當今競爭激烈的商業環境中，企業的信息安全至關重要。而“查看員工電腦 U 盤拷貝記錄”這一舉措，對于維護企業的核心利益和保障正常運營有著不可忽視的意義。

倘若企業忽視了對員工電腦 U 盤拷貝記錄的查看，可能會陷入一系列嚴重的困境。想象一下，公司的重要商業機密、研發成果、客戶資料等敏感信息被員工輕易地通過 U 盤拷貝帶走，轉手泄露給競爭對手，這對企業將是致命的打擊。不僅如此，一些員工可能會利用工作之便，拷貝公司的資源用于個人盈利，損害企業的利益。

接下來，為您介紹幾種查看員工電腦 U 盤拷貝記錄的方法。

首先，有一種相對簡單的方法是通過系統的事件查看器。在 Windows 系統中，事件查看器可以記錄一些與設備連接和文件操作相關的事件。您可以通過特定的篩選條件，查找與 U 盤插拔和文件拷貝相關的記錄。

另外，除了Windows自身的工具，市場上還有一些文件監控軟件可以幫助企業查看U盤拷貝記錄，比如NetWrix Auditor就是其中的一個。這些工具通常能提供更直觀的界面和詳細的日志記錄。例如，一些軟件可以實時監控文件的復制、移動和刪除操作，方便企業隨時查看。在選擇這類工具時，企業應關注其兼容性和功能。通過這些軟件，企業能更高效地管理U盤的使用情況，確保數據安全。

而在眾多的解決方案中，WorkWin 軟件是一個值得您試用對比的選擇。WorkWin 是一款擁有十八年歷史的國產軟件，基于純軟件設計，使用起來非常方便，無需添加或改動任何硬件。只需一臺管理機，就能監控全部員工機電腦。

1. WorkWin 能夠詳細記錄員工 U 盤拷貝的文件信息以及操作時間。
2. 它可以禁用諸如優盤、移動硬盤、數碼相機等 USB 設備。并且能夠做到只禁用 USB 存儲設備，而不影響 USB 鼠標、鍵盤等的正常使用。
3. 若不禁止優盤插入，WorkWin 可以設置監控優盤插入，記錄拷貝文件的操作，明確復制了哪些文件。還能將優盤設置為只讀狀態，實現文件只能從優盤拷貝到電腦，不能反向操作。
4. 甚至可以設置優盤白名單，只有被允許的 U 盤才能使用。此外，WorkWin 還能設置當員工插入 U 盤時自動發送警告消息。

對于企業網管和公司老板、高級管理人員來說，重視查看員工電腦 U 盤拷貝記錄是保障企業信息安全的重要一環。WorkWin 軟件或許不是唯一的解決方案，但絕對是一個不錯的選擇，不妨嘗試一下，看看它是否能滿足您的需求，為企業的信息安全保駕護航。

最近夜里不太平，沒想到今晚又輪到我和小六子值夜。

上班前隊長特地吩咐，丞相這幾天心情不太好，昨晚又有人意欲行刺，結果讓丞相當場斬殺，讓我倆打起精神務必小心行事。

好不容易前半夜熬過去了，正以為應該沒啥事了，哪成想約莫后半夜四更天的樣子，屋里突然有了動靜。

我和小六子這心啊一下子都提到嗓子眼了！

“來人啊，快來人！有人動了我的 U 盤！”

我滴天啊，我倆魂都飛了，我就壓低聲音招呼小六子，怎么沒人了，一瞅，好么，這小子早躺地上口吐白沫不省人事了。

沒招了，只好我自己一人硬著頭皮戰戰兢兢進入屋內。

“丞...丞...丞相！請...請...請吩咐！”我壯著膽子說道。

“啪”的一下，飛過來一樣東西甩我臉上，給我一激靈。

我一捂臉，差點尿了，趕緊跪在地上，這才發現那東西好像是個 U 盤。

“肯定是那些老匹夫，趁我不在把我的小姐姐都拷了去！哇呀呀...給我查查是不是有人拷過我的文件！”

此時的我已然是老淚縱橫，癱軟不得動彈，心中萬分后悔干了這份要人命的差事，心想丞相唉，我上哪幫你查這案子去啊！

見我沒有回應，這丞相一怒之下拔出佩劍，唰地架我脖子邊上。

我只覺得上面倒吸一口涼氣，下面一股暖流，用力兩腳一蹬，不知怎么只聽“Duang”的一聲重重地摔了下去......

