我的公司有一个客户的问题,可能使用拇指驱动器logging和访问公司的机器上的信息,我们与合同运行testing应用程序。 理想情况下,我们希望他们locking系统不允许这样做,但这确实不是一种select,因为几家公司对此表示不满。 在Windows中是否有一个日志logging系统,用于logging在一定时间内访问过计算机的东西。 如果没有,我们可以在后台运行一个程序吗?
我应该澄清。 真的,我的公司害怕的是有人使用带有程序的拇指驱动器,并启动可从我们的testing系统复制数据的应用程序。 testing是通过互联网完成的,所以我们并不是真的害怕从硬盘拷贝文件。 我知道我们可能无法检测到有人启动了一个应用程序,但是我们希望在某个date和时间检测是否在机器中放置了一个拇指驱动器。
您可以检测到插入拇指驱动器的证据。请参阅Windows取证专家Harlan Carvey的博客文章Forensics Laws以指出这是真实的。 如果我没有记错的话,他会在他的书“ Windows取证分析 ”中加以说明(博客中的链接现在将您带到Syngress的Elsevier主页)。
如果您没有开启审计,确定复制的内容会有点困难。 如果你有两个驱动器的确切图像,你可以确定哪个方向,但是你已经知道哪些文件。
如果您为敏感文件激活某些SACL(如果我记得的话,它在安全编辑器内设置,在“审计”选项卡下),所有访问都会logging到安全事件日志中。
如果通过Active Directorypipe理机器,则可以通过应用正确的组策略来完成。
你可以在这里看到一些说明。
这也包括在MS KB555324