Créer l'input du journal des events lorsqu'un file est ouvert ou copié depuis un CD / DVD

J'ai été chargé de configurer la politique de groupe / d'écrire un service .NET Windows qui appenda des inputs dans un journal des events de Windows chaque fois qu'un user ouvre ou copy un file / un file à partir de n'importe quel média optique (pas intéressé par les lecteurs USB amovibles).

Ma première tentative était d'utiliser C # et d'get la list des process et de voir les files qu'ils avaient ouverts et si le path d'access a commencé avec une lettre de lecteur optique. Cela n'a pas fonctionné alors que certains programmes gardent le file ouvert (p. Ex. Acrobat Reader), les autres ne le font pas (Internet Explorer, Bloc-notes). Ma deuxième tentative était d'activer l' audit de l'access aux objects et de définir l'audit de security sur le disque sur le disque … ce que vous ne pouvez pas faire, car il n'y a pas de security sur les filesystems en lecture seule. Ma dernière tentative de fossé était d'utiliser la vérification de la politique de groupe de stockage amovible , mais cela n'ajoute aucune input de journal pour les supports optiques (j'ai testé un stylo USB et cela a créé des inputs), en plus, il n'est disponible que dans Windows 8+ et J'ai besoin de prendre en charge Windows 7.

Donc, je suis hors des idées et je me tourne vers les experts ici pour voir si vous avez des idées sur la façon dont je pourrais aborder ce problème.

2 Solutions collect form web for “Créer l'input du journal des events lorsqu'un file est ouvert ou copié depuis un CD / DVD”

Je soupçonne que cela devrait être mis en œuvre sur un niveau de pilote plus bas. Je soupçonne qu'il existe des logiciels commerciaux disponibles pour cela.

Les lecteurs optiques utilisent habituellement FAT (32) comme système de files, ce qui, comme vous l'avez déjà remarqué, ne prend pas en charge l'audit. Vous pouvez, bien sûr, auditer le système de files local, mais cela ne vous permettra pas de distinguer entre l'access en écriture qui provient d'un lecteur optique.

J'installez Process Monitor à partir de SysInternals, pour voir s'il signale des transferts de files à partir du lecteur optique – il devrait. Je vous donnerais un sharepoint départ.

Personnellement, je ne pense pas que ce soit une tâche facile puisque vous devrez installer et interagir avec un pilote.

Peut-être que quelqu'un d'autre a une autre idée.

Étant donné que Windows n'a pas de crochets de système de files comme la plupart des logiciels UNIX, mais que les auteurs de logiciels malveillants savaient comment se cacher en s'inscrivant dans syscalls (alias rootkits), vous voudrez peut-être examiner comment fonctionnent les rootkits.

Vous pouvez écrire une bibliothèque qui s'accroche au file ouvrir syscall et générer des inputs de journal des events là-bas. Ensuite, écrivez un programme pour charger cette bibliothèque dans le système automatiquement.

Bonus si vous pouvez cacher ce mécanisme de journalisation complet, un véritable style de rootkit.

  • Le script PowerShell génère beaucoup d'avertissements dans le journal des events de Windows
  • Est-ce que Exchange 2010 SP1 enregistre une connection OWA tente n'importe où?
  • Comment supprimer les windows sources d'events 2008
  • les journaux de search pour les events associés à Task Scheduler
  • Comment utiliser le text importé dans une variable dans powershell
  • Échec des events d'ouverture de count
  • Journal des events - La description des events de MsiInstaller ne peut être trouvée depuis la semaine dernière
  • Serveur suspendu - Serveur d'events Viewer
  • L'adresse du client n'est pas correcte dans le journal des events
  • Comment puis-je supprimer le sorting dans le journal des events?
  • Windows Server 2003 - "Le journal de security sur ce système est plein." Message lors de la connection
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.