Ведение журнала, когда кто-либо подключает или удаляет USB-устройство к машине с Windows

10

В настоящее время я пытаюсь найти способ регистрации всех подключений и отключений USB-устройств от всех компьютеров Windows в нашей сети. Эта информация должна автоматически регистрироваться в файле на машине, затем этот файл может быть прочитан nxlog и затем отправлен на нашу платформу централизованного ведения журнала для обработки. Я надеялся, что эта информация будет автоматически регистрироваться журналами Windows, но я обнаружил, что хотя некоторая информация о съемном USB-накопителе, по-видимому, регистрируется в Event Viewer, это довольно ограниченная информация, которая не воспринимается, когда USB-клавиатуры и мыши подключен и отключен.

После некоторых копаний я обнаружил, что nirsoft написал небольшой exe-файл, который выполняет большую часть тяжелой работы, USBLogView можно запустить без установки и регистрировать каждый раз, когда USB-устройство подключается и отключается от компьютера. Проблема в том, что я не вижу способа запустить это как службу, и при этом я не вижу способа, чтобы он автоматически регистрировал информацию, которую он выводит, в файл журнала, хотя вы можете выбрать записи журнала и вручную выбрать их, чтобы сохранен в файл журнала.

Я мог бы использовать групповую политику для создания локальной копии exe-файла, а затем каким-то образом заставить этот exe-файл запускаться во время запуска, но главную проблему невозможности получения журналов, автоматически записываемых в файл, все равно необходимо будет преодолеть. Я также должен быть в состоянии гарантировать, что пользователь не сможет закрыть программу, что возможно, когда я запускаю ее сам, в идеале, если бы она была скрыта и не отображалась иконка в трее, это было бы наилучшим способом ее установки. вверх (но когда я попытался использовать скрытые настройки, мне кажется, что они могут отображаться либо в главном окне, либо просто отображать значок систреи). Я посмотрел на веб-сайте, но я не вижу способа вызвать программу с опциями, чтобы сказать ей сделать это. На прошлой неделе я также написал nirsoft, чтобы узнать, есть ли у них какие-либо советы, но я все еще жду ответа.

У кого-нибудь есть альтернативные способы сделать это вообще? Любые предложения или помощь приветствуются! Спасибо

windows usb logging громыхает
источник

Ответы:

2

Есть платные решения для этого, например. EndProtection4 от CoSoSys. Не знаю, как это работает внутри агента, установленного на устройстве, но дает вам всю информацию об устройствах, подключенных к сети. Вам нужна серверная часть, которая управляет клиентами, поскольку это программное обеспечение, которое управляет доступом к устройствам. Работает также на Mac и Linux.

Бартош Дебски
источник
3

Подключение и отключение USB-устройств регистрируется в «Журнале событий».

Цитируя это подробное описание (блог «Digital Forensics Stream», 2014-01-02, журнал событий Windows 7 и отслеживание USB-устройств ):

Идентификаторы событий подключения
Когда съемное запоминающее устройство USB подключено к системе Windows 7, в журнале событий Microsoft-Windows-DriverFrameworks-UserMode / Operational необходимо создать несколько записей о событиях. Записи включают записи с идентификатором события 2003, 2004, 2005, 2010, 2100, 2105 и т. Д. ...

Идентификаторы событий отсоединения
Когда флэш-накопитель USB отсоединен от системы Windows 7, несколько записей событий должны быть созданы в том же журнале событий, что и события подключения. Записи с событиями с кодом 2100, 2102 и, возможно, другими данными могут быть сгенерированы, когда устройство USB отключено. ...

Для автоматизации экспорта из журнала событий Microsoft предлагает бесплатный журнал регистрации .

болотно-покачивания
источник
2
Спасибо за ответ, но, как я уже сказал в своем вопросе, Event Viewer показывает, когда вы подключаете USB-устройства хранения, но не USB-устройства, такие как клавиатуры и т. Д. Я хочу собрать информацию для всех USB-устройств, а не только для USB-накопителей.
грохочет
@Rumbles Вы уверены, что смотрите на правильный журнал? Журнал, названный выше, не является одним из "обычных". С другой стороны, указанный выше журнал будет содержать информацию только об устройствах, обрабатываемых драйверами UMDF. Не драйверы KMDF и не не-каркасные драйверы.
Джейми Ханрахан
1
Я не могу подтвердить, это то, к чему я давно не обращался, и с тех пор сменил работу и теперь редко работаю с настольными компьютерами Windows (ура!)
Rumbles
Я мог видеть устройства хранения, но не мышь USB, использующую при включении этого журнала.
Тайлер Сабо
0

Я бы попробовал использовать такой инструмент, как AutoIT.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

Это сообщение на форуме AutoIT находится здесь: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434.

Райли Чайлдс
источник
0

Использование regeditи взгляд в registryпункты в: HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Для некоторых деталей откройте PowerShell и запустите: 

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

Или посмотреть в лог - файл здесь: C:\Windows\inf\setupapi.dev.log.

Для получения более подробной технической информации, посмотрите блог Nicoles .

not2qubit
источник