移动设备安全使用全监控
2016-11-26
引言:移动设备凭借插拔方便、操作简便等特点,受到了越来越多用户的青睐。不过,它在给数据移动存储带来方便的同时,也带来不小的安全隐患。有必要采取措施加强对移动设备插拔状态进行全监控,以杜绝移动设备的混乱使用。
移动设备凭借插拔方便、操作简便等特点,受到了越来越多用户的青睐。不过,它在给数据移动存储带来方便的同时,也带来不小的安全隐患。为保护系统运行安全,有必要采取措施加强对移动设备插拔状态进行全监控,以杜绝移动设备的混乱使用。
监控染毒状态
不少病毒都能利用移动设备进行传播,如何监控在本地计算机系统中偷偷插拔过带毒的移动设备,不需要借助外力工具帮忙就能查看到插入到本地计算机中的所有移动设备以及其ID,以下就是详细的监控操作步骤:
图1 MS-DOS命令行窗口
首先逐一点击“开始”、“运行”选项,展开“运行”对话框,打开“MS-DOS命令行”窗口。在该窗口命令行提示符状态下,执行“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”字符串命令,Windows系统就会自动将插入到本地计算机中的所有移动设备信息列出,如图1所示。当然,执行“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”命令后,Windows系统有时会返回大量的结果信息,这些信息不能在一屏界面中显示完,为了可以准确查看到监控结果,不妨在MS-DOS工作窗口中,输入字符串命令“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s >H:123.txt”,将命令返回结果输出到“H:123.txt”文本文件中。日后,启动运行记事本程序,打开“H:123.txt”文本文件,在该文件编辑界面中依次单击菜单栏中的“编辑”、“查找”命令,将“FriendlyName”关键字全部查找出来,同时将每个关键字后面的品牌信息逐一记录下来,这样就能将所有可疑的移动硬盘全部搜索出来。
有时局域网中很多员工使用的移动设备都是同一品牌,这时以上方法显然行不通。由于Windows系统默认会为插入的每一只移动硬盘分配一个设备ID,同时该设备ID是唯一的,很明显,可以利用设备ID来判断是否有用户在本地计算机中使用过移动硬盘。
首先将自己使用的移动硬盘插入到本地计算机中,进入“计算机”窗口,用鼠标右击移动硬盘图标,点击“属性”命令,切换到特定移动硬盘属性对话框,选择“详细信息”选项卡,在对应选项设置页面的“设备范例ID”或“设备实例路径”设置项处,手动记下自己移动硬盘的设备ID。
接着打开本地计算机的“开始”菜单,单击“运行”命令,弹出系统运行对话框,输入“cmd”命令并回车,切换到DOS命令行窗口。在该窗口命令行提示符下输入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”字符串命令,从返回的结果信息中手工记下“Disk&Ven”关键字后面的设备ID,一旦看到结果信息中存在多个不同移动硬盘的设备ID时,那就表示肯定有其他用户悄悄在本地计算机中使用过移动硬盘。
监控本地状态
当在本地计算机中插拔移动设备时,Windows系统会在后台自动监控并记忆它的状态信息。借助外力工具USBDeview,能轻松地读取系统监控到的内容。
图2 USBDeview程序界面
图3 痕迹清理
开启USBDeview工具,打开如图2所示的程序界面,从中能看到所有移动设备的插拔记录,包括历史的和当前的插拔信息。
对于正处于插入状态的移动设备,如果要详细查看某个移动设备的插拔状态时,可以从主界面的移动设备列表中,选择目标移动设备选项,鼠标右击打开菜单中的“Properties”命令,切换到对应设备属性对话框,可看到详细的插拔信息。
当然,也可以将本地移动设备插拔状态的监控记录导出成文件,以便日后查询。在进行该操作时,先从设备列表界面中选择特定监控记录,右击打开菜单“Html Report Selected Items”命令,这样就能将选中的移动设备插拔状态导出成HTML格式的文件了。如果要将所有移动设备的插拔状态导出成HTML文件时,只要执行快捷菜单中的“Html Report All Items”命令即可。
值得注意的是,在特定场合下,有时需将移动设备的插拔状态记录从计算机系统中抹除掉,以防止用户操作隐私的外泄。只要使用电脑清理工具,选中“USB设备使用痕迹”选项(如图3所示),再逐一按下“开始扫描”按钮和“立即清理”按钮,可快速抹除干净移动设备的插拔状态记录。
监控远程状态
在实际工作中,常常要监控局域网其他计算机中的移动设备插拔状态,这该如何实现呢?使用USB CopyNotify!外力工具能方便地远程监控局域网中移动设备的插拔状态,一旦发现有非法插拔现象时,还能对其进行及时拦截。
