对USB设备的访问进行日志审核

之前有人提过这个问题:如何使用SCOM对USB设备的插入进行监视?
有人回答可以对相关选项进行审计，不过没有详谈（有点保密的色彩吧，估计是内部文档）。今天花了点时间google下，有台湾的同志介绍经验，对usb的设备驱动读取进行审计来实现.

看了感觉不错就摘抄过来。

1、打开相关审计功能
默认情况下什么都不审计，需要在策略管理器里打开对对象的审计。



图是直接考来的，英文不是很复杂就不翻译了

2、对相关的注册表值进行审计



实验了一下，插了个USB光驱，审计里立刻多了一大把ID为560、562的，具体的内容应该是对每一种设备进行对比.....如果没有插过usb设备还好，插过USB设备就会留下一条相关设备的记录，插的越多，比对的越多...

有时间研究一下，看看能不能简化了，不然只能知道对方插了usb存储设备，具体插了什么却不好判断