Инвентаризация USB drive

Ответить
Аватара пользователя
masyan
Сообщения: 2
Зарегистрирован: 11 окт 2013 17:22
Контактная информация:

Инвентаризация USB drive

Сообщение masyan » 15 окт 2013 17:01

Продублирую топик с сошиал.течнет. Интересуют различные мнения.

Есть в инвентаризации hardware SCCM 2012 класс USB Device.

Задача - собирать информацию о подключенных USB флэш-накопителях c датой подключения.

Информация попадает в базу при очередном цикле инвентаризации, которая находится в политике агента. Соответственно, если во время этого цикла устройство не было подключено, его нет и в базе, что и логично.

Вопрос следующий. Правильно ли создать политику агента, в которой будет добавлен только один класс USB Device и запускать цикл инвентаризации, например каждые 5 минут.

Я просто слабо представляю, стоит ли такую задачу решать с помощью SCCM. Кто, что подскажет?

ЗЫЖ http://gallery.technet.microsoft.com/SC ... B-03b44d55 да, это читал. )

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Инвентаризация USB drive

Сообщение Алексей Максимов » 15 окт 2013 19:00

Антон, а чисто скриптовые варианты сбора такой статистики не рассматривали?
Вот пример навскидку http://gallery.technet.microsoft.com/sc ... 69e2a10a75
Почему сразу подумал про чтото более лёгкое, потому-что запускать HW Inventory каждые 5 минут ... сомнительное удовольствие с точки зрения производительности клиента.
На самом деле надо смотреть в корень вопроса и понять в чём подоплёка такой задачи )) ?
Возможно от ответа на этот вопрос и будет зависеть вариант выбора конкретной реализации.

Аватара пользователя
masyan
Сообщения: 2
Зарегистрирован: 11 окт 2013 17:22
Контактная информация:

Re: Инвентаризация USB drive

Сообщение masyan » 15 окт 2013 19:45

задача такая:
есть 500+ клиентов, географически распределенных.
на выходе надо получить отчет "где и когда" была подключена флэшка в виде: COMPUTERNAME - DATE - TIME
Подоплёка такая: заказчику надо и они в поисках счастья, а что они собираются делать с этим списком, это тайна за семью печатями. ))

За скрипт спс, интересно, завтра потестирую.

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Инвентаризация USB drive

Сообщение Алексей Максимов » 16 окт 2013 05:28

Подкину ещё ряд вариантов решения поставленной задачи:

1) Собирать данные из евент-логов Windows.
Пример такого сбора http://habrahabr.ru/sandbox/35742/
Сам факт регистрации таких событий в системе предположительно можно вызвать включив в групповых политиках расширенный аудит, хотя не уверен - утверждать не буду.


2) Сбор подробной технической информации (фактически дамп) об использовании USB с помощью сборщика logman
http://msdn.microsoft.com/en-us/library ... s.85).aspx
http://msdn.microsoft.com/en-us/library ... s.85).aspx
http://msdn.microsoft.com/en-us/windows ... 63163.aspx
Это, как я думаю, самый полный и даже избыточный вариант сбора.
Однако здесь встаёт вопрос о правильной интерпретации и дополнительной обработке полученных результатов

3) Ещё возможно будет полезна информация о том, что подключаемые USB устройства регистрируются в ключах реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Как вариант - думать над реализацией мониторинга изменений этих ключей реестра. А это уже тема для отдельного разговора.

4) Покрутите утилиту USBLogView (вроде бы бесплатная)
http://www.nirsoft.net/utils/usb_log_view.html

5) Если Заказчик готов платить за специализированные решения (в разумных пределах), то посмотрите софтину "Блокировка USB"
(одна из функций - как раз только аудит)
http://www.everstrike.com/everstrike.ru/blockingusb/

Аватара пользователя
Виталий Якоб
Администратор сайта
Сообщения: 30
Зарегистрирован: 19 сен 2013 09:52

Re: Инвентаризация USB drive

Сообщение Виталий Якоб » 16 окт 2013 08:05

Поиграл я у себя базой данных SCCM.
По сути можно использовать от рецепт, что даёт тот индус или испанец, кто он там? :)
Немного порывшись в базе данных, я нашёл ещё и вьюху: v_HS_USB_DEVICE
Таблица:

Код: Выделить всё

SELECT Caption00, Description00,Service00, Status00, SystemName00, TimeKey
FROM [CM_K01].[dbo].[USB_DEVICE_HIST]
Where (Service00 = 'usbstor' or Service00 = 'disk')
Вьюха:

Код: Выделить всё

SELECT [SystemName0], [Caption0], [Description0], [Service0], [TimeStamp]
FROM [CM_K01].[dbo].[v_HS_USB_DEVICE]
Where (Service0 = 'disk' or Service0 = 'USBStor')
Есть небольшие отличия в полях, а так вроде тоже самое.


Да, ты можешь настроить политику клиента на более частый опрос только USB, развернуть её на отдельную коллекцию, нужно только не забыть про приоритеты политик.
Но будет ли толк от уменьшения частоты опроса? Пользователь может вставить флешку, скопировать что-то и вытащить её и потратит на это одну-две минуты. Мне кажется, если проводить запрос каждые 3-4 часа, этого будет вполне достаточно.

Возможно заказчик хочет видеть, кто использует сменные накопители, а кто нет.

Можешь создать отчёт по руководству и настроить подписку, пусть получают заказчики этот отчёт хоть каждый день/неделю автоматически. :)

Если нужно действительно детальный вывод подключения всех сменных накопителей, то на рабочие станции нужно вешать прослушиватель, который например будет скидывать определённые строки в текстовый файл, который ты сможешь парсить например элементами конфигурации SCCM.

Ответить

Вернуться в «System Center Configuration Manager»