Journalisation lorsque quelqu'un se connecte ou supprime un périphérique USB vers / depuis une machine Windows

J'essaie actuellement de trouver un moyen de consigner toutes les connexions et déconnexions des périphériques USB de toutes les machines Windows de notre réseau. Ces informations doivent être automatiquement enregistrées dans un fichier sur la machine, ce fichier peut ensuite être lu par nxlog puis envoyé à notre plate-forme de journalisation centralisée pour traitement. J'espérais que ces informations seraient enregistrées automatiquement par les journaux Windows, mais j'ai trouvé que même si certaines informations sur le stockage amovible USB semblent être enregistrées dans l'Observateur d'événements, ces informations sont assez limitées et ne sont pas récupérées lorsque les claviers et les souris USB sont connecté et déconnecté.

Après quelques recherches, j'ai trouvé que nirsoft avait écrit un petit exe qui fait beaucoup de travail, USBLogView peut être exécuté sans installation et enregistre chaque fois qu'un périphérique USB se connecte et se déconnecte de la machine. Le problème avec cela est que je ne vois pas un moyen de l'exécuter en tant que service, ni aucun moyen de le faire enregistrer automatiquement les informations qu'il génère dans un fichier journal, bien que vous puissiez sélectionner des entrées de journal et les sélectionner manuellement pour qu'elles soient enregistré dans un fichier journal.

Je pourrais utiliser la stratégie de groupe pour créer une copie locale du fichier exe, puis forcer cette exe à s'exécuter au démarrage, mais le principal problème de ne pas pouvoir obtenir les journaux automatiquement écrits dans le fichier devrait encore être résolu. Je devrais également être en mesure de m'assurer que l'utilisateur ne peut pas fermer le programme, ce qui est possible lorsque je le lance moi-même, idéalement le masquer et ne pas afficher d'icône de plateau serait le meilleur moyen de le définir (mais quand j'ai essayé d'utiliser le paramètre caché, il me semble qu'il peut être affiché dans la fenêtre principale ou simplement afficher l'icône de la barre d'état système). J'ai regardé sur le site Web, mais je ne vois aucun moyen d'invoquer le programme avec des options pour lui dire de le faire. J'ai également envoyé un e-mail à nirsoft la semaine dernière pour voir s'ils avaient des conseils, mais j'attends toujours une réponse.

Quelqu'un a-t-il d'autres moyens de le faire? Toutes suggestions ou aide bienvenue! Merci

Il existe des solutions payantes pour cela, par exemple. EndProtection4 par CoSoSys. Je ne sais pas comment cela fonctionne à l'intérieur de l'agent installé sur l'appareil, mais cela vous donne toutes les informations sur les appareils branchés. Vous avez besoin d'un côté serveur qui gère les clients car c'est le logiciel qui gère l'accès aux appareils. Fonctionne également sur Mac et Linux.

La connexion et la déconnexion des périphériques USB sont enregistrées dans le "Journal des événements".

Citant cette description détaillée (blog "Digital Forensics Stream", 2014-01-02, Journal des événements Windows 7 et suivi des périphériques USB ):

ID d'événements de connexion
Lorsqu'un périphérique de stockage amovible USB est connecté à un système Windows 7, un certain nombre d'enregistrements d'événements doivent être générés dans le journal des événements Microsoft-Windows-DriverFrameworks-UserMode / Operational. Les enregistrements incluent ceux avec l'ID d'événement 2003, 2004, 2005, 2010, 2100, 2105 et plus. ...

ID d'événement de déconnexion
Lorsqu'une clé USB est déconnectée d'un système Windows 7, quelques enregistrements d'événements doivent être générés dans le même journal des événements que les événements de connexion. Des enregistrements avec l'ID d'événement 2100, 2102 et potentiellement plus peuvent être générés lorsqu'un périphérique USB est déconnecté. ...

Pour automatiser les exportations à partir du journal des événements, Microsoft propose gratuitement le logparser .

J'essaierais d'utiliser un outil comme AutoIT.

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

Un message du forum dont cela provient est sur le forum AutoIT est situé ici: http://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

Utilisez regeditet regardez dans les registryarticles sous: HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\. Pour certains détails, ouvrez PowerShell et exécutez:

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

Ou regardez dans le fichier journal ici: C:\Windows\inf\setupapi.dev.log.

Pour plus de détails techniques, consultez le blog Nicoles .