Добрый день!
Сегодня посмотрим как выяснить какие USB-flash подключались к компьютеру. Указанный навык может помочь в ходе аудита информационной безопасности и в ходе расследования инцидентов информационной (Хвала ей) безопасности.
Просмотреть какие устройства и когда подключались к АРМ мы сможем с помощью portable-программки, Скачать которую можно по адресу:
http://www.nirsoft.net/utils/usb_devices_view.html
Стоит отметить, что на странице представлен и руссификатор, просто кидаем его в папку с программой и наслаждаемся родной речью.
При запуске мы увидим историю того, что и когда проникало в наши USB-порты:
При открытии конкретной записи к подключаемому устройству мы можем увидеть более подробную информацию, в особенности серийный номер устройства (может быть полезно посмотреть серийник флешки, чтобы, например, прописать в DLP), дата и время первого подключения и тип устройства:
Может быть полезно для поиска подключений мобильных телефонов к АРМ’ам если у Вам это запрещено политикой информационной безопасности и для многого другого!
Всем святого ИБ!
В реестре винды:
HKLM\SYSTEM\ControlSet001\Control\USB
HKLM\SYSTEM\ControlSet001\Control\USBSTOR
Да друг, но реестр часто закрыт с пользовательскими правами
Добрый день! Отличный у вас ресурс, зачитался некоторыми статьями. Хотелось бы добавить, что по мимо этой полезной утилиты, когда ее нет под рукой можно самому через реестр посмотреть, что было подключено HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\. Мне приходилось недавно чистить такие ветки, кому интересно можно подробнее вот тут посмотреть http://pyatilistnik.org/kak-udalit-dannyie-o-usb-fleshkah-v-reestre-windows/
Добрый день! Спасибо!