ANTICHAT — форум по информационной безопасности, OSINT и технологиям

1)Для Windows Xp
http://support.microsoft.com/?kbid=555324
http://support.microsoft.com/kb/823732/ru

2)Начиная с Windows Vista,то там все гораздо мощнее и проще.

Computer Configuration | Administrative Templates | System | Device Installation | Device Installation Restriction

3)Как вариант установить специальный софт
GFI Endpoint security
Device lock

4)Для логирования USB пишите свои скрипты,которые будет скидывать на сервер.Так же возможно ПО
http://www.devicelock.com/devicelock_plug_and_play_auditor.html
http://www.pcausa.com/Utilities/UsbSnoop/default.htm

5)Для логированиея пользователей на вход-выход,можно через групповые политики назначить скрипты log on log off.

echo %date% %username% %computername% и уже можно писать на сервер.


Как вариант просмотра через AD:
http://forum.sysfaq.ru/index.php?showtopic=18378

где хранятся логи входа-выхода юзера и подключения-отключения внешнего накопителя ?

Для накопителей только через сторонее ПО или скриптами.

Для пользователя,для начало включите в Group Policy Аудит входа в систему и уже через Event Log ,будете парсить данные и отправлять на сервер.

По пользователям - будут отметки в журнале безопансости. (Пуск - Панель управления - Просмотр событий - Просмотр событий - Безопасность). Физически все журналы хранятся в папке C:\WINDOWS\system32\config с расширением .evt.
Можно сразу Пуск-Выполнить-eventvwr

Я не знаю политики для подключение/отключения внешнего накопителя. Скорее всего здесь _только_ внешний софт.

Запись в один журнал (лог) - это тоже из серии нетривиально, особенно для системных програм/функций.

А вот если пишешь свой софт, то тут проще. Существует программа eventcreate.exe, лежит в %WINDIR%/system32, вообще в этом каталоге погляди все программы по маске ev*, там же есть и пример скрипта eventquery.vbs.

Вообще в плане сделать по своему в Windows, на мой взгляд, очень не просто.

__________________
My ICQ: 296@463@859 ONLY!! Please check your list!!
И здесь могла бы быть ВАША реклама!!!

слушай а как мне из AD 2003 там 200 пользователей оперативно узнать кому предоставлен доступ на USB на чтение и на запись а кому нет ? есть ли какая нить прога которая выдёргивает настройки или может просканить и выделить в список у этих пользователей чтение у этих запись !

А зачем если все имеют право на запись и чтения,не кто их в этом не ограничивал.

В этом то и дело что у нас на сервере есть ограничения на чтение и запись и чтоб не копать 200 юзеров кому что мы хотим это автоматизировать ! Как это можно сделать ?

На каком сервере?Что ограничено?У кого ограничено?На что ограниченно?Как ограниченно?

Читай приведенные выше материалы,там четко написано как ограничить.

PS пока не единого шага от вас про автоматизацию я не увидал.

Позволь я обьясню ибо правильно поставленый вопрос половина ответа ...
Короче у нас сервак 2003 там AD ... сервисами самого сервера там ограничили доступ к юзеров на чтение и запись usb (до нас было)... таперь мы хотим провести аудит 200 юзеров кому какие права были даны и в последующем понимать когда кому был открыт доступ на запись-чтение когда кому закрыт ... чтоб не покупать лишние проги .. ибо бюджет нам срезали ...