等我掙扎著爬起來時，才發現好像做了個亂七八糟的破夢。

我長出了一口氣，把自己收拾利索之后，突然回想起夢中的那個古怪問題：如何知道別人拷貝過 U 盤里的文件！

好么，這是個什么破問題啊，這么一折騰是睡意全無，要不干脆研究研究吧。

看似簡單的一個問題結果之后卻折騰了我好幾天。

我查遍了三山五岳、五湖四海，就差找觀士音菩薩了，最后得出結論是系統不記錄 U 盤拷貝動作，因此沒辦法知道有沒有人拷貝過文件。

那就真的到此為止了嗎？

分析研究

你看哈，如果是從電腦往 U 盤上拷文件，那電腦上至少還留有訪問記錄可循。

比如 最近訪問 一項中就會看到哪些文件被訪問過。

就算是你清除掉了這些痕跡還是可以找到一些蛛絲馬跡，這在我之前寫的《系統偷偷保留的程序使用記錄，你知道都在哪兒嗎？》中有詳細的介紹。

但是現在問題不一樣了，就一光桿 U 盤，也沒電腦，最多只有自己的電腦。

別人要是拿你 U 盤拷東西也不用到你自己的電腦啊，咱也更不可能去看別人的電腦有沒有留下什么痕跡。

“您好！勞駕，看下您的電腦，我懷疑您偷偷拷我文件來著。”

這么說肯定被人打斷腿啊！

這不行那不行，就真的沒戲了嗎？

不同分區格式下

我們這么想哈，拷貝文件那肯定是動過文件，那就多多少少會有一些變化吧。

經過我測試一陣后，發現文件的訪問時間會起一些變化。

有時和 U 盤的分區格式還有關系，具體分析如下。

FAT/FAT32 格式下，即使你沒有打開或操作這個文件，就算是單純查看文件屬性，其文件訪問時間也會發生變化。

我們隨便找個 U 盤上的文件試試哈，第一次右鍵查看屬性，訪問時間是這樣式兒的。

看清楚了嗎？

好，關閉這個屬性窗口，然后不干別的，還是這個文件，再次右鍵打開文件屬性。

你看看，它的訪問時間立馬變成了當前最新時間了！

OK，接下來看看 NTFS 格式吧。

和前面一樣依葫蘆畫瓢，只通過查看文件屬性來觀察訪問時間的變化。

第一次查看文件屬性，確認訪問時間是舊的。

好，關閉屬性窗口，再次查看屬性中的訪問時間。

好么，啥都沒干就更新了！

經過前后對比我們可以很清楚地看出，在 NTFS 分區格式下不但和 FAT/FAT32 分區格式下一樣文件訪問時間起了變化，而且還詳細到了具體的時分秒。

嘖嘖，不愧是 NTFS 啊！

嗯， FAT/FAT32/NTFS 這些善變的家伙我們剛剛領教了，然而通常情況下 U 盤還有一種分區格式 exFAT ，它會是什么情況呢？

不試試怎么知道呢，來吧，前面的測試方法再來一遍。

第一次查看屬性，訪問時間確認是舊的沒問題。

好，再次打開屬性查看訪問時間...哎...怎么沒變化？

是我眼花還是操作有誤？

其實都沒問題，這個 exFAT 與前面那幾位是截然不同，它的原則是，只要你不動它，它就不亂動，即使查看一下屬性也是無傷大雅。

當然這里還有個小細節，就是 exFAT 和 FAT/FAT32 一樣，文件訪問時間沒有具體到時分秒。

以上分析過的分區格式至少是 Windows 下 U 盤等移動設備的常見常用分區格式，至于 Linux 或 MacOS 等系統支持的分區格式不在本文討論范圍之內，有機會會再出文章研究的。

