Come rilevare la cronologia dell’uso di USB mediante PowerShell e ADAudit Plus
ADAudit Plus » Come rilevare la cronologia dell’uso di USB mediante PowerShell e ADAudit Plus

Come rilevare la cronologia dell’uso di USB mediante PowerShell e ADAudit Plus

I dispositivi di archiviazione USB possono essere usati per caricare codici pericolosi sulle macchine appartenenti alla rete di un’organizzazione. Possono anche essere utilizzati per copiare file critici, causando un furto di proprietà intellettuale (IP). Per controllare questo tipo di attività dannose, gli amministratori di sistema devono tenere traccia della cronologia dei dispositivi USB connessi a qualsiasi computer appartenente alla rete.

Di seguito è riportato un confronto tra le procedure per ottenere il report sulla cronologia dell’uso di USB con Windows PowerShell e ADAudit Plus:

Windows PowerShell

Procedura per ottenere la cronologia dell’uso di USB mediante PowerShell:

  • Identificare il dominio da cui desideri recuperare il report.
  • Identificare gli attributi LDAP di cui necessiti per recuperare il report.
  • Identificare il DC primario per recuperare il report.
  • Compilare lo script.
  • Eseguirlo in Windows PowerShell.

Script di esempio per Windows PowerShell:

Get-ItemProperty -Path
'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*' | Select FriendlyName

Ecco un esempio di output:

sample-windows-powershell

ADAudit Plus

Per ottenere il report,

  • Accedere alla console web di ADAudit Plus come amministratore.
  • Navigare fino alla scheda Controllo server, entrare nella sezione Controllo archivi USB del pannello di sinistra e selezionare il report Inserimento dispositivi rimovibili.
  • Selezionare il dominio e fare clic su Genera.
  • Selezionare Esporta come per esportare il report in uno qualsiasi dei formati preferiti (CSV, PDF, HTML, CSVDE e XLSX).
    how-to-detect-usb-usage-history

    • Come si può vedere dalla figura, ManageEngine ADAudit Plus fornisce un report esaustivo, ma di semplice consultazione e con tutti i dettagli necessari affinché un amministratore di sistema possa identificare l’origine di un potenziale attacco:

    • Il nome dell'account computer
    • Data e ora
    • Nome del dominio
    • Il tipo di dispositivo di archiviazione esterno usato e il relativo ID

Di seguito sono elencate le limitazioni nell’ottenere un report sulla cronologia dell’uso di USB mediante Windows PowerShell:

  • I dati ottenuti non possono essere decifrati con una rapida occhiata.
  • Si incontrano difficoltà nel generare report per fusi orari e formati della data differenti.
  • Si incontrano difficoltà nell’esportare il report in un formato file diverso da CSV.
  • L'applicazione di molteplici filtri, come UO o "Il nome utente inizia con", aumenterà la complessità della query LDAP.

D'altro canto, ADAudit Plus genererà il report sulla cronologia dell’uso di USB e lo mostrerà tramite un’interfaccia utente semplice e dal design intuitivo

  • Script PowerShell e semplificazione del controllo delle modifiche AD con ADAudit Plus.
  •  
  • Facendo clic su “Inizia subito la tua prova gratuita” accetti l’elaborazione dei tuoi dati personali in base all’informativa sulla privacy.
  •  
  • Grazie per lo scaricamento!
  • Il tuo scaricamento dovrebbe iniziare automaticamente tra 15 secondi. Altrimenti, fai clic qui per scaricare manualmente.

Risorse correlate