如何跟踪连接到我的 Windows Server 2008R2 计算机的 USB 存储设备

如何跟踪连接到我的 Windows Server 2008R2 计算机的 USB 存储设备

我们想监控从本地服务器到 USB 存储设备的未经授权的文件复制。我们不确定 Windows 在哪里记录所有 USB 存储设备连接。

请告诉我,有没有办法查看连接到我们服务器的所有 USB 设备的历史记录/日志?

答案1

具体时间,一般没有。

USB 设备视图应该可以让您了解使用了哪些设备以及系统首次看到这些设备的时间。这基于注册表项和其他信息。

如果你有兴趣手动执行此操作法医学维基解释此信息存储在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\setupapi.log 中。如果您定期清除这些位置,可能会让您知道设备是否已重新连接或重新安装

答案2

这可以通过以下审计软件来完成涅索斯

跟踪和监控 USB 设备的使用情况(视频 3 分 16 秒) http://www.tenable.com/expert-resources/videos/1078

Nessus 5 支持 Windows XP、Server 2003、Server 2008、服务器 2008 R2、Vista 和 7(i386 和 x86-64)

希望这能有所帮助。请告诉我们。

答案3

我努力寻找一种更好的方法来查找这些信息,因为我不喜欢第三方软件的想法,因为我确信 Windows 事件查看器可以处理这个问题。以下是如何通过 Windows 事件查看器跟踪 USB 连接和断开连接(以及其他硬件更新)的方法。

  • 启动 Windows 事件查看器,您可以通过转到 Windows 搜索或运行框(Win+R)并输入来执行此操作:

    事件日志

  • 进入(启动 Windows 事件查看器)

  • 在事件查看器窗口顶部,单击“行动“→”创建自定义视图...

  • 选择全部“事件级别“(严重、警告、详细、错误、信息

  • 选择 ”按来源

  • 为了 ”事件来源:“向下滚动列表并选择”内核即插即用

您可能需要滚动到后面的页面才能查看更多最新数据。您还将看到一个硬件 ID,您可以参考设备管理器(检查 USB 设备特性细节硬件 ID),或者直接在您最喜欢的搜索引擎上搜索硬件 ID。

Kernel-PnP 事件将显示添加到机器的所有设备,而不仅仅是 USB 设备,但它同样可以监控所有硬件变化。如果您不经常更换内部组件(大多数人不经常更换),则跟踪的绝大部分内容将是 USB 设备的更改。

编辑:某些设备还会显示与 PC 断开连接的次数。

Windows 事件查看器中的 USB 日志示例:监控内核即插即用 (Kernel-PnP)

相关内容