監控 USB 存取行為

前言

因為最近朋友提出說要求說他的電腦在他沒在座位上時 (又沒鎖定桌面的情況下) 被插入 USB 隨身碟複製了某些檔案走,問我是否有方法可以知道別人複製走哪些檔案,市場上這種軟體其實不少但前提是都要在電腦上事先安裝 Agent 後才可監控,若沒安裝 Agent 目前的情況即使查看事件檢視器也只能知道哪時有人插拔 USB 隨身碟而以,那麼是否有不用安裝 3-Party 的軟體也可達到此需求的方法呢? 答案當然是有的,運作 Windows XP 內容的 物件存取功能 即可達到此一目的。




實作環境

  • Windows XP SP3 專業版



安裝及設定

在開始設定以前請先確定您的系統是否具備下列二項條件,否則是無法達此一功能:
  • 作業系統版本必須是 專業版 (Professional Edition) 才有支援此功能,若為家用版 (Home Edition) 則無。
  • 該分割區必須為 NTFS 才可進行監控。

步驟 1. 開啟稽核功能

1. 按一下 【開始】 >> 【控制台】 >> 【效能及維護】 >> 【系統管理工具】。
2. 按兩下 【本機安全性原則】。
3. 在左方窗格中按兩下 【本機原則】 將其展開。
4. 在左方窗格中按一下 【稽核原則】 以便在右方窗格中顯示個別的原則設定。
5. 按兩下 【稽核物件存取】。
6. 若要稽核指定的檔案、資料夾與印表機是否成功地被存取,請選取 【成功】 核取方塊。
7. 若要稽核這些物件是否未被成功存取,請選取 【失敗】 核取方塊。
8. 若要同時啟用這兩種稽核,請選取這兩個核取方塊之後按一下 【確定】。



步驟 2. 指定要監控的資料夾或檔案

下列以監控指定資料夾 (D:\機密資料) 內所有檔案為說明:

1. 在 【Windows 檔案總管】 中,選擇要監控的資料夾 (例如 D:\機密資料) 滑鼠右鍵再按一下 【內容】 >> 【安全性】 >> 【進階】 >> 【稽核】 索引標籤,再按 【新增】。
2. 在 【請輸入物件名稱來選取】 方塊中鍵入您想稽核的使用者或群組名稱。若要瀏覽電腦上的這些名稱,請按一下 【進階】,再於 【選擇使用者或群組】 對話方塊中按一下 【立即尋找】。
3. 此例中選擇 Administrators 郡組 (因為通常都會使用這個群組中的帳號) 後按一下【確定】並勾選成功項目下【完全控制】 按一下 【確定】,再按一次 【確定】。

經過上述設定後此時將 USB 隨身碟插拔至 Windows XP 主機後若有存取 D:\機密資料 (當然您也可以針對整個分割區設定) 內任何檔案都會在【事件檢視器】 >> 【安全性】 內顯示相關資訊,例如存取檔案的【事件 ID 為 560



參考