Как определить, использует ли пользователь USB-модем?

38

Недавно пользователь отключил ПК своей компании от сети и использовал USB-модем со своим телефоном Android, чтобы полностью обойти сеть компании и получить доступ к Интернету. Я не думаю, что мне нужно объяснять, почему это плохо. Что было бы лучше всего, с нулевой стоимостью (то есть с открытым исходным кодом, с использованием сценариев и групповой политики и т. Д.) И технической точки зрения (т. Е. HR уже был уведомлен, я не думаю, что это какой-то симптом более глубокой проблемы корпоративной культуры и т. д.), чтобы обнаружить и / или предотвратить повторение чего-то подобного? Было бы неплохо иметь общесистемное решение (например, с помощью групповой политики), но если это невозможно, то сделать что-то конкретное для ПК этого человека также может быть ответом.

Несколько подробностей: ПК с Windows 7 присоединен к домену Active Directory, пользователь имеет обычные права пользователя (не администратор), на ПК нет возможностей беспроводной связи, отключение USB-портов не является опцией

ПРИМЕЧАНИЕ: спасибо за отличные комментарии. Я добавил некоторые дополнительные детали.

Я думаю, что есть много причин, по которым можно запретить привязку, но для моей конкретной среды я могу подумать о следующем: (1) Обновления антивируса. У нас есть локальный антивирусный сервер, который доставляет обновления на компьютеры, подключенные к сети. Если вы не подключены к сети, вы не можете получать обновления. (2) Обновления программного обеспечения. У нас есть сервер WSUS, и мы проверяем каждое обновление, чтобы утвердить / запретить. Мы также поставляем обновления для других часто используемых программ, таких как Adobe Reader и Flash, через групповую политику. Компьютеры не могут получать обновления, если они не подключены к локальной сети (обновление с внешних серверов обновлений не допускается). (3) Интернет-фильтрация. Мы отфильтровываем вредоносные и непослушные (?) Сайты.

Дополнительная справочная информация: HR уже был уведомлен. Человек, о котором идет речь, - человек высокого уровня, так что это немного сложно. «Подавать пример» этому сотруднику, хотя заманчиво не будет хорошей идеей. Наша фильтрация не является серьезной, я предполагаю, что человек, возможно, просматривал непослушные сайты, хотя прямых доказательств нет (кэш был очищен). Он говорит, что просто заряжал свой телефон, но компьютер был отключен от локальной сети. Я не хочу, чтобы у этого человека были проблемы, просто возможно, чтобы что-то подобное не повторилось.

windows android wrieedx
источник
22
Это не может быть сделано с нулевой стоимостью. Ваше время стоит.
user9517 поддерживает GoFundMonica
32
Если это не полностью заблокированная система, то это не техническая проблема. Запретите привязку политикой и доверьте своим сотрудникам следовать этой политике. Потратьте свое время на понимание / устранение причин, по которым им нужно было избегать сети компании, чтобы выполнить свою работу, чтобы в будущем им не пришлось привязываться.
JamesRyan
16
Я не думаю, что мне нужно объяснять, почему это плохо. На самом деле, пожалуйста, объясните это. Я не могу придумать причину, почему это проблема.
Stommestack
9
@JopV. ИТ-отделы (особенно в крупных компаниях) обычно работают с минимальными вычислительными возможностями и стараются не допустить случайного взлома сети, делая глупости в Интернете. В результате, если вы работаете в технической части упомянутой компании, вы, как правило, боретесь с ИТ, чтобы иметь возможность сделать что-то полезное в своей работе. Да, я горький из нескольких этих сражений :-)
Кевин Ши
8
@ AndréBorie пользователь смог подключить USB-устройство. Если модем разрешен, USB-накопитель, вероятно, также разрешен. В этих условиях, я думаю, можно с уверенностью сказать, что машина не находилась в среде с высоким уровнем безопасности.
njzk2

Ответы:

16

Есть несколько вариантов:

  • На Windows 7 вы можете контролировать, какие устройства USB могут быть подключены. Смотрите эту статью для примера.

  • Вы можете отслеживать, подключен ли ПК к сети, например, отслеживая состояние порта коммутатора, к которому подключен аппарат. (современные компьютеры поддерживают сетевой адаптер даже при выключенном компьютере, поэтому выключение компьютера не должно вызывать тревогу). Это может быть сделано по низкой цене с использованием бесплатных решений с открытым исходным кодом (в любом случае, в вашей сети должен быть мониторинг!)

