Лог подключения устройств windows 10

Обновлено: 05.07.2024

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

  • Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
  • Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
  • Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

Брандмауэр Windows

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Брандмауэр Windows: Дополнительные параметры

Вы увидите следующий экран настроек:

Брандмауэр Windows в режиме повышенной безопасности

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий - хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Частный профиль. Ведение журнала

Рассмотрим, что означает каждый профиль:

  • Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
  • Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети - именно данный профиль вы скорее всего будете использовать.
  • Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Частный профиль. Ведение журнала

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Брандмауэр Windows

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

Журнал сетевой активности

  1. Дата и время подключения.
  2. Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
  3. Тип подключения - TCP или UDP.
  4. По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями - они могут быть совершены вредоносными программами.
  5. Был ли успешно отправлен или получен пакет данных.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

Ни для кого уже не секрет, что информация о разного рода активности многочисленных компонентов операционной системы попадает в реестр и файлы в виде записей заданного формата. При этом, информация эта нередко содержит чувствительные пользовательские данные: историю посещенных браузером страниц, кеш данных программ, информацию о подключаемых устройствах и многое многое другое.

Следы подключения USB устройств, содержащиеся в виде различных данных в файлах/реестре, принято называть артефактами.

Система создает артефакты в момент обнаружения (инициализации) устройства (сменных накопителей, модемов, гаджетов, камер, медиаплееров и прч.) на шине компьютера. Дополнительным плюсом данного материала будет возможность сбора доказательной базы по факту неправомерного использования рабочей станции пользователя в корпоративной среде при помощи незадекларированных USB-устройств.

Все данные о подключениях USB хранятся в реестре Windows в этих ветках:


Очистка этих разделов позволит ускорить подключение новых USB устройств и работу системы в целом.

История USB подключений программами

Идеальным для меня способом является использование специальных программ. Я представлю две программы, у каждой есть свои достоинства. Для вашего удобства в конце статьи я прикрепил архив для скачивания всех программ разом.

История USB подключений программой USBDeview

USBDeview — это маленькая, бесплатная программа для просмотра и анализа истории подключения USB- устройств, таких как флешка, внешний жесткий диск, смартфон, планшет, USB мышка, клавиатура и т.д.

Автор программы известный Израильский программист Нир Софер, который написал большое количество бесплатных, полезных приложений.

Использование USBDeview

После того как скачали, разархивируйте и запустите файл «USBDeview.exe». Версия портабельная, т.е не требует установки, и после запуска мгновенно запустится. Быстренько просканировав компьютер USBDeview отобразит список всех ранее подключенных USB-устройств.

Вот какую информацию может показать программа:

  • Имя устройства
  • Описание
  • Первое подключение
  • Последнее подключение
  • Буква диска
  • Серийный номер
  • Производитель устройства
  • Версия USB

Есть еще куча другой информации, но большинству для того чтобы отследить кто и когда подключал к компьютеру флешку наверное хватит даты подключения, названия и описания USB-устройства. Кроме этого программа может отключить, включить, удалить а также запретить USB устройства. Если вы собираетесь проделывать какую-нибудь из этих вышеперечисленных операций, то я настоятельно рекомендую сделать предварительно бекап или точку восстановления системы.

История USB программой USB History Viewer

Следующая программа с которой я хочу вас познакомить — это USB History Viewer. Утилита отображает информацию только о подключенных флешках и внешних жестких дисках.

Использование USB History Viewer

Запускаем программу и видим три поля.

  1. Computer name — Имя компьютера
  2. Authentication — Авторизация
  3. Get USB History — Список флешек


В первом поле выбираем компьютер. Во втором поле прописываем данные авторизации и нажимаем Start. Если необходимо вытащить информацию по текущему компьютеру и пользователю, то нечего не меняем, оставляем все поля как есть. Главным достоинством является умение вытаскивать историю использование флешек удаленно в локальной сети, но это требует логина и пароля удаленной машины.

На этом все, друзья. Надеюсь вам помогла данная статья и вы смогли посмотреть историю подключения USB. В целом это очень нужные программы, которыми надо уметь пользоваться, иметь у себя в архиве программ, ну или хотя бы как минимум знать об их существовании.

Как определить, что у компьютера есть еще и «другая жизнь», о которой владелец не знает?

Любое устройство, подключаемое к системе – оставляет свои следы в реестре и лог файлах.

Существует несколько способов определить — какие USB-Flash-накопители подключались к устройству:

1) С использованием специальных программ

Если нужно знать, что именно копировалось с/на компьютер – используем этот способ. При условии соблюдения политик безопасности и с помощью специального софта можно не только отследить, что в компьютер вставлялся USB flash диск, но и логгировать имена файлов, которые копировались с/на диск, и содержимое этих копируемых файлов.

С помощью специальных программ можно проконтролировать доступ не только к USB flash-дискам, но и ко всему спектру съемных устройств, принтеров и сканеров.