USB CopyNotify!工具的安装程序包包含两个部分,一部分是客户端程序,一部分是服务端程序。其中服务端程序主要是用来接受终端计算机移动设备的监控记录,并生成日志文件以方便随时调用。客户端程序主要是用来监控插入到终端计算机中的移动设备状态信息,并对可疑设备进行放行或拦截操作,同时将监控结果反馈给服务端程序。
在本地计算机中安装USB CopyNotify!工具时,必须从“Choose Components” 向导对话框中选中“USB CopyNotify! Server”选项(如图4所示),之后使用默认设置完成剩余安装操作。同样地,在局域网需要被监控的普通计算机中安装USB CopyNotify!工具时,一定要在“Choose Components”向导对话框中,选中“USB CopyNotify! Client”选项,才能保证远程监控操作获得成功。
图4 Choose Components向导对话框
图5 USB CopyNotify! Client Configuration
为保证远程监控的智能效果,客户端程序在被安装成功后,能在系统后台生成“USB CopyNotify Client Service”的服务,以实现跟随Windows系统启动而自动运行目的。开启客户端程序的运行状态后,首先进入其配置界面,在“IP Address”位置处输入服务器端计算机的IP地址,当然也可以在“Machine Name”位置处直接输入服务器端计算机的名称,如果在这里输入“Localhost”名称(如图5所示),那就意味着服务器端程序和客户端程序安装在相同的计算机中,那么USB CopyNotify!工具监控的将是本地移动设备状态。 在“Block USB”设置选项处,选中“Unblock USB Drive”选项,表示对移动设备的插拔操作进行放行,选 中“Block USB Drive”选项,表示对移动设备的插拔操作进行拦截。
USB CopyNotify!工具能够对移动设备的各种操作状态进行自动监控,其各种监控动作都会列写在“Select Alert”列表中,具体有移动设备的移除、移动设备的插入、移动设备的拦截,还有在移动设备上修改文件、更名文件、删除文件和添加文件,甚至还有关机、进入节电模式、启动结束USB CopyNotify!程序等。可以依照实际情况,在“Select Alert”列表中勾选合适的监控项目,同时在“Path of Execute to be Run”位置处按下“Browse”按钮,弹出“文件选择”对话框,选中并导入合适的应用程序,日后一旦USB CopyNotify!工具监控到移动设备的特定动作时,就能自动运行指定的应用程序,实现智能报警目的(如图6所示)。
为了能够正确接受到来自客户端程序的监控结果,还需要对服务器端程序进行合适的配置。当服务器端的USB CopyNotify!工具启动后,会在系统托盘区域处生成该程序的快捷图标,用鼠标右键点击该快捷图标,单击快捷菜单中的“Settings”命令,进入服务器端程序配置对话框。选中“Send Mail”选项,强制服务器端程序在接受到来自客户端的监控结果后,将监控结果发送到特定的电子信箱中。在“Mail To”位置处设置好收件人的地址,在“Mail From”位置处设置好发件人地址,在“SMTP Server”位置处输入本地邮件服务器的IP地址,倘若邮件服务器需要进行安全认证,不妨同时选中“Require Authentication”选项,再正确输入好登录邮件服务器的账号和密码即可。默认状态下,当服务器端程序接受到来自客户端的移动设备监控结果时,系统托盘区域处会出现相关的提示信息,如果选中了“Disable Balloon Message”功 能 选项,则能将报警提示功能关闭掉。如果选中“Enable Log”选项,将开启日志保存的功能,来自动存储客户端程序发送过来的移动设备监控结果,点击“浏览”按钮定义好日志文件的存储路径,如图7所示。
图6 显示Select Alert”列表设置
图7 服务器端程序配置
图8 Apply filters过滤设置
首先选择“Apply Filters”按钮,切换到“过滤设置”对话框(如图8所示),在这里可以对移动设备的监控结果进行按需过滤,也包括之前介绍的所有移动设备操作类型,在不同类型的“Log”位置处,可以选择是否要对特定监控类型进行追踪记录,在“Email”位置处可以选择是否要对管理人员发送报警邮件,而在“Balloon”位置处则可以决定是否要关闭信息提示功能,在完成所有设置后,点击“Save”按钮保存。
要想让监控报警效果更显著,可选中“Play Sound for Insert and Remove USB Device Messages” 选项,激活“Browse”按钮,按下该功能后弹出“文件选择”对话框,导入合适的声音文件。