引言：移動(dòng)設(shè)備憑借插拔方便、操作簡(jiǎn)便等特點(diǎn)，受到了越來(lái)越多用戶的青睞。不過(guò)，它在給數(shù)據(jù)移動(dòng)存儲(chǔ)帶來(lái)方便的同時(shí)，也帶來(lái)不小的安全隱患。有必要采取措施加強(qiáng)對(duì)移動(dòng)設(shè)備插拔狀態(tài)進(jìn)行全監(jiān)控，以杜絕移動(dòng)設(shè)備的混亂使用。

移動(dòng)設(shè)備憑借插拔方便、操作簡(jiǎn)便等特點(diǎn)，受到了越來(lái)越多用戶的青睞。不過(guò)，它在給數(shù)據(jù)移動(dòng)存儲(chǔ)帶來(lái)方便的同時(shí)，也帶來(lái)不小的安全隱患。為保護(hù)系統(tǒng)運(yùn)行安全，有必要采取措施加強(qiáng)對(duì)移動(dòng)設(shè)備插拔狀態(tài)進(jìn)行全監(jiān)控，以杜絕移動(dòng)設(shè)備的混亂使用。

監(jiān)控染毒狀態(tài)

不少病毒都能利用移動(dòng)設(shè)備進(jìn)行傳播，如何監(jiān)控在本地計(jì)算機(jī)系統(tǒng)中偷偷插拔過(guò)帶毒的移動(dòng)設(shè)備，不需要借助外力工具幫忙就能查看到插入到本地計(jì)算機(jī)中的所有移動(dòng)設(shè)備以及其ID，以下就是詳細(xì)的監(jiān)控操作步驟：

圖1 MS-DOS命令行窗口

首先逐一點(diǎn)擊“開(kāi)始”、“運(yùn)行”選項(xiàng)，展開(kāi)“運(yùn)行”對(duì)話框，打開(kāi)“MS-DOS命令行”窗口。在該窗口命令行提示符狀態(tài)下，執(zhí)行“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”字符串命令，Windows系統(tǒng)就會(huì)自動(dòng)將插入到本地計(jì)算機(jī)中的所有移動(dòng)設(shè)備信息列出，如圖1所示。當(dāng)然，執(zhí)行“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”命令后，Windows系統(tǒng)有時(shí)會(huì)返回大量的結(jié)果信息，這些信息不能在一屏界面中顯示完，為了可以準(zhǔn)確查看到監(jiān)控結(jié)果，不妨在MS-DOS工作窗口中，輸入字符串命令“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s >H:123.txt”，將命令返回結(jié)果輸出到“H:123.txt”文本文件中。日后，啟動(dòng)運(yùn)行記事本程序，打開(kāi)“H:123.txt”文本文件，在該文件編輯界面中依次單擊菜單欄中的“編輯”、“查找”命令，將“FriendlyName”關(guān)鍵字全部查找出來(lái)，同時(shí)將每個(gè)關(guān)鍵字后面的品牌信息逐一記錄下來(lái)，這樣就能將所有可疑的移動(dòng)硬盤全部搜索出來(lái)。

有時(shí)局域網(wǎng)中很多員工使用的移動(dòng)設(shè)備都是同一品牌，這時(shí)以上方法顯然行不通。由于Windows系統(tǒng)默認(rèn)會(huì)為插入的每一只移動(dòng)硬盤分配一個(gè)設(shè)備ID，同時(shí)該設(shè)備ID是唯一的，很明顯，可以利用設(shè)備ID來(lái)判斷是否有用戶在本地計(jì)算機(jī)中使用過(guò)移動(dòng)硬盤。

首先將自己使用的移動(dòng)硬盤插入到本地計(jì)算機(jī)中，進(jìn)入“計(jì)算機(jī)”窗口，用鼠標(biāo)右擊移動(dòng)硬盤圖標(biāo)，點(diǎn)擊“屬性”命令，切換到特定移動(dòng)硬盤屬性對(duì)話框，選擇“詳細(xì)信息”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面的“設(shè)備范例ID”或“設(shè)備實(shí)例路徑”設(shè)置項(xiàng)處，手動(dòng)記下自己移動(dòng)硬盤的設(shè)備ID。

接著打開(kāi)本地計(jì)算機(jī)的“開(kāi)始”菜單，單擊“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車，切換到DOS命令行窗口。在該窗口命令行提示符下輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”字符串命令，從返回的結(jié)果信息中手工記下“Disk&Ven”關(guān)鍵字后面的設(shè)備ID，一旦看到結(jié)果信息中存在多個(gè)不同移動(dòng)硬盤的設(shè)備ID時(shí)，那就表示肯定有其他用戶悄悄在本地計(jì)算機(jī)中使用過(guò)移動(dòng)硬盤。

監(jiān)控本地狀態(tài)

當(dāng)在本地計(jì)算機(jī)中插拔移動(dòng)設(shè)備時(shí)，Windows系統(tǒng)會(huì)在后臺(tái)自動(dòng)監(jiān)控并記憶它的狀態(tài)信息。借助外力工具USBDeview，能輕松地讀取系統(tǒng)監(jiān)控到的內(nèi)容。

