it-swarm.com.de

Wie erkenne ich, ob ein Benutzer USB-Tethering verwendet?

Kürzlich hat ein Benutzer seinen Firmen-PC vom Netzwerk getrennt und USB-Tethering mit seinem Android Telefon) verwendet, um das Firmennetzwerk vollständig zu umgehen und auf das Internet zuzugreifen. Ich glaube nicht, dass ich erklären muss, warum dies so ist schlecht. Was wäre der beste Weg, von einem Null-Kosten- (dh Open Source, unter Verwendung von Skripten und Gruppenrichtlinien usw.) und technischen Standpunkt (dh HR wurde bereits benachrichtigt, ich denke nicht, dass dies ein Symptom von ist Es wäre schön, eine systemweite Lösung zu haben (z. B. mithilfe von Gruppenrichtlinien), aber wenn dies nicht der Fall ist, um ein tieferes Problem der Unternehmenskultur usw. zu erkennen und/oder zu verhindern, dass so etwas erneut auftritt Möglicherweise könnte es auch eine Antwort sein, etwas Spezielles für den PC dieser Person zu tun.

Einige Details: Der PC ist Windows 7, das mit einer Active Directory-Domäne verbunden ist. Der Benutzer verfügt über normale Benutzerrechte (kein Administrator). Der PC verfügt über keine drahtlosen Funktionen. Das Deaktivieren von USB-Anschlüssen ist keine Option

HINWEIS: Vielen Dank für die tollen Kommentare. Ich habe einige zusätzliche Details hinzugefügt.

Ich denke, dass es viele Gründe gibt, warum man Tethering nicht zulassen möchte, aber für meine spezielle Umgebung kann ich mir Folgendes vorstellen: (1) Antiviren-Updates. Wir haben einen lokalen Antivirenserver, der Updates für Computer mit Netzwerkverbindung bereitstellt. Wenn Sie nicht mit dem Netzwerk verbunden sind, können Sie die Updates nicht erhalten. (2) Software-Updates. Wir haben einen WSUS-Server und überprüfen jedes Update, um es zu genehmigen/nicht zuzulassen. Wir liefern auch Updates für andere häufig verwendete Softwareprogramme wie Adobe Reader und Flash über Gruppenrichtlinien. Computer können keine Updates empfangen, wenn sie nicht mit dem lokalen Netzwerk verbunden sind (Updates von externen Update-Servern sind nicht zulässig). (3) Internetfilterung. Wir filtern böswillige und ungezogene (?) Websites heraus. Mit einem Haltegurt können Sie den Filter umgehen und auf diese Websites zugreifen und möglicherweise die Sicherheit Ihres Computers gefährden.

Weitere Hintergrundinformationen: HR wurde bereits benachrichtigt. Die fragliche Person ist eine hochrangige Person, daher ist es ein bisschen schwierig. Ein Beispiel für diesen Mitarbeiter zu machen, obwohl verlockend, wäre keine gute Idee. Unsere Filterung ist nicht schwerwiegend. Ich vermute, dass die Person möglicherweise ungezogene Websites angesehen hat, obwohl es keine direkten Beweise gibt (der Cache wurde gelöscht). Er sagt, er habe gerade sein Telefon aufgeladen, aber der PC sei vom lokalen Netzwerk getrennt worden. Ich möchte diese Person nicht in Schwierigkeiten bringen, sondern möglicherweise verhindern, dass etwas Ähnliches erneut passiert.

38
wrieedx

Es gibt mehrere Möglichkeiten:

  • Unter Windows 7 können Sie steuern, welche USB-Geräte angeschlossen werden können. Siehe dieser Artikel zum Beispiel.

  • Sie können überwachen, ob der PC mit dem Netzwerk verbunden ist, indem Sie beispielsweise den Status des Switch-Ports überwachen, an den das Gerät angeschlossen ist. (Moderne Computer halten die NIC auch bei ausgeschaltetem Computer verbunden, sodass das Herunterfahren des Computers keinen Alarm auslösen sollte). Dies kann mit kostenlosen Open-Source-Lösungen (wie auch immer) kostengünstig durchgeführt werden sollte eine Überwachung in Ihrem Netzwerk haben!)

BEARBEITEN als Antwort auf Kommentar:
Wenn der Benutzer einen drahtlosen Adapter hinzufügt, ist die Metrik dieser neuen Schnittstelle höher als die Metrik der kabelgebundenen Schnittstelle, sodass Windows die kabelgebundene Schnittstelle weiterhin verwendet. Da der Benutzer keine Administratorrechte hat, kann er dies nicht überwinden.

  • Sie können einen Proxy verwenden, um auf das Internet zuzugreifen und die Proxy-Einstellungen über das Gruppenrichtlinienobjekt zu erzwingen. Wenn der Computer vom Netzwerk getrennt ist und nicht auf den Proxy zugreifen kann, kann er auf nichts zugreifen. Diese Lösung könnte in einem kleinen Netzwerk einfach sein, in einem großen Netzwerk jedoch sehr schwer zu implementieren sein.

