Jak uzyskać historię używania USB za pomocą PowerShell i ADAudit Plus
ADAudit Plus » Jak uzyskać historię używania USB za pomocą PowerShell i ADAudit Plus

Jak uzyskać historię używania USB za pomocą PowerShell i ADAudit Plus

Urządzenia magazynujące USB mogą być stosowane do przesyłania szkodliwych kodów do maszyn w sieci organizacji. Mogą być także wykorzystywane do kopiowania kluczowych plików, a w rezultacie wykradania własności intelektualnej. Aby sprawdzić, czy doszło do tego typu złośliwych działań, administratorzy systemu muszą śledzić historię urządzeń USB podłączonych do dowolnych komputerów w sieci.

Poniżej przedstawiono porównanie uzyskiwania raportu o historii stosowania USB za pomocą programów Windows PowerShell i ADAudit Plus:

Windows PowerShell

Etapy uzyskiwania informacji o historii stosowania USB za pomocą PowerShell:

  • Określ domenę, z której ma zostać pobrany raport.
  • Określ atrybuty LDAP potrzebne do pobrania raportu.
  • Określ główny kontroler domeny, z którego ma zostać pobrany raport.
  • Skompiluj skrypt.
  • Wykonaj go w programie Windows PowerShell.

Przykładowy skrypt Windows PowerShell:

Get-ItemProperty -Path
'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*' | Select FriendlyName

Sample output:

sample-windows-powershell

ADAudit Plus

Uzyskiwanie raportu:

  • Zaloguj się do konsoli sieciowej ADAudit Plus jako administrator.
  • Przejdź do karty Inspekcja serwera i z części Inspekcja urządzeń magazynujących USB w lewym oknie wybierz raport Podłączanie wyjmowanych urządzeń.
  • Wybierz domenę i kliknij Generuj.
  • Wybierz opcję Eksportuj jako, aby wyeksportować raport w dowolnym z preferowanych formatów (CSV, PDF, HTML, CSVDE i XLSX).
    how-to-detect-usb-usage-history

    • Jak widać na rysunku, ManageEngine ADAudit Plus zapewnia obszerny, lecz prosty raport ze wszystkimi wymaganymi szczegółami, które pozwolą administratorowi systemu określić źródło potencjalnego ataku:

    • Nazwa konta komputera
    • Data i godzina
    • Nazwa domeny
    • Rodzaj użytego zewnętrznego urządzenia magazynującego oraz jego identyfikator

Poniżej przedstawiono ograniczenia dotyczące stosowania Windows PowerShell w celu uzyskania raportu o historii użycia USB:

  • Uzyskanych danych nie da się natychmiast rozszyfrować.
  • Występują trudności z wygenerowaniem raportu dla różnych stref czasowych i formatów daty.
  • Występują trudności z eksportowaniem raportu w formatach plików innych niż CSV.
  • Zastosowanie większej liczby filtrów, takich jak jednostka organizacyjna lub „Nazwa użytkownika zaczyna się od”, zwiększy złożoność zapytania LDAP.

Z kolei ADAudit Plus generuje raport o historii użycia USB i wyświetla go na prostym i intuicyjnie zaprojektowanym interfejsie użytkownika.

  • Wykonywanie skryptów PowerShell i uproszczony audyt zmian w AD za pomocą ADAudit Plus.
  •  
  • Przez kliknięcie „Pobierz bezpłatną wersję próbną” akceptujesz licencję użytkownika i polityką prywatności.
  •  
  • Dziękujemy za pobranie!
  • Pobieranie powinno rozpocząć się automatycznie w ciągu 15 sekund. Jeśli nie rozpocznie się automatycznie, kliknij tutaj, aby pobrać ręcznie

Powiązane zasoby

Spełnij wszystkie potrzeby związane z audytem i bezpieczeństwem IT dzięki ADAudit Plus.

  • Active Directory
  • Serwery plików
  • Serwery Windows
  • Stacja robocza
  • Zgodność
  • Produkty powiązane