Detección de USB mediante script WMI - inteligenciaes

Detección de USB mediante script WMI

Las unidades flash USB son muy comunes y se pueden encontrar en casi todos los entornos informáticos para almacenar y transferir datos entre computadoras. Estos dispositivos USB hacen que sea realmente fácil para un atacante potencial explotar computadoras desprotegidas con virus maliciosos y software troyano y proporcionan una puerta de entrada a la red para manipular datos confidenciales.

Detección de dispositivos de almacenamiento USB

Hay algunas buenas herramientas que se pueden encontrar en la red que notificarán sobre dispositivos USB en plataformas de Windows locales y remotas. Pero la mayoría de ellos no son gratuitos y requerirán la instalación de un agente en las plataformas remotas de Windows.

Script de evento de notificación WMI

El siguiente script de evento de notificación USB enviará un mensaje de evento en respuesta a cualquier operación del dispositivo USB en la plataforma de Windows local o remota. Para simplificar, la secuencia de comandos utiliza una suscripción de eventos temporal, que existe solo mientras se ejecuta la secuencia de comandos. Se necesitarán algunas modificaciones para una suscripción de evento permanente que no requerirá un script de ejecución perpetua:

VBScript (debe copiarse y guardarse como archivo .vbs):

strComputer = “.” ‘(Cualquier nombre o dirección de computadora)

Establecer wmi = GetObject(“winmgmts:” & strComputer & “rootcimv2”)

Establezca wmiEvent = wmi.ExecNotificationQuery(“seleccione * de __InstanceOperationEvent dentro de 1 donde TargetInstance ISA ‘Win32_PnPEntity’ y TargetInstance.Description=’USB Mass Storage Device'”)

Si bien es cierto

Establecer usb = wmiEvent.NextEvent()

Seleccionar caso usb.Path_.Class

Caso “__InstanceCreationEvent” WScript.Echo(“Dispositivo USB encontrado”)

Caso “__InstanceDeletionEvent” WScript.Echo (“Dispositivo USB eliminado”)

Caso “__InstanceModificationEvent” WScript.Echo(“Dispositivo USB modificado”)

Finalizar Seleccionar

Encaminarse a

Lee mas  Dispositivo inalámbrico Bluetooth no encontrado en Windows XP Service Pack 2 - Cómo solucionarlo

JScript (debe copiarse y guardarse como archivo .js):

strComputer = “.”; //(Cualquier nombre o dirección de computadora)

var wmi = GetObject(“winmgmts:” + strComputer + “rootcimv2”);

var wmiEvent = wmi.ExecNotificationQuery(“select * from __InstanceOperationEvent dentro de 1 donde TargetInstance ISA ‘Win32_PnPEntity’ and TargetInstance.Description=’USB Mass Storage Device'”);

mientras (verdadero) {

var usb = wmiEvent.NextEvent();

cambiar (usb.Path_.Class) {

case “__InstanceCreationEvent”: {WScript.Echo(“Dispositivo USB encontrado”); descanso;}

case “__InstanceDeletionEvent”: {WScript.Echo(“Dispositivo USB eliminado”); descanso;}

case “__InstanceModificationEvent”: {WScript.Echo(“Dispositivo USB modificado”); descanso;}}}

Conclusión

El uso del Instrumental de administración de Windows (WMI) preinstalado en plataformas Windows es gratuito y no requiere ningún agente remoto. Solo requerirá un script simple que se puede ejecutar manualmente desde una cuenta de usuario privilegiada o desde otro software de monitoreo de red como Protección de red IDS IPS y escáneres de seguridad de la red de control de acceso a la red.

Leave a Comment