我公司遇到一个问题,客户可能会使用拇指驱动器记录和访问我们签约运行测试应用程序的公司机器上的信息。理想情况下,我们希望他们锁定系统以不允许这种情况发生,但这实际上不是一个选择,因为有几家公司表示不愿意遵循这一要求。Windows 中是否有一个日志系统可以跟踪在一定时间内访问过计算机的内容。如果没有,是否有我们可以在后台运行的程序来执行此操作?
我应该澄清一下。我公司真正担心的是有人使用装有程序的 U 盘并启动可以从我们的测试系统复制数据的应用程序。测试是通过互联网进行的,因此我们并不真正担心他们从硬盘上复制文件。我知道我们可能无法检测到有人启动了应用程序,但在紧急情况下,我们想检测 U 盘是否在某个日期和时间被放入机器中。
答案1
您可以检测到插入拇指驱动器的证据。请参阅 Windows 取证专家 Harlan Carvey 的博客文章法医法表明这是真的。他在书中确实提到了这一点,Windows 取证分析,如果我没记错的话(博客中的链接现在将带您进入 Syngress 的 Elsevier 主页)。
如果没有开启审核功能,确定复制的内容会稍微困难一些。如果您拥有两个驱动器的精确映像,您可能能够确定哪个方向,但您已经知道哪些文件。
答案2
如果您为敏感文件激活某些 SACL(如果我没记错的话,它是在安全编辑器中设置的,在“审核”选项卡下),所有访问都会记录到安全事件日志中。