Специализированного софта по данной теме можно перечислить много, например – SecureWave Sanctuary Device Control / Lumension Device Control, DeviceLock, GFi EndPointSecurity, InfoWatch Device Monitor и т.п. Выбор конкретного софта зависит от конкретных условий применения.

2) Ручной – самостоятельно просматриваем реестр

Все данные о подключениях USB хранятся в реестре в этих ветках:

В первой (USBSTOR) отображаются устройства-носители (как правило флеш-накопители), во- второй (USB) – телефоны, камеры, мышки и т.д.

Рис.1 – Редактор реестра. Информация о флеш-накопителях ​

Для того, чтобы узнать дату и время подключения можно экспортировав нужный раздел в файл с расширением txt.

Рис.2 – Редактор реестра. Экспорт USBTOR ​

Рис.3 – Редактор реестра. Результат экспорта ​

В данном примере флешка была вставлена в USB порт 29.10.2019 - 13:21.

Так же можно экспортировать раздел USBSTOR в файл с расширением txt.

Рис.4 – Редактор реестра. Экспорт USB ​

Затем запускаем поиск устройств MTP (латинскими).

Рис.5 – Редактор реестра. Экспорт USB ​

Находим дату и время подключения мобильного телефона (в данном примере) к USB компьютера. Так же по поиску устройств MTP могут находиться фотоаппараты и планшеты.

Из практики:

Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительную истории о флешках, разбросанных по парковкам. Это был обычный эксперимент, проведенный в студенческом кампусе Университета штата Иллинойс, с несколькими сотнями утерянных флешек, на которых был записан безобидный скрипт, сообщающий о подключении USB-накопителя к компьютеру. Итог – 45% утерянных флешек были подключены в течении 10 часов после начала эксперимента.

Еще одно событие, произошедшее в прошлом году. В изолированную сеть атомной электростанции попало вредоносное ПО. Причина – сотрудник, для решения задач предприятия, использовал USB со скачанным для семейного просмотра фильмом.

Помните, что даже личные накопители сотрудников (флешки, карты памяти) способны нанести компании урон не меньший, чем внешняя атака.

Всем здравия!

Сегодняшняя заметка будет посвящена одной "простой" задаче — просмотру подключенных устройств к ПК (телефоны, флешки, адаптеры, принтеры и т.д. и т.п.).

Вообще, большинство пользователей привыкло получать эту информацию в "Моем компьютере". Однако, ряд устройств — там не отображается (я уж не говорю о тех устройствах, которые в настоящее время уже отключены от USB-порта, скажем (а ведь про них тоже можно кое-что узнать!)).

Примечание : ниже я затрону только универсальные способы решения вопроса, которые актуальны для разных версий Windows Vista*, 7, 8, 10.

ускорение ПК

Смотрим устройства

Подключенные в настоящее время

Вариант 1: мой компьютер + панель управления

Как сказал выше, это наиболее очевидный и простой вариант (правда, в "Моем компьютере" можно увидеть только флешки, диски, телефоны. (принтеров и сканеров, например, здесь нет) ).

Телефон подключен к USB-порту!

Телефон подключен к USB-порту!

В ней необходимо открыть раздел "Оборудование и звук" — там прежде всего интересны 2 вкладки: "Устройства и принтеры" и "Звук" .

Панель управления — находим джойстики, принтеры, сканеры и т.д.

Панель управления — находим джойстики, принтеры, сканеры и т.д.

Во вкладке "устройства и принтеры" можно увидеть все подключенные принтеры, сканеры, мышки, джойстики, и др. устройства мультимедиа.

Устройства и принтеры

Устройства и принтеры

Что касается каких-нибудь аудио-карт, микрофона и пр. — то их можно найти во вкладках "Воспроизведение" и "Запись" . Причем, в этой же вкладке эти устройства можно настроить: задать чувствительность, громкость, убрать шумы и т.д.

Воспроизведение, запись

Вариант 2: диспетчер устройств

Диспетчер устройств — это системная программа Windows, которая отображает всё подключенное оборудование. Кроме этого, в нем есть:

  • возможность отключить (и настроить) любое* из устройств;
  • возможность обновить драйвер (или выбрать один наиболее стабильный из нескольких);
  • диагностировать и устранить* конфликты меж разными устройствами, и многое другое.

Запуск диспетчера устройств - devmgmt.msc

Запуск диспетчера устройств - devmgmt.msc

Примечание : устройство, для которого не установлен драйвер — обычно располагается во вкладке "Другие устройства".

Диспетчер устройств!

Которые когда-то подключали к USB, но сейчас они отключены от компьютера

Не многие пользователи знают, что Windows запоминает все те устройства, которые вы когда-либо подключали к компьютеру (дату, их модель, тип и т.д.).

Нас в первую очередь интересуют USB-устройства — информация о них хранится в двух ветках реестра:

  • HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
  • HKLM\SYSTEM\CurrentControlSet\Enum\USB

*

USBDeview (линк)

"Маленькая" утилита, которая выводит список всех USB-устройств, которые когда-либо подключали к вашему ПК.

