반응형
사내에서 많이 안쓰이지만 특이하게 사용될때가 있다.
보통은 사내에서 DLP 보안 솔루션을 통해 USB가 통제되고 있지만 셋팅 전에 PC라면 보안상 테스트 IP에서는
내부 공유 폴더에 접근을 할 수 있는 경우도 있다.
이어서 보면 USB를 사용하고 기록을 지워야된다면?
또한 사내 IT 감사 / 인증심사 / 외부 단체 감사 등 감사에서 USB 사용 이력을 찾는 경우가 있다.
하지만 이는 사용자 PC에 레지스트리에 모든 정보가 담겨서 저장 되어있다.
이를 찾아서 뽑아내면 그 사용자가 어느 USB로 사용햇는지 모든 기록을 알 수 있다.
1. c:\windows\inf\setupapi.*.log
해당 파일은 USB 연결 여부 확인 / 시각 / 장치 설치 과정을 확인 할 수 있는 파일이다.
기본적으로 확인 하는 파일은 setupapi.dev.log 파일이다.
2. 이벤트 뷰어 확인
시작 > 이벤트 뷰어
Windows 로그 > 시스템 > 현재 로그 필터링
이벤트 원본 > DriverFrameworks-UserMode
로그파일에 기록된 날짜 확인 작업
3. 레지스트리 위치 확인
- \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
: USB 제조회사 / 제품명 / SN / 연결시각 확인
* 시리얼번호 : 숫자로 이루어져있지 않고 &으로 연결되어있는 경우 PnP가 임의로 생성한 번호
4. 로그 파일 삭제
del /f /q c:\windows\inf\setupapi.*.log
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR" /va /f반응형
'ETC > Software' 카테고리의 다른 글
| [Windows10]기본 연결 프로그램 확인 (0) | 2020.03.08 |
|---|---|
| [BAT]Windows 10 정품 인증 배치파일 (0) | 2020.03.08 |
| [BAT]Windows 10 기본 앱 삭제 스크립트 (0) | 2020.03.06 |
| [BAT]Windows Defender 종료 방법 (0) | 2020.03.05 |
| [BAT]프린터 출력 에러시 사용 배치파일 (0) | 2020.03.04 |
