原文地址:http://technet.microsoft.com/zh-tw/library/jj574128.aspx

 

Monitor the Use of Removable Storage Devices

更新日期: 2012年8月

適用於: Windows 8, Windows Server 2012

This topic describes how to monitor attempts to use removable storage devices to access network resources. If you configure this policy setting in Windows Server 2012 or Windows 8, an audit event is generated each time a user attempts to copy, move, or save a resource to a removable storage device. 

備註 
Enterprises can limit or deny users the ability to use removable storage devices by using the Removable Storage Access policy. However, in earlier versions of the Windows and Windows Server operating systems, administrators could not track the use of removable storage devices. 

 

 

Monitor the use of removable storage auditing

Use the following procedure to monitor the use of removable storage devices.

To configure monitoring of removable storage devices

  1. Sign in to your domain controller with domain administrator credentials. 

  2. In Server Manager, point to Tools, and then click Group Policy Management.

  3. In the console tree, right-click the flexible access Group Policy Object on the domain controller, and then click Edit

  4. Double-click Computer Configuration, double-click Security Settings, double-click Advanced Audit Policy Configuration, double-click Object Access, and then double-click Audit Removable Storage.

  5. Select the Configure the following audit events check box, select the Success and, if desired, Failure check boxes, and then click OK.

  6. If you select the Failure check box, double-click Audit Handle Manipulation, select the Configure the following audit events check box, and then select Failure

  7. Click OK, and then close the Group Policy Management Editor.

Verify that use of removable storage devices is being monitored

The following procedure explains how you can verify that attempts to use removable storage devices are being monitored.

To verify that use of removable storage devices is being monitored

  1. Sign in to the computer that hosts the resource that you want to monitor. Press the Windows key+R, then type cmd to open a Command Prompt window. 

    備註 
    If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.

     

     

  2. Type gpupdate /force, and press ENTER.

  3. Connect a removable storage device to the targeted computer, and then attempt to copy a file that is protected with the Removable Storage Audit policy. 

  4. In Server Manager, click Tools, and then click Event Viewer.

  5. Expand Windows Logs, and then click Security

  6. Look for event 4663, which logs successful attempts to write to or read from a removable storage device. Failures  will log event 4656. Both events include Task Category = Removable Storage device.

    Key information to look for includes the name and account domain of the principal attempting to access the file, the object that the principal is attempting to access, resource attributes of the resource, and the type of access that was attempted.

    備註 
    We do not recommend that you enable this category on a file server that hosts file shares on a removable storage device. When Removable Storage Auditing is configured, any attempt to access the removable storage device will generate an audit event.