У моей компании есть проблема с клиентами, которые потенциально используют флэш-накопители для записи и доступа к информации на машинах компаний, с которыми мы заключаем контракты для запуска тестовых приложений для нас. В идеале мы бы хотели, чтобы они заблокировали систему, чтобы не допустить этого, но на самом деле это не вариант, поскольку несколько компаний выразили неудовольствие, выполнив этот запрос. Есть ли где-нибудь в Windows система регистрации, которая отслеживает все, что обращалось к компьютеру в течение определенного времени. Если нет, то есть ли для этого программа, работающая в фоновом режиме?
Я должен уточнить. На самом деле моя компания боится того, что кто-то использует флэш-накопитель с программами и запускает приложения, которые могут копировать данные из нашей системы тестирования. Тестирование проводится через Интернет, поэтому мы не боимся копирования файлов с жесткого диска. Я знаю, что мы, вероятно, не можем обнаружить, что кто-то запустил приложение, но в крайнем случае мы хотели бы определить, был ли флэш-накопитель вставлен в машину в определенную дату и время.
Вы можете обнаружить доказательства того, что к нему был подключен флэш-накопитель. См. Сообщение в блоге эксперта по криминалистике Windows Харлана Карви. Законы о судебной экспертизе чтобы указать, что это правда. Он покрывает это в своей книге, Криминалистический анализ Windows, если я правильно помню (ссылка в блоге теперь ведет вас на домашнюю страницу Elsevier для Syngress).
определить, что было скопировано, немного сложнее, если у вас не включен аудит. Если у вас есть точные изображения двух дисков, вы можете определить, в каком направлении, но тогда вы уже знаете, какие файлы.
Если машины управляются через Active Directory, это можно сделать, применив правильную групповую политику.
Вы можете увидеть некоторые инструкции Вот.
Это также описано в MS KB555324
Если вы активируете определенные списки SACL для ваших конфиденциальных файлов (они настраиваются в редакторе безопасности, на вкладке «Аудит», если я правильно помню), все обращения регистрируются в журнале событий безопасности.