Jak wykryć, czy użytkownik używa modemu USB?

38

Ostatnio użytkownik odłączył komputer firmowy od sieci i użył modemu USB z telefonem z Androidem, aby całkowicie ominąć sieć firmową i uzyskać dostęp do Internetu. Nie sądzę, że muszę wyjaśniać, dlaczego to jest złe. Jaki byłby najlepszy sposób, z zerowego kosztu (tj. Open source, przy użyciu skryptów i zasad grupy itp.) I technicznego (tj. HR został już powiadomiony, nie sądzę, że jest to jakiś objaw głębszego problemu kultury korporacyjnej itp.), aby wykryć i / lub zapobiec powtórzeniu się czegoś takiego? Byłoby miło mieć rozwiązanie ogólnosystemowe (np. Przy użyciu zasad grupy), ale jeśli nie jest to możliwe, zrobienie czegoś specyficznego dla komputera tej osoby może być również odpowiedzią.

Kilka szczegółów: komputer z systemem Windows 7 jest przyłączony do domeny Active Directory, użytkownik ma zwykłe uprawnienia użytkownika (nie administrator), nie ma możliwości komunikacji bezprzewodowej na komputerze, wyłączenie portów USB nie jest opcją

UWAGA: Dziękujemy za świetne komentarze. Dodałem kilka dodatkowych szczegółów.

Wydaje mi się, że istnieje wiele powodów, dla których chciałoby się zabronić tetheringu, ale w moim konkretnym środowisku mogę myśleć o następujących kwestiach: (1) Aktualizacje antywirusowe. Mamy lokalny serwer antywirusowy, który zapewnia aktualizacje dla komputerów podłączonych do sieci. Jeśli nie masz połączenia z siecią, nie możesz otrzymywać aktualizacji. (2) Aktualizacje oprogramowania. Mamy serwer WSUS i sprawdzamy każdą aktualizację, aby zatwierdzić / odrzucić. Dostarczamy również aktualizacje do innych powszechnie używanych programów, takich jak Adobe Reader i Flash, za pośrednictwem zasad grupy. Komputery nie mogą otrzymywać aktualizacji, jeśli nie są podłączone do sieci lokalnej (aktualizacja z zewnętrznych serwerów aktualizacji jest niedozwolona). (3) Filtrowanie Internetu. Filtrujemy złośliwe i ... niegrzeczne (?) Strony.

Więcej informacji ogólnych: HR został już powiadomiony. Dana osoba jest osobą na wysokim poziomie, więc jest nieco trudna. „Dawanie przykładu” temu pracownikowi, choć kuszące, nie byłoby dobrym pomysłem. Nasze filtrowanie nie jest poważne, domyślam się, że dana osoba mogła przeglądać niegrzeczne strony, chociaż nie ma bezpośrednich dowodów (pamięć podręczna została wyczyszczona). Mówi, że właśnie ładował swój telefon, ale komputer został odłączony od sieci lokalnej. Nie chcę wpędzać tej osoby w kłopoty, może po prostu zapobiegnę powtórzeniu się czegoś podobnego.

wrieedx
źródło
22
Nie można tego zrobić przy zerowym koszcie. Twój czas to koszt.
user9517 obsługuje GoFundMonica
32
Jeśli nie jest to całkowicie zamknięty system, nie stanowi to problemu technicznego. Zakaz tetheringu według zasad i zaufaj pracownikom, że będą przestrzegać zasad. Poświęć czas na zrozumienie / ustalenie, dlaczego musieli unikać sieci firmowej, aby wykonać swoją pracę, aby nie musieli tetherować w przyszłości.
JamesRyan
16
Nie sądzę, że muszę wyjaśniać, dlaczego to jest złe. Właściwie proszę wyjaśnij to. Nie mogę wymyślić powodu, dla którego jest to problem.
stommestack
9
@JopV. Działy IT (szczególnie dla dużych firm) zwykle pracują nad najniższą wydajnością obliczeniową i starają się, aby nie mogły przypadkowo przerwać sieci, robiąc coś głupiego w Internecie. Rezultat jest taki, że jeśli jesteś w połowie technologii wspomnianej firmy, zazwyczaj walczysz z IT, aby móc zrobić coś pożytecznego w swojej pracy. Tak, jestem zgorzkniały po kilku z tych bitew :-)
Kevin Shea
8
@ AndréBorie użytkownik mógł podłączyć urządzenie USB. Jeśli tethering jest dozwolony, prawdopodobnie pamięć masowa USB jest również autoryzowana. W tych warunkach uważam, że można bezpiecznie powiedzieć, że maszyna nie była w środowisku o wysokim poziomie bezpieczeństwa.
njzk2

