2 votes

Nialls Chavez avatar

Création d'une entrée dans le journal des événements lorsqu'un fichier est ouvert ou copié à partir d'un CD/DVD

Demandé el 8 de Décembre, 2016
Quand la question a-t-elle été
540 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai été chargé de configurer la stratégie de groupe et d'écrire un service Windows .NET qui ajoutera des entrées dans le journal des événements Windows chaque fois qu'un utilisateur ouvrira ou copiera un ou plusieurs fichiers à partir de n'importe quel support optique (les clés USB amovibles ne m'intéressent pas).

Ma première tentative a été d'utiliser le langage C# pour obtenir la liste des processus et voir quels fichiers ils avaient ouverts et si le chemin commençait par une lettre de lecteur optique. Cela n'a pas fonctionné car si certains programmes gardent le fichier ouvert (par exemple Acrobat Reader), d'autres ne le font pas (Internet Explorer, Notepad). Ma deuxième tentative a consisté à activer l'audit de l'accès aux objets ainsi que le réglage de l'audit de sécurité de l'accès aux fichiers sur le lecteur de disque ... ce que vous ne pouvez pas faire, car il n'y a pas de sécurité sur les systèmes de fichiers en lecture seule. Ma dernière tentative a été d'utiliser la fonction l'audit du stockage amovible mais cela n'ajoute aucune entrée de journal pour les supports optiques (j'ai testé une clé USB et cela a créé des entrées), de plus cela n'est disponible que dans Windows 8+ et j'ai besoin de supporter Windows 7.

Je suis donc à court d'idées et je me tourne vers les experts ici présents pour voir si vous avez des idées sur la façon dont je pourrais aborder ce problème.

Demandé el 8 de Décembre, 2016 par Nialls Chavez

Réponses

Trop de publicités?

1voto

Mister Lucky avatar
Mister Lucky Points 3294

Je soupçonne que cela devrait être mis en œuvre à un niveau inférieur, au niveau du pilote. Je pense qu'il existe des logiciels commerciaux pour cela.

Les lecteurs optiques utilisent généralement le système de fichiers FAT(32) qui, comme vous l'avez déjà remarqué, ne prend pas en charge l'audit. Vous pourriez bien sûr auditer le système de fichiers local, mais cela ne vous permettrait pas de distinguer les accès en écriture provenant d'un lecteur optique.

J'installerais Process Monitor de SysInternals, pour voir s'il signale les transferts de fichiers à partir du lecteur optique - il devrait le faire. Je vous donnerais un point de départ.

Personnellement, je ne pense pas qu'il s'agisse d'une tâche facile car vous devrez installer un pilote et interagir avec lui.

Peut-être que quelqu'un d'autre a une autre idée.

Répondu el 9 de Décembre, 2016 par Mister Lucky (3294 Points )

1voto

Maxthon Chan avatar
Maxthon Chan Points 649

Windows n'a pas de crochets de système de fichiers comme la plupart des UNIX, mais les auteurs de logiciels malveillants ont su se cacher en s'accrochant aux appels de système (alias les rootkits), vous pouvez donc vous intéresser au fonctionnement des rootkits.

Vous pouvez écrire une bibliothèque qui s'accroche à l'appel syscall d'ouverture de fichier et qui génère des entrées dans le journal des événements. Ensuite, écrivez un programme pour charger automatiquement cette bibliothèque dans le système.

Point bonus si vous pouvez rendre tout ce mécanisme de journalisation caché, à la manière d'un rootkit.

Répondu el 11 de Décembre, 2016 par Maxthon Chan (649 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X