好了，到目前為止我們暫時可以得出一個結論，即使用 FAT/FAT32/NTFS 格式的 U 盤，在文件被拷貝之后其訪問時間是一定會發生變化的。

即使沒有做什么特殊的操作而僅僅是查看文件屬性，系統也會更新當前文件的訪問時間屬性。

不過 exFAT 分區格式下任你怎么搞，也看不出來有什么變化。

那么得出以上結論后，我們對實際如何使用和保護 U 盤資料就可以有所選擇了。

比如盡量將 U 盤格式化為 NTFS 格式，現在的 U 盤容量都比較大，完全支持 NTFS 格式。

這種格式可以使訪問時間精確到時分秒，更加有利于我們判斷文件是否被別人動過。

而通常 U 盤默認格式化的分區格式是 FAT/FAT32 ，那么這種格式呢文件訪問時間只能精確到日期，如果當天發生文件被拷事件就無法判斷了。

最后最剛的就是 exFAT 格式了，不但日期不能更精確，而且它的訪問時時還沒變化，起不到判斷的作用。

然而事情并沒有那么簡單

說到這兒，可能有的小伙伴會發現一個 BUG 。

如果懷疑有人拷貝了自己的文件，那我一旦查看了文件的屬性，它不就又變化了？

為了不讓文件訪問時間無故刷新，有什么辦法可以不用點開屬性就能看到實際的文件訪問時間呢？

為此，我自己做了一個小程序（文末下載），通過程序查看就不會影響到訪問時間的變化。

比如，FAT32 格式的 U 盤，可以批量查看里面文件的各個時間，包括創建時間、修改時間和訪問時間。

再來格式化成 NTFS 格式試一下。

訪問時間精確到時分秒，非常棒！

即使是使用終端程序拷貝文件也會使文件的訪問時間發生變化。

不信？我們來試試。

比如將U 盤 X:\path\foo.xxx 文件拷貝到 C:\ 。

copy X:\path\foo.xxx C:\

拷貝前：

拷貝后：

自制工具下載

網管小賈的文件屬性查看器

XJFileProperty.7z(43K)

