我们想监控从本地服务器到 USB 存储设备的未经授权的文件复制。我们不确定 Windows 在哪里记录所有 USB 存储设备连接。
请告诉我,有没有办法查看连接到我们服务器的所有 USB 设备的历史记录/日志?
答案1
答案2
这可以通过以下审计软件来完成涅索斯:
跟踪和监控 USB 设备的使用情况(视频 3 分 16 秒) http://www.tenable.com/expert-resources/videos/1078
Nessus 5 支持 Windows XP、Server 2003、Server 2008、服务器 2008 R2、Vista 和 7(i386 和 x86-64)
希望这能有所帮助。请告诉我们。
答案3
我努力寻找一种更好的方法来查找这些信息,因为我不喜欢第三方软件的想法,因为我确信 Windows 事件查看器可以处理这个问题。以下是如何通过 Windows 事件查看器跟踪 USB 连接和断开连接(以及其他硬件更新)的方法。
启动 Windows 事件查看器,您可以通过转到 Windows 搜索或运行框(Win+R)并输入来执行此操作:
事件日志
按进入(启动 Windows 事件查看器)
在事件查看器窗口顶部,单击“行动“→”创建自定义视图...“
选择全部“事件级别“(严重、警告、详细、错误、信息)
选择 ”按来源“
为了 ”事件来源:“向下滚动列表并选择”内核即插即用“
您可能需要滚动到后面的页面才能查看更多最新数据。您还将看到一个硬件 ID,您可以参考设备管理器(检查 USB 设备特性→细节→硬件 ID),或者直接在您最喜欢的搜索引擎上搜索硬件 ID。
Kernel-PnP 事件将显示添加到机器的所有设备,而不仅仅是 USB 设备,但它同样可以监控所有硬件变化。如果您不经常更换内部组件(大多数人不经常更换),则跟踪的绝大部分内容将是 USB 设备的更改。
编辑:某些设备还会显示与 PC 断开连接的次数。
