overvåge om ny usb enhed tilsluttes

Der findes en metode i XP til at vise hvilke enheder, der tidligere har været sluttet til computeren. Det beviser at en enhed har været tilsluttet, men det viser jo ikke, hvem der har gjort det, selv om sandsynligheden taler for, at det er den sædvanlige bruger. Det viser heller ikke, hvad der er foretaget med den tidligere enhed tilsluttet.

Hvis metoden viser, at der tidl. har været tilsluttet en USB harddisk, tror I så vedkommende vil indrømme, det er hans harddisk?

Du skal i Enhedshåndtering. Klik Vis og Vis skjulte enheder. Udvid plus-tegn ud for USB Controlere.

Ikke tilsluttede enheder (dvs tidligere tilsluttede) vises med et nedtonet ikon. Højreklik det og vælg Egenskaber for at se detaljere oplysninger om enheden.

Først skal systemet sættes op til at vise disse enheder. Der er to måder

1. Klik Start => Kør skriv cmd, klik ok. Udfør kommandoen
set devmgr_show_nonpresent_devices=1

eller...
2. Højreklik Denne computer vælg Egenskaber. Under faneblad Avanceret klik på miljøvariabler. I næste dialogboks klik på Ny og skriv devmgr_show_nonpresent_devices. Giv den værdien 1. Klik Anvend og OK.
------------

Det er vist svar på om en enhed har været tilsluttet en USB port. Tror ikke der er noget i nogen logfiler.
Kan rådet bruges, så giv lige feed back. :-)

Kom til at tænke på at Microsoft har en lille snedig utility til NT, og den virker selvfølgelig fint til min stand alone XP. Jeg ser den ikke omtalt så tit, så den er måske ikke så kendt??

UPTIME.EXE
Uptime Reliability and Availability Information Tool

Uptime is a simple command line tool that analyzes a single server for reliability and availability information. It can work locally or remotely. In its simple form, the tool will display the current system uptime. An advanced option allows you to access more detailed information such as shutdown, reboots, operating system crashes, and Service Pack installation.

Hent den her
http://www.microsoft.com/ntserver/nts/downloads/management/uptime/default.asp

Når jeg kører kommandoen uptime /s
viser den Uptime og Downtime (Boot & Shutdown) tilbage til 01-7-2005. Ret så snedigt.

Den kan vise om der har været en Boot og Shutdown - dato og klokkeslet- uden for jeres normale arbejdstid, hvis der er mistanke om det er sket i sådant tidsrum.
- Lyder som en ret kedelig sag.

Man kan tilsyneladende gøre sådan at USB diske bliver read only på maskinerne, se denne artikel: http://www.petri.co.il/configure_usb_disks_to_be_read_only_in_xp_sp2.htm

Hvis de er read only kan man ikke gemme informationer på dem.....

Mere info om UPTIME.EXE
http://support.microsoft.com/kb/q232243/

Uptime depends on the Event log for the data it uses to calculate availability. The tool is not able to make calculations prior to the beginning of the Event log. If the Event log is cleared, no calculations are possible. Certain settings can be disabled limiting the accuracy of this tool. For example, writing an event when the system stops responding and displays a blue screen error message or disabling Dr. Watson for program error messages.

james_t_dk - Ganske godt råd for at hindre noget lignende i fremtiden.

Men synes du, det lige er svar på, hvad der spørges om??  ER sket i fortiden.

Halifax, enig det er ikke hvad der bliver spurgt om. Men hellere forebygge end at helbrede. Og nu har han muligheden for at forebygge at det sker igen, istede for at surfe logfiler efter noget der måske/måske ikke sker.