So erkennen Sie USB-Geräte ohne PowerShell-Einsatz
Daten einer Organisation lassen sich auf vielfältige Weisen entwenden. Allerdings zählt Datendiebstahl mit USB-Flash-Laufwerken vermutlich zu den einfachsten Varianten. USB-Geräte sind unauffällig und kostengünstig. Daher müssen Sie sich bei forensischen Untersuchungen zum Datendiebstahl vor allem auf den Einsatz von USB-Datenträgern in Ihrem Netzwerk konzentrieren.
PowerShells Get-WMIObject enthüllt sämtliche USB-Geräte, die bei Abfrage mit „win32_diskdrive“ mit Ihrem Netzwerk verbunden waren. Diese Aufgabe können Sie auch über die freundliche grafische ADAudit-Plus-Oberfläche erledigen, die Ihnen ein konsolidiertes Dashboard mit all Ihren AD-Berichten bietet. ADAudit Plus bietet Ihnen spezielle „USB-Speicherauditing“-Berichte, die Dateiaktivitäten wie Kopieren und Einfügen, Lesen, Ändern sowie den Anschluss von Geräten überwachen. Die nachstehende Tabelle vergleicht die Erkennung von USB-Geräten mit PowerShell und ADAudit Plus.
Windows PowerShell
Schritte zum Anzeigen verbundener USB-Datenträger mit PowerShell
- Führen Sie das „Get-WMIObject“-Objekt zusammen mit der „win32_diskdrive“-Abfrage aus.
- Die Win32-Klasse steht für Datenträger, die vom Windows-Betriebssystem erkannt werden.
- Geben Sie den Schnittstellentyp (Interface type) an.
Code:
Copied
GET-WMIOBJECT win32_diskdrive | Where { $_.InterfaceType –eq ‘USB’ }
ADAudit Plus
Schritte zum Anzeigen verbundener USB-Datenträger mit ADAudit Plus
- Melden Sie sich mit autorisierten Zugangsdaten an der ADAudit-Plus-Webkonsole an. Klicken Sie auf das Serveraudit-Register, wählen Sie „USB-Speicherauditing“ auf der linken Seite.
- Nun können Sie sich für unterschiedliche Berichte zu „Alle Datei- und Ordnerveränderungen“, „Gelesene Dateien“, „Veränderte Dateien“, „Kopierte und eingefügte Dateien“, „Wechseldatenträgerverbindungen“ entscheiden.
- Der Bericht liefert detaillierte Informationen zu aufgerufenen Dateien und Ordnern, Speicherort veränderter Dateien und Ordner, Art der Veränderung und zur Person, welche die Änderung ausführte.
- Sie können die Ergebnisse auch nach „Server“, „Filter-/Ordnername“, „Speicherort“, „Geändert von“ und „Meldung“ filtern. Solche Filter helfen beim Eingrenzen der Ergebnisse auf ganz bestimmte Ereignisse.
Warum ist ADAudit Plus die bessere Lösung, wenn es um das Erkennen angeschlossener USB-Geräte geht?
- ADAudit Plus lässt sich mit 32- und 64-Bit-Computern einsetzen, liefert detaillierte Berichte zu Wechseldatenträgern.
- Die Software bietet zahlreiche vorgefertigte Berichte zum USB-Speicherauditing.
- Zusätzlich gibt es spezielle IT-Auditoranmeldungen, bei denen lediglich Anzeigeberechtigungen vergeben werden.
- Filterattribute ermöglichen ein Eingrenzen der Ergebnisse auf bestimmte Ereignisse.
- ADAudit Plus erleichtert die Einhaltung unterschiedlicher Konformitätsvorgaben wie HIPAA, GLBA, SOX und vielen weiteren.
