我的公司有一个问题,客户可能会使用拇指驱动器来记录和访问公司机器上的信息,我们与这些机器签订合同来为我们运行测试应用程序。理想情况下,我们希望他们锁定系统以不允许这样做,但这确实不是一个选择,因为有几家公司对遵循此要求表示不满。Windows 中的某处是否有一个日志系统,可以跟踪在一定时间内访问计算机的事物。如果没有,是否有我们可以在后台运行的程序来做到这一点?
我应该澄清一下。我的公司真正害怕的是有人使用带有程序的拇指驱动器并启动可以从我们的测试系统复制数据的应用程序。测试是通过互联网完成的,因此我们并不害怕他们从硬盘复制文件。我知道我们可能无法检测到有人启动了应用程序,但在紧要关头,我们想检测是否在某个日期和时间将拇指驱动器放入机器中。
您可以检测到插入拇指驱动器的证据。请参阅 Windows 取证专家 Harlan Carvey 的博客文章取证法以表明这是真的。如果我没记错的话,他确实在他的《Windows 取证分析》一书中介绍了这一点(博客中的链接现在将您带到 Syngress 的 Elsevier 主页)。
如果您没有打开审核,确定复制的内容会有点困难。如果您有两个驱动器的精确图像,您可能能够确定哪个方向,但是您已经知道哪些文件。
如果您为敏感文件激活某些 SACL(如果我没记错的话,它是在安全编辑器中设置的,在“审核”选项卡下),所有访问都会记录到安全事件日志中。
如果机器是通过 Active Directory 管理的,这可以通过应用正确的组策略来完成。
您可以在此处查看一些说明。
这也包含在 MS KB555324中