Rejestrowanie, gdy ktoś podłącza lub usuwa urządzenie USB do / z komputera z systemem Windows

11

Obecnie próbuję znaleźć sposób na zarejestrowanie wszystkich połączeń i rozłączeń urządzeń USB ze wszystkich komputerów z systemem Windows w naszej sieci. Informacje te muszą zostać automatycznie zarejestrowane w pliku na komputerze, plik ten może następnie zostać odczytany przez nxlog, a następnie przesłany do naszej scentralizowanej platformy rejestrowania w celu przetworzenia. Miałem nadzieję, że te informacje zostaną automatycznie zarejestrowane przez dzienniki systemu Windows, ale stwierdziłem, że chociaż niektóre informacje na temat wymiennej pamięci USB wydają się logować w Podglądzie zdarzeń, są to dość ograniczone informacje i nie można ich odczytać, gdy klawiatury USB i myszy są podłączony i odłączony.

Po kilku kopaniach odkryłem, że nirsoft napisał małego exe, który wykonuje wiele ciężkiej pracy, USBLogView można uruchomić bez instalacji i rejestruje się za każdym razem, gdy urządzenie USB łączy się i rozłącza z maszyną. Problem polega na tym, że nie widzę sposobu, aby uruchomić to jako usługę, ani nie widzę żadnego sposobu, aby automatycznie rejestrował informacje, które wyprowadza do pliku dziennika, chociaż możesz wybrać wpisy dziennika i ręcznie wybrać je, aby były zapisany w pliku dziennika.

Mógłbym użyć zasad grupy, aby utworzyć lokalną kopię pliku exe, a następnie w jakiś sposób zmusić ten plik do uruchomienia podczas uruchamiania, ale główny problem związany z niemożnością automatycznego zapisania dzienników do pliku nadal musiałby zostać rozwiązany. Musiałbym także być w stanie upewnić się, że użytkownik nie jest w stanie zamknąć programu, co jest możliwe, gdy sam go uruchamiam, najlepiej ukrycie go i brak pokazywania ikony na pasku byłby najlepszym sposobem na jego ustawienie (ale kiedy próbowałem użyć ukrytego ustawienia, wydaje mi się, że można to wyświetlić w głównym oknie lub po prostu wyświetlać ikonę paska zadań). Spojrzałem na stronę internetową, ale nie widzę żadnego sposobu, aby wywołać program z opcjami, aby to zrobić. W zeszłym tygodniu wysłałem również e-mail do nirsoft, aby dowiedzieć się, czy mają jakieś porady, ale wciąż czekam na odpowiedź.

Czy ktoś ma w ogóle jakieś alternatywne sposoby? Wszelkie sugestie lub pomoc na powitanie! Dzięki

windows usb logging Brzęczy
źródło

Odpowiedzi:

2

Istnieją za to płatne rozwiązania np. EndProtection4 przez CoSoSys. Nie mam pojęcia, jak to działa w agencie zainstalowanym na urządzeniu, ale zapewnia wszystkie informacje na temat podłączonych urządzeń. Potrzebujesz strony serwera, która zarządza klientami, ponieważ jest to oprogramowanie, które zarządza dostępem do urządzeń. Działa również na komputerach Mac i Linux.

Bartosz Dębski
źródło
3

Podłączanie i odłączanie urządzeń USB jest rejestrowane w „Dzienniku zdarzeń”.

Cytując ten szczegółowy opis (blog „Digital Forensics Stream”, 02.01.2014, Dziennik zdarzeń systemu Windows 7 i śledzenie urządzeń USB ):

Identyfikatory zdarzeń połączenia
Gdy wymienne urządzenie magazynujące USB jest podłączone do systemu Windows 7, należy wygenerować pewną liczbę rekordów zdarzeń w dzienniku zdarzeń Microsoft-Windows-DriverFrameworks-UserMode / Operational. Rekordy obejmują te o zdarzeniu o numerze 2003, 2004, 2005, 2010, 2100, 2105 i więcej. ...

Identyfikatory zdarzeń rozłączenia
Gdy napęd USB zostanie odłączony od systemu Windows 7, kilka rekordów zdarzeń powinno zostać wygenerowanych w tym samym dzienniku zdarzeń, co zdarzenia połączenia. Rekordy o zdarzeniach o identyfikatorze 2100, 2102 i potencjalnie więcej mogą zostać wygenerowane po odłączeniu urządzenia USB. ...

W celu zautomatyzowania eksportu z dziennika zdarzeń Microsoft oferuje logparser za darmo.

wiggle marsh
źródło
2
Dzięki za odpowiedź, ale jak powiedziałem w moim pytaniu, Podgląd zdarzeń pokazuje, kiedy podłączasz urządzenia pamięci USB, ale nie urządzenia USB, takie jak klawiatury itp. Chcę zbierać informacje dla wszystkich urządzeń USB, a nie tylko urządzeń USB.
Rumbles,
@Rumbles Czy na pewno patrzysz na właściwy dziennik? Dziennik wymieniony powyżej nie jest jednym z „zwykłych”. Z drugiej strony powyższy dziennik będzie zawierał informacje tylko o urządzeniach obsługiwanych przez sterowniki UMDF. Nie sterowniki KMDF i sterowniki inne niż Framework.
Jamie Hanrahan
1
Nie mogę potwierdzić, to coś, czego nie szukałem od jakiegoś czasu, i od tego czasu zmieniłem pracę i rzadko pracuję teraz z komputerami z systemem Windows (hura!)
Rumbles
Podczas włączania tego dziennika widziałem urządzenia pamięci, ale nie korzystałem z myszy USB.
Tyler Szabo
0

Spróbowałbym użyć narzędzia takiego jak AutoIT.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

Wpis na forum, z którego pochodzi, znajduje się na forum AutoIT znajduje się tutaj: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

Riley Childs
źródło
0

Użyj regediti spojrzeć w registrypozycji poniżej: HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Aby uzyskać szczegółowe informacje, otwórz PowerShell i uruchom: 

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

Lub szukać w pliku dziennika tutaj: C:\Windows\inf\setupapi.dev.log.

Więcej szczegółów technicznych można znaleźć na blogu Nicoles .

not2qubit
źródło