圖2 USBDeview程序界面

圖3 痕跡清理

開(kāi)啟USBDeview工具，打開(kāi)如圖2所示的程序界面，從中能看到所有移動(dòng)設(shè)備的插拔記錄，包括歷史的和當(dāng)前的插拔信息。

對(duì)于正處于插入狀態(tài)的移動(dòng)設(shè)備，如果要詳細(xì)查看某個(gè)移動(dòng)設(shè)備的插拔狀態(tài)時(shí)，可以從主界面的移動(dòng)設(shè)備列表中，選擇目標(biāo)移動(dòng)設(shè)備選項(xiàng)，鼠標(biāo)右擊打開(kāi)菜單中的“Properties”命令，切換到對(duì)應(yīng)設(shè)備屬性對(duì)話框，可看到詳細(xì)的插拔信息。

當(dāng)然，也可以將本地移動(dòng)設(shè)備插拔狀態(tài)的監(jiān)控記錄導(dǎo)出成文件，以便日后查詢。在進(jìn)行該操作時(shí)，先從設(shè)備列表界面中選擇特定監(jiān)控記錄，右擊打開(kāi)菜單“Html Report Selected Items”命令，這樣就能將選中的移動(dòng)設(shè)備插拔狀態(tài)導(dǎo)出成HTML格式的文件了。如果要將所有移動(dòng)設(shè)備的插拔狀態(tài)導(dǎo)出成HTML文件時(shí)，只要執(zhí)行快捷菜單中的“Html Report All Items”命令即可。

值得注意的是，在特定場(chǎng)合下，有時(shí)需將移動(dòng)設(shè)備的插拔狀態(tài)記錄從計(jì)算機(jī)系統(tǒng)中抹除掉，以防止用戶操作隱私的外泄。只要使用電腦清理工具，選中“USB設(shè)備使用痕跡”選項(xiàng)（如圖3所示），再逐一按下“開(kāi)始掃描”按鈕和“立即清理”按鈕，可快速抹除干凈移動(dòng)設(shè)備的插拔狀態(tài)記錄。

監(jiān)控遠(yuǎn)程狀態(tài)

在實(shí)際工作中，常常要監(jiān)控局域網(wǎng)其他計(jì)算機(jī)中的移動(dòng)設(shè)備插拔狀態(tài)，這該如何實(shí)現(xiàn)呢？使用USB CopyNotify!外力工具能方便地遠(yuǎn)程監(jiān)控局域網(wǎng)中移動(dòng)設(shè)備的插拔狀態(tài)，一旦發(fā)現(xiàn)有非法插拔現(xiàn)象時(shí)，還能對(duì)其進(jìn)行及時(shí)攔截。

USB CopyNotify!工具的安裝程序包包含兩個(gè)部分，一部分是客戶端程序，一部分是服務(wù)端程序。其中服務(wù)端程序主要是用來(lái)接受終端計(jì)算機(jī)移動(dòng)設(shè)備的監(jiān)控記錄，并生成日志文件以方便隨時(shí)調(diào)用?？蛻舳顺绦蛑饕怯脕?lái)監(jiān)控插入到終端計(jì)算機(jī)中的移動(dòng)設(shè)備狀態(tài)信息，并對(duì)可疑設(shè)備進(jìn)行放行或攔截操作，同時(shí)將監(jiān)控結(jié)果反饋給服務(wù)端程序。

在本地計(jì)算機(jī)中安裝USB CopyNotify!工具時(shí)，必須從“Choose Components” 向?qū)?duì)話框中選中“USB CopyNotify! Server”選項(xiàng)（如圖4所示），之后使用默認(rèn)設(shè)置完成剩余安裝操作。同樣地，在局域網(wǎng)需要被監(jiān)控的普通計(jì)算機(jī)中安裝USB CopyNotify!工具時(shí)，一定要在“Choose Components”向?qū)?duì)話框中，選中“USB CopyNotify! Client”選項(xiàng)，才能保證遠(yuǎn)程監(jiān)控操作獲得成功。

圖4 Choose Components向?qū)?duì)話框

圖5 USB CopyNotify! Client Configuration

為保證遠(yuǎn)程監(jiān)控的智能效果，客戶端程序在被安裝成功后，能在系統(tǒng)后臺(tái)生成“USB CopyNotify Client Service”的服務(wù)，以實(shí)現(xiàn)跟隨Windows系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行目的。開(kāi)啟客戶端程序的運(yùn)行狀態(tài)后，首先進(jìn)入其配置界面，在“IP Address”位置處輸入服務(wù)器端計(jì)算機(jī)的IP地址，當(dāng)然也可以在“Machine Name”位置處直接輸入服務(wù)器端計(jì)算機(jī)的名稱，如果在這里輸入“Localhost”名稱（如圖5所示），那就意味著服務(wù)器端程序和客戶端程序安裝在相同的計(jì)算機(jī)中，那么USB CopyNotify!工具監(jiān)控的將是本地移動(dòng)設(shè)備狀態(tài)。 在“Block USB”設(shè)置選項(xiàng)處，選中“Unblock USB Drive”選項(xiàng)，表示對(duì)移動(dòng)設(shè)備的插拔操作進(jìn)行放行，選 中“Block USB Drive”選項(xiàng)，表示對(duì)移動(dòng)設(shè)備的插拔操作進(jìn)行攔截。