Odpowiedzi:

16

Istnieje kilka opcji:

  • W systemie Windows 7 możesz kontrolować, które urządzenia USB można podłączyć. Zobacz na przykład ten artykuł .

  • Możesz monitorować, czy komputer jest podłączony do sieci, na przykład monitorując stan portu przełącznika, do którego podłączone jest urządzenie. (nowoczesne komputery utrzymują połączenie karty sieciowej nawet wtedy, gdy urządzenie jest wyłączone, więc wyłączenie komputera nie powinno wywoływać alarmu). Można to zrobić tanio, korzystając z bezpłatnych rozwiązań open source (w każdym razie powinieneś mieć monitoring w swojej sieci!)

EDYCJA w odpowiedzi na komentarz:
Jeśli użytkownik doda adapter bezprzewodowy, metryka tego nowego interfejsu będzie wyższa niż metryka interfejsu przewodowego, więc system Windows będzie nadal korzystać z interfejsu przewodowego. Ponieważ użytkownik nie ma uprawnień administracyjnych, nie może tego przezwyciężyć.

  • Możesz użyć proxy, aby uzyskać dostęp do Internetu i wymusić ustawienia proxy przez GPO. Jeśli więc urządzenie jest odłączone od sieci i nie może uzyskać dostępu do serwera proxy, nie może uzyskać dostępu do niczego. To rozwiązanie może być łatwe w małej sieci, ale bardzo trudne do wdrożenia w dużej sieci.

Jak zauważył @Hangin w spokojnej desperacji w komentarzu, zawsze jest jakiś koszt. Twój czas kosztuje firmę pieniądze i musisz wziąć pod uwagę faktyczny koszt wprowadzenia zabezpieczeń w porównaniu z potencjalnym kosztem złego zachowania.

JFL
źródło
W przypadku drugiego rozwiązania użytkownik nadal może dodać nową kartę NIC / SIM zamiast zastępować normalne połączenie. Jeśli następnie monitorujesz system operacyjny, może to zrobić na maszynie wirtualnej. Trzecie rozwiązanie nie przyniosłoby nic, ponieważ użytkownik mógłby nadal łączyć się z Internetem (po prostu nie z zasobami firmy, których zapewne i tak nie obchodzi.
użytkownik121391,
2
Drugie rozwiązanie znajduje się w mojej edycji w mojej odpowiedzi. W przypadku rozwiązania proxy nie należy przeprowadzać konfiguracji, więc dostęp do Internetu przez serwer proxy i brak dostępu do proxy oznacza brak dostępu do Internetu. Jest to typowa konfiguracja dla przedsiębiorstw.
JFL
W rzeczywistości mamy serwer proxy, ale z jakiegokolwiek powodu nie wdrożyliśmy go jeszcze w pełni. Jak mówi JFL, jeśli w pełni wdrożymy proxy za pomocą zasad grupy, użytkownicy nie będą mogli połączyć się z Internetem poza siecią korporacyjną, ponieważ nie mają uprawnień niezbędnych do zmiany ustawień proxy. Zasadniczo wszystkie nasze komputery są stacjami roboczymi, więc nie można ich łatwo przenosić i podłączać do sieci zewnętrznych.
wrieedx
1
Serwer proxy, o ile nie został zweryfikowany za pomocą certyfikatu, można łatwo naśladować nawet na telefonie; dzięki odpowiedniej aplikacji myślę, że nawet nie musisz być rootem. Wymuszanie sprawdzania poprawności proxy rozwiązuje również problem korzystania z mostu ETH. Wreszcie pingowanie wszystkich komputerów użytkowników co
jakiś
Naprawdę nie ma w 100% „poprawnej” odpowiedzi na to pytanie i opublikowano wiele naprawdę fantastycznych odpowiedzi. Jednak zaznaczam tę odpowiedź jako prawidłową, ponieważ sugestia serwera proxy będzie działać przy minimalnym wysiłku, biorąc pod uwagę moje obecne środowisko (mamy serwer proxy, ale nie został jeszcze w pełni wdrożony). W przypadku innych osób mających podobny problem inne rozwiązania mogą działać lepiej.
wrieedx,
55