РЕДАКТИРОВАТЬ в ответ на комментарий:
Если пользователь добавит беспроводной адаптер, метрика этого нового интерфейса будет выше, чем метрика проводного интерфейса, поэтому Windows продолжит использовать проводной интерфейс. Поскольку пользователь не имеет административных привилегий, он не может преодолеть это.

  • Вы можете использовать прокси-сервер для доступа в Интернет и принудительно настроить параметры прокси через GPO. Поэтому, если машина отключена от сети и не может получить доступ к прокси, она не может получить доступ к чему-либо. Это решение может быть простым в небольшой сети, но очень сложным для реализации в большой сети.

Как отметил @Hangin в тихом отчаянии в комментарии, всегда есть цена. Ваше время стоит компании денег, и вы должны учитывать реальную стоимость установки безопасности против потенциальной стоимости плохого поведения.

JFL
источник
Для второго решения пользователь все еще может добавить новую NIC / SIM вместо замены обычного соединения. Если вы затем наблюдаете за ОС, он может сделать это в виртуальной машине. Третье решение не достигнет ничего, так как пользователь все еще может подключиться к Интернету (только не к ресурсам компании, которые он предположительно не заботится так или иначе.
user121391
2
Для второго решения, см. Мое редактирование в моем ответе. Для решения с прокси-сервером конфигурация не должна выполняться, поэтому доступ в Интернет через прокси-сервер и недоступный прокси-сервер означают отсутствие Интернета. Это обычная настройка предприятия.
JFL
На самом деле, у нас есть прокси-сервер, но по какой-то причине он еще не полностью развернут. Как говорит JFL, если мы полностью развернем прокси-сервер с помощью групповой политики, пользователи не смогут подключаться к Интернету вне корпоративной сети, поскольку у них нет разрешений, необходимых для изменения настроек прокси-сервера. По сути, все наши ПК являются рабочими станциями, поэтому их нелегко перенести и подключить к внешним сетям.
Wrieedx
1
Прокси-сервер, если он не проверен с помощью сертификата, может быть легко имитирован даже на телефоне; с правильным приложением, я думаю, вам даже не нужно быть пользователем root. Принудительная проверка прокси также решает проблему использования ETH-моста. Наконец, периодически пингуя всех пользователей компьютера, система оповещения обнаружит людей, играющих с кабелями
Lesto
На этот вопрос нет 100% «правильного» ответа, и было опубликовано много действительно фантастических ответов. Однако я отмечаю этот ответ как правильный, потому что предложение прокси-сервера будет работать с минимальными усилиями, учитывая мою текущую среду (у нас есть прокси-сервер, но он еще не полностью развернут). Для других людей, сталкивающихся с подобной проблемой, другие решения могут работать лучше.
Wrieedx
55

Вы можете использовать групповую политику для предотвращения установки новых сетевых устройств.

Вы найдете параметр в разделе Административные шаблоны \ Система \ Установка устройства \ Ограничения на установку устройства \ Запретить установку устройств с использованием драйверов, соответствующих этим классам установки драйверов.

Из его описания:

Этот параметр политики позволяет указать список глобально уникальных идентификаторов (GUID) класса установки устройства для драйверов устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Если вы включите этот параметр политики, Windows не сможет устанавливать или обновлять драйверы устройств, чьи GUID класса настройки устройства отображаются в списке, который вы создаете. Если этот параметр политики включен на сервере удаленного рабочего стола, этот параметр политики влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленного рабочего стола.

Используя здесь параметры политики, вы можете создать белый список (который, как вам кажется, вам не нужен) или черный список, либо для отдельных устройств, либо для целых классов устройств (таких как сетевые адаптеры). Они вступают в силу при удалении и повторной установке устройства , поэтому это не повлияет на встроенную в машину сетевую карту, если вы не примените настройку к уже установленным устройствам.

Вам нужно будет обратиться к списку классов настройки устройства, чтобы найти класс для сетевых адаптеров, который есть {4d36e972-e325-11ce-bfc1-08002be10318}. Добавьте этот класс в черный список, и вскоре после этого никто не сможет использовать сетевые адаптеры USB.

