Как можно определить подключалась ли к компьютеру флэшка?

Просто у одного моего друга в организации запрещено использование флэшек и безопасники каким-то образом определяют, что флэшка подключалась. А он (друг) хочет скрывать это.

Я ему посоветовал посмотреть в Журнале событий, но там ничего нет (даже аудит на включён).
Какие могут быть способы?

Определять могут например с помощью такой программы
USBDeview (http://soft.softodrom.ru/ap/p69.shtml)
Скрыть можно отключив или очистив системный журнал и очистить данные об usb устройствах в реестре.

Gangabass
Все устройства прописываются в реестре.
Можно хотябы тут посмотретьHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB у меня аж 46 USB девайсов прописано :)

Хм, грамотные админы обычно просто запрещают утсановку флэшек.

CoooLLerХм, грамотные админы обычно просто запрещают утсановку флэшек.
А грамотная служба безопасности палит кто подключал и щелкает их;)

Зачем боротся с последствиями, если можно исключить причину?

CoooLLerесли можно исключить причину?А вы заодно не хотите поделиться опытом исключения причины?

А вы заодно не хотите поделиться опытом исключения причины?

Запретить установку флешек в систему, в данном случае :wink:

Gangabass
с админами нужно дружить, а не от безопасников прятаться ;) ...иначе при очередной попытке "хака" (!) либо закроют напрочь все лазейки, либо последуют административные меры... а скорей всего и то и другое

с админами нужно дружить, а не от безопасников прятаться ...иначе при очередной попытке "хака" (!) либо закроют напрочь все лазейки, либо последуют административные меры... а скорей всего и то и другое
Да это же не мне нужно, а моему другу. Он таким способом (через флэшку) берёт работу домой. Глупо? Ну что поделаешь, если он трудоголик :-)

GangabassОн таким способом (через флэшку) берёт работу домой. Глупо? Ну что поделаешь, если он трудоголик :-)
Тут уже совсем по другому вопрос стоит. Если в организации запрещено использование флэшек, значит на это есть веские причины. Стало-быть информация не должна покидать стены учреждения в письменном виде (банковская информация, следственная информация...) И тут я полностью согласен с amel27 насчет дружбы с админами. Если админ сочтёт возможным вынести за пределы органицации тот или иной файл(ы), то друг Ваш спокойно и без последствий её вынесет. Если нет - значит нет и точка. USB-порты можно просто физически поотключать, запломбировать.

P.S. У нас в организации на посту охраны установили систему видеонаблюдения, а клавиатуру с мышкой убрали восвояси. Так что вы думаете, охранники умудрялись свои мышки приносить и ночью игры играть. Помогли самоклеющиеся пломбы на соответствующие порты.

пломбы на соответствующие портыУгу. Весьма действенный способ. Еще на 5'25 дисководах срабатывал :)

Можно хотябы тут посмотреть
PHP код:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB »
С USB разобрались вроде, не факт. что это полная информация, возможно где-то еще есть ключи реестра.
Но еще вопрос: а как узнать какие CD\DVD диски вставлялись и когда?