下載鏈接：https://pan.baidu.com/s/1c4N4M8u_UXd7E3GviIBjCQ

提取碼：<關注公眾號，發送 000991>

寫在最后

雖說現在是網盤盛行的時代，但是由于有些文檔資料，特別是非常重要的資料并不一定適合存放在網盤上。

一旦網盤掛了，那么只能欲哭無淚，萬事成蹉跎啊！

因此不少小伙伴肯定選擇存放在自己手里的移動設備中，使用方便，隨存隨取。

但便利的同時也帶來了一定的安全隱患，容易丟失或泄漏資料，所以本文也為大家提供一個不是辦法的辦法來幫助大家處理一些實際情況。

很明顯，本文的辦法只是一種被動方法，當有人拷貝了文件后，資料已經被泄漏了，所以說最好的保護方案是加密。

最簡單的加密方案可以使用 Bitlocker ，有興趣的小伙伴可以嘗試一下。

如果點贊數多，我也會抽空專門寫一篇 U 盤使用 Bitlocker 的文章。

好，關注我，關注我，關注我！

PS：有小伙伴提出，根據文章操作自己的 U 盤在 NTFS 格式下并沒有預想地會更新文件的訪問時間（Last Access Time）。

后來我又嘗試了一下，的確非常奇怪，我這邊也發生了同樣的情況。

要知道文章中我可是有截圖作證的，明明訪問時間發生了變化，為什么現在又不靈了？

于是我又去查找資料了，總歸要有個固定的結論來給小伙伴們一個交代嘛！

好在最終，我查到了！

大家可以參考微軟官方文章《 NTFS 是如何工作的》。

http://technet.microsoft.com/en-us/library/cc781134(WS.10).aspx

文章內容太過多，我給大家簡單總結一下。

針對訪問時間的更新，其實 NTFS 是這樣設計的。

為了避免磁盤頻繁讀寫操作而引發性能問題，文件的訪問時間更新會有一小時的間隔時間。

也就是說，比如你的文件上一次訪問時間是上午 9:00 ，那在當天上午 10:00 之前（比如 9:59 ）去查看它的屬性或拷貝它，它的訪問時間是不會更新的。

而一旦超過了一小時（比如 10:01），那么它的訪問時間立刻就會更新為當前時間。

并且這個更新時間是非常準確的，不更新不代表它不準確，因為這個訪問時間只是暫存在內存中。

話又說回來，NTFS 有這么一個設計BUG 存在，那么我只能深表遺憾。

當真的發生別人拷貝自己文件的情況下，我們至少在事發一個小時之后才可能得知！

哈哈，這么說的話那些有重要資料的小伙伴們還蛋定的了嗎，請務必把東西看住啊！

好了， 奇怪的知識又增長了， 小伙伴們可以動手試一試，很有趣的體驗哦！

最后別忘記點贊、轉發和關注哈！

將技術融入生活，打造有趣之故事

網管小賈 / sysadm.cc

活和工作都離不開電腦，我們在電腦里面或多或少都會保存一些重要的資料文件~

有的小伙伴也會保存一些個人隱私在電腦里面，比如證件照、戶口本照片，還有一些重要的交易記錄截圖啊等等。

如果有人用u盤拷走了，就會造成一定的損失，給你帶來麻煩。

那么，怎么去保護電腦數據呢？

除了最基本的給電腦設置開機密碼之外，我們還可以禁止別人復制電腦文件到u盤或者其他移動設備上！

設置方法：

1、Win+r快捷鍵打開運行，輸入“gpedit.msc”回車進入本地組策略編輯器。

2、本地組策略編輯器頁面，展開：“計算機配置”—“管理模板”—“系統”，右側頁面點擊打開“可移動存儲訪問”。

3、在可移動存儲訪問頁面，找到“可移動磁盤：拒絕寫入權限”選項并打開。

4、選擇“已啟用”，點擊“確定”。

按照上面的步驟執行后，為了確保設置生效，我們需要刷新一下本地組策略編輯器。

刷新方法：

1、Win+r再次打開運行，輸入“cmd”回車確定。

2、輸入“gpupdate /force”命令回車即可刷新本地組策略編輯器。

現在開始做個測試，看看能否拷貝電腦文件到u盤。

測試ing：

打開我的電腦，進入到D盤，任意選擇一個文件，ctrl+c復制后再打開u盤，ctrl+v粘貼。此時你會發現無法粘貼，需要權限！

如果是自己想要復制文件時，按照上面的步驟，把“可移動磁盤：拒絕寫入權限”設置為“未配置”并刷新一下本地組策略編輯器就可以了。

但是話又說回來，我們都知道的“解除權限”方法，很難保證別人不知道~

所以，以防萬一，我們還可以給文件再加一層保護罩，就是對磁盤進行加密！設置好后，打開此磁盤需要輸入密碼，否則無法查看里面的文件。

設置步驟：

1、打開此電腦，右鍵需要加密的磁盤，選擇“啟用BitLocker”。

2、勾選“使用密碼解鎖驅動器”，設置好磁盤密碼后進入“下一步”。

3、避免忘記密碼，記得“備份BitLocker恢復密匙”。

PS：恢復密鑰不可以保存在不可以移動驅動器的根目錄下，可以專門準備一個u盤使用，“保存”到u盤上。

4、保存恢復密鑰之后，進入“下一步”。

5、加密模式可以默認“兼容模式”，點擊“下一步”。

6、點擊“開始加密”，等待加密完成即可。

如果還不放心的話，咱們還可以去了解一下如何隱藏電腦磁盤分區，這樣可以充分保證電腦文件的安全~

好咯，本期內容就到這里了，咱們下期見！