Spätestens seit Windows 10 wissen wir, dass unser Verhalten von Microsoft umfangreich aufgezeichnet und teilweise an das Unternehmen gesendet wird. Die Verwendungen von USB-Geräten wird dabei an verschiedenen Stellen im System dokumentiert, dies kann sich jedoch mit jedem Update ändern, wie folgendes Beispiel zeigt.
Der Inhalt im Überblick
USB-Protokolle für den Datentransfer
Für den Datentransfer nutzt Windows drei Protokolle.
- Das „Media Transfer Protocol“ (MTP) wird z.B. bei Smartphones oder Kameras verwendet. Unter Windows wir das Gerät mit einem MP3-Player oder Kamera-Icon angezeigt.
- Das „Picture Transfer Protocol“ (PTP) wird von mobilen Apple-Geräten zur Übertragung verwendet.
- Das „Mass Storage Class“ (MSC) Protokoll wird von USB-Sticks, externen Festplatte, Smartphones und anderen Datenspeichern verwendet. MSC-Geräte bekommen als einzige einen Laufwerkbuchstaben von Windows zugewiesen.
Speicherorte in der Registry
Microsoft speichert die angeschlossenen Geräte in der Registry an zwei verschiedenen Orten. Für alle MTP- und PTP-Geräte wird ein Eintrag unter dem Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB angelegt. MSC-Geräte finden sich unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR wieder.
Für jedes MSC-Gerät wird ein Subkey unter USBSTOR angelegt. Dieser enthält die Seriennummer, die Hersteller ID und Produkt ID. Für alle USB-Geräte, welche eines der drei Protokolle verwenden, wird ein Subkey unter USB angelegt. Hier werden die Hersteller und Produkt ID (VID & PID) gespeichert, sowie falls vorhanden die Seriennummer. Die IDs können in dieser Liste den Herstellern zugeordnet werden.
Was sich daran geändert hat
In der Vergangenheit hat Windows diese Einträge einmal angelegt und nie wieder vergessen, heißt jedes USB-Gerät, das jemals an einen Rechner angeschlossen wurde, war bis zur Löschung des Systems gespeichert. Microsoft hat dies durch ein Update geändert, möglicherweise um den gestiegenen Datenschutzanforderungen Rechnung zu tragen. Eine geplante Aufgabe namens „Plug and Play Cleanup“ löscht alle Einträge aus der Registry von Geräten, die seit ca. 30 Tage und mehr nicht verwendet wurden.
Allerdings ist dies von Microsoft nicht konsequent umgesetzt. Eigene Test haben gezeigt, dass z.B. Windows 10 in der Version 1709 diese Aufgabe enthält – Rechner, die mit dem Nachfolger 1803 betrieben werden jedoch nicht. Ein aktuelles Windows-10-Gerät speichert die Einträge wieder dauerhaft, sofern Microsoft dies nicht mit einem weiteren Update wieder ändert.
USB-Geräte weiter nachvollziehbar
Trotz ggf. aktiver Löschautomatik, kann die Nutzung von USB-Geräten an einem Windows-System nachvollzogen werden. Es gibt noch eine Reihe weitere Einträge in der Registry und in anderen Bereichen von Windows, die dies protokollieren. Admins können anhand der Einträge z.B prüfen, an welchen Rechner ein mit Malware infizierter Stick angeschlossen war und so die betroffenen Geräte schnell vom Netzwerk trennen.
Hallo, mich würde mal interessieren, ob es möglich ist, nach einem Update von Windows 7 auf Windows 10 das Ereignisprotokoll aus der Zeit vor dem Update auszulesen?
Windows erzeugt bei einem Upgrade einen Ordner unter C:\ mit der Bezeichnung Windows.old. Dort werden Dateien vor dem Upgrade noch längere Zeit gespeichert. Unter C:\Windows.old\\System32\winevt\Logs sind ggf. noch ältere Eventlogs zu finden.