USB CopyNotify!工具能夠?qū)σ苿?dòng)設(shè)備的各種操作狀態(tài)進(jìn)行自動(dòng)監(jiān)控，其各種監(jiān)控動(dòng)作都會(huì)列寫(xiě)在“Select Alert”列表中，具體有移動(dòng)設(shè)備的移除、移動(dòng)設(shè)備的插入、移動(dòng)設(shè)備的攔截，還有在移動(dòng)設(shè)備上修改文件、更名文件、刪除文件和添加文件，甚至還有關(guān)機(jī)、進(jìn)入節(jié)電模式、啟動(dòng)結(jié)束USB CopyNotify!程序等?？梢砸勒諏?shí)際情況，在“Select Alert”列表中勾選合適的監(jiān)控項(xiàng)目，同時(shí)在“Path of Execute to be Run”位置處按下“Browse”按鈕，彈出“文件選擇”對(duì)話框，選中并導(dǎo)入合適的應(yīng)用程序，日后一旦USB CopyNotify!工具監(jiān)控到移動(dòng)設(shè)備的特定動(dòng)作時(shí)，就能自動(dòng)運(yùn)行指定的應(yīng)用程序，實(shí)現(xiàn)智能報(bào)警目的（如圖6所示）。

為了能夠正確接受到來(lái)自客戶端程序的監(jiān)控結(jié)果，還需要對(duì)服務(wù)器端程序進(jìn)行合適的配置。當(dāng)服務(wù)器端的USB CopyNotify!工具啟動(dòng)后，會(huì)在系統(tǒng)托盤區(qū)域處生成該程序的快捷圖標(biāo)，用鼠標(biāo)右鍵點(diǎn)擊該快捷圖標(biāo)，單擊快捷菜單中的“Settings”命令，進(jìn)入服務(wù)器端程序配置對(duì)話框。選中“Send Mail”選項(xiàng)，強(qiáng)制服務(wù)器端程序在接受到來(lái)自客戶端的監(jiān)控結(jié)果后，將監(jiān)控結(jié)果發(fā)送到特定的電子信箱中。在“Mail To”位置處設(shè)置好收件人的地址，在“Mail From”位置處設(shè)置好發(fā)件人地址，在“SMTP Server”位置處輸入本地郵件服務(wù)器的IP地址，倘若郵件服務(wù)器需要進(jìn)行安全認(rèn)證，不妨同時(shí)選中“Require Authentication”選項(xiàng)，再正確輸入好登錄郵件服務(wù)器的賬號(hào)和密碼即可。默認(rèn)狀態(tài)下，當(dāng)服務(wù)器端程序接受到來(lái)自客戶端的移動(dòng)設(shè)備監(jiān)控結(jié)果時(shí)，系統(tǒng)托盤區(qū)域處會(huì)出現(xiàn)相關(guān)的提示信息，如果選中了“Disable Balloon Message”功 能 選項(xiàng)，則能將報(bào)警提示功能關(guān)閉掉。如果選中“Enable Log”選項(xiàng)，將開(kāi)啟日志保存的功能，來(lái)自動(dòng)存儲(chǔ)客戶端程序發(fā)送過(guò)來(lái)的移動(dòng)設(shè)備監(jiān)控結(jié)果，點(diǎn)擊“瀏覽”按鈕定義好日志文件的存儲(chǔ)路徑，如圖7所示。

圖6 顯示Select Alert”列表設(shè)置

圖7 服務(wù)器端程序配置

圖8 Apply filters過(guò)濾設(shè)置

首先選擇“Apply Filters”按鈕，切換到“過(guò)濾設(shè)置”對(duì)話框（如圖8所示），在這里可以對(duì)移動(dòng)設(shè)備的監(jiān)控結(jié)果進(jìn)行按需過(guò)濾，也包括之前介紹的所有移動(dòng)設(shè)備操作類型，在不同類型的“Log”位置處，可以選擇是否要對(duì)特定監(jiān)控類型進(jìn)行追蹤記錄，在“Email”位置處可以選擇是否要對(duì)管理人員發(fā)送報(bào)警郵件，而在“Balloon”位置處則可以決定是否要關(guān)閉信息提示功能，在完成所有設(shè)置后，點(diǎn)擊“Save”按鈕保存。

要想讓監(jiān)控報(bào)警效果更顯著，可選中“Play Sound for Insert and Remove USB Device Messages” 選項(xiàng)，激活“Browse”按鈕，按下該功能后彈出“文件選擇”對(duì)話框，導(dǎo)入合適的聲音文件。