Możesz użyć zasad grupy, aby zapobiec instalacji nowych urządzeń sieciowych.

Znajdziesz opcję w Szablony administracyjne \ System \ Instalacja urządzenia \ Ograniczenia instalacji urządzenia \ Zapobiegaj instalacji urządzeń za pomocą sterowników pasujących do tych klas instalacji sterowników.

Z jego opisu:

To ustawienie zasad pozwala określić listę globalnie unikatowych identyfikatorów GUID klas urządzeń, dla których sterowniki Windows nie mogą zainstalować. To ustawienie zasad ma pierwszeństwo przed innymi ustawieniami zasad, które pozwalają systemowi Windows na zainstalowanie urządzenia.

Jeśli włączysz to ustawienie zasad, system Windows nie będzie mógł instalować ani aktualizować sterowników urządzeń, których identyfikatory GUID klasy konfiguracji urządzenia pojawiają się na utworzonej liście. Jeśli to ustawienie zasad zostanie włączone na zdalnym serwerze pulpitu, ustawienie zasad wpływa na przekierowanie określonych urządzeń z klienta pulpitu zdalnego na serwer pulpitu zdalnego.

Korzystając z ustawień zasad, możesz utworzyć białą listę (której chyba nie chcesz) lub czarną listę pojedynczych urządzeń lub całych klas urządzeń (takich jak karty sieciowe). Są one stosowane, gdy urządzenie zostanie usunięte i ponownie zainstalowane , więc nie wpłynie to na kartę sieciową wbudowaną w maszynę, pod warunkiem, że nie zastosujesz tego ustawienia do urządzeń, które są już zainstalowane.

Aby znaleźć klasę kart sieciowych, musisz odwołać się do listy klas konfiguracji urządzeń{4d36e972-e325-11ce-bfc1-08002be10318} . Dodaj tę klasę do czarnej listy, a wkrótce potem nikt nie będzie mógł używać kart sieciowych USB.

Michael Hampton
źródło
7
Oczywiście nie zapobiega to jedynie odłączeniu kabla Ethernet i podłączeniu go do urządzenia mostu za pomocą tetheringu telefonu.
R ..
2
@R .. To prawda, że ​​to nie jest idealne . Ale proponujesz kogoś z ponadprzeciętną wiedzą techniczną, i nie wydaje się, że z tym ma do czynienia OP.
Michael Hampton
4
Cóż, jeszcze prostszą opcją, która zapobiegłaby wielu innym problemom bezpieczeństwa, jest po prostu wypełnienie wszystkich portów USB żywicą epoksydową.
R ..
1
@R .. Wróć i przeczytaj oryginalny post. Użytkownik wyraźnie stwierdził, że nie chce tego zrobić.
Michael Hampton
5
Chociaż nie zapobiega mostkowaniu, podnosi techniczne i fizyczne paski do modemu telefonicznego. Na przykład, mam wiedzę techniczną, aby skonfigurować pomost i mógłbym to zrobić we śnie - ale nie mam zapasowego mostu. Co najmniej musiałbym zainwestować 15-20 USD w tani router i umieścić na nim OpenWRT lub podobny (następnie użyć tetheringu Wi-Fi). Ponadto o wiele łatwiej jest wytłumaczyć, że telefon jest podłączony do portu USB komputera, niż dziwne migające pudełko wiszące z tyłu.
Doktor J
9

Jakiego rodzaju antywirusa używasz? W Kaspersky Antivirus możesz definiować sieci zaufane i lokalne. Możesz więc skonfigurować sieć lokalną jako zaufaną i zabronić jakichkolwiek innych sieci. Działa to, jeśli komputer jest używany tylko w biurze.