Майкл Хэмптон
источник
7
Конечно, это не мешает просто отключить кабель Ethernet и подключить его к мостовому устройству, используя модем телефона.
R ..
2
@R .. Правда, это не идеально . Но вы предлагаете кого-то с техническими знаниями выше среднего, и это, похоже, не то, с чем имеет дело OP.
Майкл Хэмптон
4
Что ж, еще более простой вариант, который также предотвратит множество других проблем с безопасностью, - это просто заполнить все порты USB эпоксидной смолой.
R ..
1
@R .. Пожалуйста, вернитесь и прочитайте оригинальный пост. Пользователь прямо заявил, что не хочет этого делать.
Майкл Хэмптон
5
Хотя он не предотвращает мостовые соединения, он поднимает технические и физические барьеры для привязки к телефону. Например, у меня есть технические знания, чтобы настроить мосты, и я мог бы сделать это во сне, но у меня нет запасного моста, лежащего вокруг. Как минимум мне нужно было бы вложить 15-20 долларов в дешевый маршрутизатор и поставить на него OpenWRT или что-то подобное (затем использовать WiFi-модем). Кроме того, гораздо проще объяснить, что ваш телефон подключен к USB-порту вашего компьютера, чем странная мигающая коробка, свисающая с задней панели.
Доктор J
9

Какой тип антивируса вы используете? В антивирусе Касперского вы можете определить доверенные и локальные сети. Таким образом, вы можете настроить свою локальную сеть как доверенную и запретить любые другие сети. Это работает, если компьютер используется только в офисе.

У меня есть KSC, и я могу управлять всем компьютером. Правило KSC

Гунтис
источник
Это действительно приятно знать. Мы используем TrendMicro, и я думаю, что конкретная версия, которую мы используем, не позволяет нам это делать.
Wrieedx
4

Я думаю, что вариант заключается в том, чтобы создать на целевой машине сценарий для мониторинга сетевых настроек ПК (например, IP-адреса и шлюза) и предупреждать вас (например, по электронной почте), когда что-то меняется.

shodanshok
источник
Чтобы это работало, как контролировать сетевые настройки ПК? Есть ли какая-то опция триггера, доступная где-то, которая может инициировать скрипт при изменении настроек сети?
Wrieedx
1
@wrieedx Возможно запланированное задание с триггером на основе событий для Hardware Events, Microsoft-Windows-Network*или Systemжурналы могли бы работать. Если у вас есть устройство USB-модема для тестирования, вы можете увидеть, какие события появляются в Event Viewer, когда оно подключено / настроено, и попытаться создать триггер на его основе. Конечно, любой запущенный процесс / скрипт, чтобы предупредить вас об этом событии, должен был бы обрабатывать случай, когда машина (в данный момент, по крайней мере) отключена от вашей внутренней сети.
Бекон
Оповещение пользователя ПК является лишь частично эффективным, пользовательский телефон может фильтровать трафик или использовать прокси-сервер. Так как правила маршрутизации могут быть настроены так, чтобы отправлять все в ETH, несмотря ни на что, лучше всего было бы пропинговать все пользовательские машины на каждом ребенке и проверять, отключили ли кто-нибудь его. Тем не менее, можно использовать ETH мост.
Лесто
1

Никогда не забывайте о том , что пользователь может проверить порно прямо на мобильном телефоне пользователя через LTE сеть, поэтому никто никогда не будет знать , что (и новый мобильный телефон имеют большой экран ...) Почему пользователь использовал мост на компьютерных интригах меня.

Это вызывает еще один важный вопрос ... вы управляете мобильным телефоном с помощью корпоративного правила?

Пример из книги администратора BES :

Выбор этого правила предотвращает сопряжение устройства с любым другим компьютером, кроме хоста Apple Configurator. Это правило применяется только к устройствам, которые контролируются с помощью Apple Configurator.

или

Выбор этого правила запрещает пользователям использовать AirDrop для обмена данными с другими устройствами. Это правило применяется только к устройствам, которые контролируются с помощью Apple Configurator.

И да, управление USB - это хорошо, но на этом устройстве могут храниться важные корпоративные документы / электронные письма, и неконтролируемое управление - это угроза безопасности.

После этого, если вы контролируете все мобильные телефоны, вы можете попросить, чтобы на рабочем столе / компьютере сотрудника не было личной ячейки.

В любом другом случае я, как и пользователь DoktorJ , скажу , что если они попытаются принести большую настройку, чтобы обойти вашу безопасность, они рискуют быть уволенными напрямую.

yagmoth555 - GoFundMe Monica
источник
0

Для модема

Вы можете установить окна, которые не могут найти файл драйверов RNDIS c: \ windows \ inf \ wceisvista.inf.

Для вашего теста просто переименуйте расширение в «.inf_disable», ваша ОС не сможет найти подходящих драйверов для привязки.

Ylogaf
источник