Wie von @ Hangin in stiller Verzweiflung im Kommentar hervorgehoben, gibt es immer Kosten. Ihre Zeit kostet das Unternehmen Geld, und Sie müssen die tatsächlichen Kosten für die Einrichtung der Sicherheit im Vergleich zu den potenziellen Kosten des schlechten Verhaltens berücksichtigen.

16
JFL

Sie können Gruppenrichtlinien verwenden, um die Installation neuer Netzwerkgeräte zu verhindern.

Eine Option finden Sie unter Administrative Vorlagen\System\Geräteinstallation\Geräteinstallationsbeschränkungen\Verhindern Sie die Installation von Geräten mit Treibern, die diesen Treiber-Setup-Klassen entsprechen.

Aus seiner Beschreibung:

Mit dieser Richtlinieneinstellung können Sie eine Liste der global eindeutigen Kennungen (GUIDs) der Geräte-Setup-Klasse für Gerätetreiber angeben, deren Installation Windows verhindert. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Wenn Sie diese Richtlinieneinstellung aktivieren, kann Windows keine Gerätetreiber installieren oder aktualisieren, deren GUIDs der Geräte-Setup-Klasse in der von Ihnen erstellten Liste angezeigt werden. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient auf den Remotedesktopserver aus.

Mit den Richtlinieneinstellungen können Sie entweder eine Whitelist (die Sie anscheinend nicht möchten) oder eine Blacklist für einzelne Geräte oder ganze Geräteklassen (z. B. Netzwerkadapter) erstellen. Diese werden wirksam, wenn ein Gerät entfernt und wieder eingesetzt wird. , hat also keine Auswirkungen auf die in die Maschine integrierte NIC NIC $ ===, sofern Sie Wenden Sie die Einstellung nicht auf Geräte an, die bereits installiert sind.

Sie müssen auf Liste der Geräte-Setup-Klassen verweisen, um die Klasse für Netzwerkadapter zu finden, nämlich {4d36e972-e325-11ce-bfc1-08002be10318}. Fügen Sie diese Klasse der Blacklist hinzu, und bald darauf kann niemand mehr USB-Netzwerkadapter verwenden.

55
Michael Hampton

Welche Art von Antivirus verwenden Sie? In Kaspersky Antivirus können Sie vertrauenswürdige und lokale Netzwerke definieren. So können Sie Ihr lokales Netzwerk als vertrauenswürdig konfigurieren und andere Netzwerke verbieten. Dies funktioniert, wenn der Computer nur im Büro verwendet wird.

Ich habe KSC und kann alle Computer zentral verwalten. (KSC rule

9
Guntis

Ich denke, eine Option besteht darin, auf dem Zielcomputer ein Skript zu erstellen, um die PC-Netzwerkeinstellungen (z. B. IP-Adresse und Gateway) zu überwachen und Sie (z. B. per E-Mail) zu benachrichtigen, wenn sich etwas ändert.

4
shodanshok

Vergessen Sie niemals, dass der Benutzer Pornos direkt auf dem Mobiltelefon des Benutzers über das Netzwerk LTE abrufen kann, damit niemand es weiß (und ein neues Mobiltelefon hat) ein großer Bildschirm ...) Warum der Benutzer die Brücke auf dem Computer verwendet hat, fasziniert mich.

Das bringt eine weitere wichtige Frage mit sich ... verwalten Sie das Mobiltelefon mit einer Unternehmensregel?

Ein Beispiel aus dem Administratorbuch BES :

Durch Auswahl dieser Regel wird verhindert, dass das Gerät mit einem anderen Computer als dem Apple Configurator Host) gekoppelt wird. Diese Regel gilt nur für Geräte, die mit Apple Configurator) überwacht werden.

oder

Durch Auswahl dieser Regel wird verhindert, dass Benutzer AirDrop verwenden, um Daten für andere Geräte freizugeben. Diese Regel gilt nur für Geräte, die mit Apple Configurator) überwacht werden.

Und ja, die Steuerung des USB ist gut, aber auf diesem Gerät können wichtige Unternehmensdokumente/E-Mails gespeichert sein, und die Nichtsteuerung ist ein Sicherheitsrisiko.

Wenn Sie danach alle Mobiltelefone steuern, können Sie verlangen, dass keine persönliche Zelle am Schreibtisch/Computer des Mitarbeiters vorhanden ist.

In jedem anderen Fall werde ich wie Benutzer DoktorJ sagen, dass sie einem Risiko ausgesetzt sind, wenn sie versuchen, ein großes Setup zu erstellen, um Ihre Sicherheit zu umgehen direkt gefeuert werden.

1
yagmoth555

Zum Anbinden

Sie können festlegen, dass Windows die RNDIS-Treiberdatei c:\windows\inf\wceisvista.inf nicht finden kann.

Für Ihren Test benennen Sie die Erweiterung einfach in ".inf_disable" um. Ihr Betriebssystem kann keine geeigneten Treiber für das Tethering finden.

0
Ylogaf