหตุการณ์
เมื่อ USB thumb drive ถูกตัดการเชื่อมต่อจากระบบ Windows 7 เรคคอร์ดเหตุการณ์บางอย่างควรถูกสร้างขึ้นในบันทึกเหตุการณ์เดียวกันกับเหตุการณ์การเชื่อมต่อ บันทึกด้วยรหัสเหตุการณ์ 2100, 2102 และอาจมีการสร้างมากขึ้นเมื่อตัดการเชื่อมต่ออุปกรณ์ USB ...

สำหรับการส่งออกโดยอัตโนมัติจากบันทึกเหตุการณ์ Microsoft เสนอlogparserฟรี

ฉันจะลองใช้เครื่องมือเช่น AutoIT

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

โพสต์ฟอรัมนี้มาจากอยู่ในฟอรัม AutoIT ตั้งอยู่ที่นี่: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

การใช้งานregeditและรูปลักษณ์ในรายการใต้:registry HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\สำหรับรายละเอียดบางอย่างเปิด PowerShell และเรียกใช้:

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

C:\Windows\inf\setupapi.dev.logหรือมองในล็อกไฟล์ที่นี่:

สำหรับรายละเอียดทางเทคนิคเพิ่มเติมดูที่Nicoles บล็อก