Windowsマシンでのサムドライブの使用の検出

Question

私の会社では、テストアプリケーションを実行するために契約している会社のマシンにサムドライブを使用して情報を記録およびアクセスする可能性のある顧客に問題があります。理想的には、これを許可しないようにシステムをロックダウンすることを望んでいますが、いくつかの企業がこの要求に従うことに不満を表明しているため、これは実際にはオプションではありません。 Windowsのどこかに、特定の時間内にコンピューターにアクセスしたものを追跡するログシステムがありますか。そうでない場合は、バックグラウンドで実行できるプログラムはありますか？

明確にする必要があります。私の会社が本当に恐れているのは、プログラムがインストールされているサムドライブを使用して、テストシステムからデータをコピーできるアプリケーションを起動する人です。テストはインターネットを介して行われるため、ハードドライブからファイルをコピーすることを恐れることはありません。誰かがアプリケーションを起動したことをおそらく検出できないことは知っていますが、ピンチで、特定の日時にサムドライブがマシンに配置されたかどうかを検出したいと思います。

K. Brian Kelley · Accepted Answer

サムドライブが接続された証拠を検出できます。これが正しいことを示すには、Windowsフォレンジックの専門家であるHarlan Carveyのブログ投稿フォレンジック法を参照してください。私が正しく覚えていれば、彼は彼の本Windows Forensics Analysisでそれをカバーしています（ブログのリンクから、SyngressのElsevierホームページに移動します））。

監査をオンにしていない場合、何がコピーされたかを判断するのは少し難しくなります。 2つのドライブの正確なイメージがある場合は、どちらの方向を判別できる可能性がありますが、どちらのファイルかはすでにわかっています。

Chris Jester-Young · Answer

機密ファイルに対して特定のSACLをアクティブ化すると（セキュリティエディター内で、正しく覚えている場合は[監査]タブで設定されます）、すべてのアクセスがセキュリティイベントログに記録されます。

Omar Shahine · Answer

マシンがActiveDirectoryを介して管理されている場合、これは正しいグループポリシーを適用することで実行できます。

あなたはいくつかの指示を見ることができますここ。

これはMSでもカバーされています KB555324