Разумеется, по каждому устройству можно будет посмотреть: дату и время, тип, идентиф. номера и т.д.

*

Кстати, USBDeview позволяет не только заниматься "просмотром", но также есть опции для деинсталляции устройства, его запрета, подготовки отчета и др.

USBDeview — смотрим когда подключалась флешка к компьютеру

USBDeview — смотрим, когда подключалась флешка к компьютеру

Кстати, если раскрыть свойства конкретного устройства — то здесь достаточно много информации о нем: имя, его тип, дата подкл., ID-производителя, класс и пр.

Имя устройства, дата подключения и пр.

Имя устройства, дата подключения и пр.

Что делать, если компьютер не видит устройство: флешку, телефон и т.д.

Это вопрос популярный, но не однозначный (и причин этому десятки!). Здесь я укажу лишь общие моменты, с которых нужно начать диагностику.

  1. сначала проверьте само устройство (телефон, флешку, карту памяти и т.д.) на другом ПК. Работает ли оно там?
  2. далее проверьте USB-порт проблемного компьютера — видит ли он другие устройства? Если USB-порт не работает — ознакомьтесь с этим;
  3. если вы используете удлинители, различные разветвители, адаптеры USB и пр. — на время диагностики отключите их;
  4. попробуйте задействовать USB-порты не только на передней панели системного блока, но и на задней (это для ПК);
  5. посмотрите, есть ли в диспетчере устройств контроллеры USB;

Корневой USB-концентратор

При отсутствии — проверьте, что у вас в BIOS/UEFI включен USB-контроллер!

Столкнулся с проблемой после установки новой системы.

Записи следующего плана:

< Event xmlns color: rgba(255, 0, 0, 1)">http://schemas.microsoft.com/win/2004/08/events/event " >

< Provider Name color: rgba(0, 0, 255, 1)">" Guid color: rgba(0, 0, 255, 1)">" /> < Keywords > 0x8000000000000000 </ Keywords > < Execution ProcessID color: rgba(0, 0, 255, 1)">" ThreadID color: rgba(0, 0, 255, 1)">" /> < Channel > Microsoft-Windows-DeviceSetupManager/Operational </ Channel >

Больше никаких записей нет.

Возможно есть ещё какой-то журнал или может уровень логирования можно поменять чтобы логов больше было. Подскажите в какую сторону копать?

CPU: Core i7 6950X@4000 Mhz

MB: Rog Rampage V edition 10

RAM: Kingston 8GBx8 XMP 2800 Mhz

SSD: Samsung 950 pro 512 Gb

SSD: 2xSSD OCZ Vector Raid 0

HDD: 6x6tb Seagete enterprise v4 Raid 10

GPU: 2xGTX1080 ASUS ROG Strix

PSU: Corsair AX1500i

Эта цепочка заблокирована. Вы можете просмотреть вопрос или оставить свой голос, если сведения окажутся полезными, но вы не можете написать ответ в этой цепочке.

Добрый день, Matrix_ufa .

Сожалею о данной проблеме.

Попробуйте проделать следующие операции:

Для начала, перезагрузите ваш компьютер (банально, но это часто решает многие проблемы). Если это не помогло, переходите к следующей рекомендации.

Попробуйте выполнить " чистую загрузку " и проверить устранена ли проблема. Если да, то читайте статью до конца и следуйте

рекомендациям в ней.

  1. Запустите командную строку от имени администратора.
  2. Введите Dism /Online /Cleanup-Image /CheckHealth
  3. Вне зависимости от результатов введите Dism / Online / Cleanup - Image / RestoreHealth

Если возникнут вопросы, пожалуйста, сообщите мне.

Желаю удачи и хорошего дня!

Если вы считаете эту информацию полезной, прошу отметить ее как ответ

1 пользователь нашел этот ответ полезным

К сожалению, это не помогло.

Благодарим за отзыв, он поможет улучшить наш сайт.

Благодарим за отзыв.

В ответ на запись пользователя A. User от 22 октября, 2016

1.Перезагрузка не помогает.

2.Чистая загрузка тоже

Проблема сохраняется. Но я её выяснил её причину. Я использую систему охлаждения Corsair H115i и блок питания Corsair AX1500i 1500W они подключаются напрямую к мат плате через юсб на самой материнской плате. Пробовал подключить к портам на задней панели, но эффект тот же. Если эти девайсы отключить, то эффект пропадает. Причём девайсы в диспетчере устройств не пропадают.

6 польз. нашли этот ответ полезным

К сожалению, это не помогло.

Благодарим за отзыв, он поможет улучшить наш сайт.

Благодарим за отзыв.

В ответ на запись пользователя Matrix_ufa от 26 октября, 2016

Добрый день, Matrix_ufa .

Хорошо, что вы нашли причину, и сообщили здесь о ней.

Возможно, эта информация будет полезна другим членам сообщества.

Возможно, надо установить драйвера либо какое-то свое ПО для данных устройств. В любом случе стоит обратиться в их техподдержку за разъяснениями и рекомендациями по поводу данной проблемы.

Читайте также: