Registrazione quando qualcuno si collega o rimuove un dispositivo USB da / verso un computer Windows

10

Attualmente sto cercando di trovare un modo per registrare tutte le connessioni e disconnessioni dei dispositivi USB da tutte le macchine Windows sulla nostra rete. Queste informazioni devono essere automaticamente registrate su un file sulla macchina, questo file può quindi essere letto da nxlog e quindi spedito alla nostra piattaforma di registrazione centralizzata per l'elaborazione. Speravo che queste informazioni sarebbero state registrate automaticamente dai log di Windows, ma ho scoperto che mentre alcune informazioni sulla memoria rimovibile USB sembrano essere registrate nel Visualizzatore eventi, queste sono informazioni piuttosto limitate e non vengono rilevate quando le tastiere e i mouse USB sono connesso e disconnesso.

Dopo alcune ricerche ho scoperto che nirsoft aveva scritto un piccolo exe che fa molto del duro lavoro, USBLogView può essere eseguito senza installazione e registra ogni volta che un dispositivo USB si collega e si disconnette dalla macchina. Il problema è che non riesco a vedere un modo per eseguirlo come servizio, né vedo alcun modo per farlo registrare automaticamente le informazioni che genera in un file di registro, sebbene sia possibile selezionare le voci di registro e selezionarle manualmente come salvato in un file di registro.

Potrei usare Criteri di gruppo per creare una copia locale del file exe e quindi forzare in qualche modo l'esecuzione di questo exe all'avvio, ma il problema principale di non riuscire a ottenere i registri scritti automaticamente nel file dovrebbe ancora essere superato. Dovrei anche essere in grado di garantire che l'utente non sia in grado di chiudere il programma, il che è possibile quando lo avvio da solo, idealmente tenerlo nascosto e non mostrare l'icona di un vassoio sarebbe il modo migliore per impostarlo su (ma quando ho provato a usare l'impostazione nascosta, mi sembra che possa essere mostrata nella finestra principale, o semplicemente visualizzando l'icona systray). Ho cercato sul sito Web, ma non vedo alcun modo per invocare il programma con opzioni per dirgli di farlo. Ho anche inviato un'email a nirsoft la scorsa settimana per vedere se avevano qualche consiglio, ma sto ancora aspettando una risposta.

Qualcuno ha qualche modo alternativo per farlo? Eventuali suggerimenti o aiuto benvenuto! Grazie

windows  usb  logging 
rombi
fonte

Risposte:

2

Ci sono soluzioni a pagamento per questo ad es. EndProtection4 di CoSoSys. Non ho idea di come funzioni all'interno dell'agente installato sul dispositivo ma ti fornisce tutte le informazioni sui dispositivi collegati. È necessario un lato server che gestisca i client in quanto questo è il software che gestisce l'accesso ai dispositivi. Funziona anche su Mac e Linux.

Bartosz Debski
fonte
3

La connessione e disconnessione di dispositivi USB è registrata nel "Registro eventi".

Citando questa descrizione dettagliata (blog "Digital Forensics Stream", 2014-01-02, Il registro eventi di Windows 7 e Tracciamento dispositivo USB ):

ID eventi di connessione
Quando un dispositivo di archiviazione rimovibile USB è collegato a un sistema Windows 7, è necessario generare una serie di record di eventi nel registro eventi Microsoft-Windows-DriverFrameworks-UserMode / Operational. I record includono quelli con ID evento 2003, 2004, 2005, 2010, 2100, 2105 e altri. ...

ID eventi di disconnessione
Quando una chiavetta USB viene disconnessa da un sistema Windows 7, è necessario generare alcuni record di eventi nello stesso registro eventi degli eventi di connessione. I record con ID evento 2100, 2102 e potenzialmente più possono essere generati quando un dispositivo USB è disconnesso. ...

Per automatizzare le esportazioni dal registro eventi, Microsoft offre il logparser gratuitamente.

marsh-wiggle
fonte
2
Grazie per la risposta, ma come ho detto nella mia domanda, il Visualizzatore eventi mostra quando si collegano i dispositivi di archiviazione USB, ma non i dispositivi USB come le tastiere ecc. Voglio raccogliere le informazioni per tutti i dispositivi USB, non solo i dispositivi di archiviazione USB.
Rumbles,
@Rumbles Sei sicuro di guardare il registro giusto? Il registro di cui sopra non è uno dei "soliti". D'altro canto, il registro di cui sopra conterrà solo informazioni sui dispositivi gestiti dai driver UMDF. Non driver KMDF e driver non framework.
Jamie Hanrahan,
1
Non posso confermare, è qualcosa che non ho cercato per un po 'di tempo, e da allora ho cambiato lavoro e raramente ora lavoro con macchine desktop Windows (evviva!)
Rumbles,
Sono stato in grado di vedere i dispositivi di archiviazione ma non un mouse USB quando abilito questo registro.
Tyler Szabo,
0

Vorrei provare a utilizzare uno strumento come AutoIT.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

Un post sul forum da cui proviene è sul forum AutoIT si trova qui: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

Riley Childs
fonte
0

Uso regedite l'aspetto nelle registryvoci sotto: HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Per alcuni dettagli, apri PowerShell ed esegui: 

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

O guardare nel file di registro qui: C:\Windows\inf\setupapi.dev.log.

Per maggiori dettagli tecnici, guarda Nicoles Blog .

not2qubit
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.