Mam KSC i mogę zarządzać scentralizowanym całym komputerem. Reguła KSC

Guntis
źródło
To naprawdę miło wiedzieć. Używamy TrendMicro i myślę, że konkretna wersja, której używamy, nie pozwala nam tego zrobić.
wrieedx,
4

Myślę, że opcją jest utworzenie na maszynie docelowej skryptu do monitorowania ustawień sieci komputera (np .: adres IP i brama) i ostrzegania (np. Przez e-mail), gdy coś się zmieni.

Shodanshok
źródło
Aby to zadziałało, w jaki sposób monitorować ustawienia sieciowe komputera? Czy jest gdzieś dostępna opcja wyzwalania, która może zainicjować skrypt po zmianie ustawień sieciowych?
wrieedx
1
@wrieedx Może zaplanowanego zadania z wyzwalacza zdarzeń opartego dla osób Hardware Events, Microsoft-Windows-Network*albo Systemdzienniki mógł pracować. Jeśli masz urządzenie tetheringowe USB do testowania, możesz zobaczyć, jakie zdarzenia pojawiają się w Podglądzie zdarzeń, gdy jest ono podłączone / skonfigurowane, i spróbuj utworzyć na ich podstawie wyzwalacz. Oczywiście, każdy proces / skrypt uruchamiany w celu ostrzeżenia o tym zdarzeniu musiałby zająć się przypadkiem, w którym maszyna jest (przynajmniej w tym momencie) odłączona od sieci wewnętrznej.
BACON,
Alarmowanie komputera użytkownika jest tylko częściowo skuteczne, telefon użytkownika może filtrować ruch lub użyć proxy. Ponieważ reguły routingu można skonfigurować tak, aby wysyłały wszystko do ETH bez względu na wszystko, najlepiej byłoby pingować wszystkie komputery użytkownika za każdym razem i sprawdzać, czy ktoś je odłączy. Możliwe jest jednak użycie mostka ETH.
Lesto
1

Nigdy nie zapominaj, że użytkownik może sprawdzić pornografię bezpośrednio na telefonie komórkowym użytkownika za pośrednictwem sieci LTE , więc nikt nigdy nie będzie o tym wiedział (a nowy telefon komórkowy ma duży ekran ...) Dlaczego użytkownik używał mostu na komputerze intryguje mnie.

To powoduje kolejne ważne pytanie ... czy zarządzasz telefonem komórkowym z regułą przedsiębiorstwa?

Przykład z książki administratora BES :

Wybranie tej reguły zapobiega parowaniu urządzenia z dowolnym komputerem innym niż host Apple Configurator. Ta reguła dotyczy tylko urządzeń nadzorowanych za pomocą Apple Configurator.

lub

Wybranie tej reguły uniemożliwia użytkownikom korzystanie z AirDrop do udostępniania danych innym urządzeniom. Ta reguła dotyczy tylko urządzeń nadzorowanych za pomocą Apple Configurator.

I tak, kontrola USB jest dobra, ale na tym urządzeniu mogą znajdować się ważne dokumenty / wiadomości e-mail przedsiębiorstwa, a brak kontroli jest zagrożeniem bezpieczeństwa.

Następnie, jeśli kontrolujesz wszystkie telefony komórkowe, możesz poprosić, aby żadna osobista komórka nie była obecna na biurku / komputerze pracownika.

W każdym innym przypadku powiem jak użytkownik DoktorJ , że jeśli spróbują wprowadzić dużą konfigurację w celu ominięcia twojego bezpieczeństwa, istnieje ryzyko, że zostaną bezpośrednio zwolnieni.

yagmoth555 - GoFundMe Monica
źródło
0

Do tetheringu

Można ustawić system Windows tak, aby nie mógł znaleźć pliku sterowników RNDIS c: \ windows \ inf \ wceisvista.inf.

W przypadku testu wystarczy zmienić nazwę rozszerzenia na „.inf_disable”, system operacyjny nie będzie w stanie znaleźć odpowiednich sterowników do tetheringu.

Ylogaf
źródło