Como detectar se um usuário está usando tethering USB?

Navegue suas respostas
36

Recentemente, um usuário desconectou o PC da empresa da rede e usou o tethering USB com o telefone Android para ignorar a rede da empresa e acessar a Internet. Eu não acho que precise explicar por que isso é ruim. Qual seria a melhor maneira, de um custo zero (ou seja, código-fonte aberto, usando scripts e política de grupo, etc.) e ponto de vista técnico (ou seja, HR já foi notificado, eu não acho que isso é um sintoma de algum tipo de um problema de cultura corporativa subjacente mais profundo, etc.), para detectar e / ou impedir que algo como isto aconteça novamente? Seria bom ter uma solução para todo o sistema (por exemplo, usando política de grupo), mas se isso não for possível, fazer algo específico ao PC dessa pessoa também pode ser uma resposta.

Alguns detalhes: O PC é o Windows 7 juntou-se a um domínio do Active Directory, o usuário tem privilégios de usuário comum (não administrador), não há recursos sem fio no PC, desabilitar as portas USB não é uma opção

NOTA: Obrigado pelos ótimos comentários. Eu adicionei alguns detalhes adicionais.

Eu acho que há muitas razões pelas quais alguém poderia querer proibir o tethering, mas no meu ambiente particular eu posso pensar no seguinte: (1) Atualizações do antivírus. Temos um servidor antivírus local que fornece atualizações para computadores conectados em rede. Se você não estiver conectado à rede, não poderá receber as atualizações. (2) Atualizações de Software. Temos um servidor WSUS e revisamos cada atualização para aprovar / não permitir. Também fornecemos atualizações para outros programas de software comumente usados, como o Adobe Reader e o Flash, por meio da política de grupo. Os computadores não podem receber atualizações se não estiverem conectados à rede local (a atualização de servidores de atualização externos não é permitida). (3) filtragem da Internet. Filtramos sites mal-intencionados e maliciosos (?). Ao usar uma corda, você pode ignorar o filtro e acessar esses sites e possivelmente comprometer a segurança do seu computador.

Mais informações básicas: o RH já foi notificado. A pessoa em questão é uma pessoa de alto nível, por isso é um pouco complicado. "Fazer um exemplo" desse funcionário, embora tentador, não seria uma boa ideia. Nossa filtragem não é grave, acredito que a pessoa possa estar olhando para sites maliciosos, embora não haja evidência direta (o cache foi apagado). Ele diz que estava apenas carregando seu telefone, mas o PC foi desconectado da rede local. Eu não estou querendo colocar essa pessoa em apuros, apenas impedir que algo semelhante aconteça novamente.

    
por wrieedx 05.10.2016 / 07:56

6 respostas

15

Existem várias opções:

  • No Windows 7, você pode controlar quais dispositivos USB podem ser conectados. Consulte este artigo , por exemplo.

  • Você pode monitorar se o PC está conectado à rede, por exemplo, monitorando o status da porta do switch à qual a máquina está conectada. (computadores modernos mantêm a NIC conectada mesmo quando a máquina está desligada, portanto, desligar o computador não deve acionar um alarme). Isso pode ser feito com baixo custo usando soluções livres de código aberto (de qualquer forma você deve ter um monitoramento em sua rede!)

EDIT em resposta ao comentário:
Se o usuário adicionar um adaptador sem fio, a métrica dessa nova interface será maior do que a métrica da interface com fio, portanto, o Windows continuará usando a interface com fio. Como o usuário não tem privilégios administrativos, ele não pode superar isso.

  • Você poderia usar um proxy para acessar a Internet e forçar as configurações de proxy por meio do GPO. Portanto, se a máquina estiver desconectada da rede e não puder acessar o proxy, ela não poderá acessar nada. Essa solução pode ser fácil em uma rede pequena, mas muito difícil de implementar em uma rede grande.

Como apontado por @Hangin em desespero silencioso no comentário, há sempre um custo. Seu tempo custa dinheiro para a empresa, e você tem que considerar o custo real de colocar em prática a segurança versus o custo potencial do mau comportamento.

    
por 05.10.2016 / 08:39
55

Você pode usar a Política de Grupo para impedir a instalação de novos dispositivos de rede.

Você encontrará uma opção em Modelos Administrativos \ Sistema \ Instalação de Dispositivo \ Restrições de Instalação de Dispositivo \ Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de driver.

Da sua descrição:

This policy setting allows you to specify a list of device setup class globally unique identifiers (GUIDs) for device drivers that Windows is prevented from installing. This policy setting takes precedence over any other policy setting that allows Windows to install a device.

If you enable this policy setting, Windows is prevented from installing or updating device drivers whose device setup class GUIDs appear in the list you create. If you enable this policy setting on a remote desktop server, the policy setting affects redirection of the specified devices from a remote desktop client to the remote desktop server.

Usando as configurações de política aqui, você pode criar uma lista de desbloqueio (que parece não querer) ou uma lista negra, seja de dispositivos individuais ou de classes inteiras de dispositivos (como adaptadores de rede). Estes efeitos surgem quando um dispositivo é removido e reinserido , por isso não afetará a NIC incorporada a máquina, desde que você não aplique a configuração aos dispositivos que já estão instalados.

Você precisará consultar a lista de configurações de dispositivos classes para encontrar a classe para os adaptadores de rede, que é {4d36e972-e325-11ce-bfc1-08002be10318} . Adicione essa classe à lista negra e, logo em seguida, ninguém poderá usar adaptadores de rede USB.

    
por 05.10.2016 / 11:21
8

Que tipo de antivírus você está usando? No antivírus Kaspersky, você pode definir redes confiáveis e locais. Assim, você pode configurar sua rede local como confiável e proibir qualquer outra rede. Isso funciona se o computador for usado apenas no escritório.

Eu tenho KSC e posso gerenciar centralizado todo o computador.

    
por 06.10.2016 / 21:56
4

Acho que uma opção é criar, na máquina de destino, um script para monitorar as configurações de rede do PC (por exemplo: endereço IP e gateway) e para alertá-lo (por exemplo: via e-mail) quando algo mudar.

    
por 05.10.2016 / 08:04
1

Nunca se esqueça de que o usuário pode verificar pornografia diretamente no celular do usuário pela rede LTE , por isso não Ninguém nunca vai saber (e um novo celular tem uma tela grande ...) Por que o usuário usou a ponte no computador me intriga.

Isso traz outra importante questão ... você gerencia o celular com uma regra corporativa?

Um exemplo do livro do administrador do BES :

Selecting this rule prevents the device from pairing with any computer other than the Apple Configurator host. This rule applies only to devices that are supervised using Apple Configurator.

ou

Selecting this rule prevents users from using AirDrop to share data with other devices. This rule applies only to devices that are supervised using Apple Configurator.

E sim, controlar o USB é bom, mas esse dispositivo pode ter documentos / e-mails corporativos importantes e não controlá-lo é um risco de segurança.

Depois disso, se você controlar todos os celulares, poderá solicitar que nenhuma célula pessoal esteja presente na mesa / computador do funcionário.

Para qualquer outro caso, eu direi como usuário DoktorJ , que se eles tentarem trazer uma grande configuração para contornar sua segurança, eles correrão o risco de serem demitidos diretamente.

    
por 07.10.2016 / 05:51
0

Para amarrar

Você pode definir as janelas incapazes de encontrar o arquivo c: \ windows \ inf \ wceisvista.inf do arquivo de drivers do RNDIS.

Para o seu teste basta renomear a extensão para ".inf_disable", o seu sistema operacional não será capaz de encontrar um driver apropriado para tethering.

    
por 15.12.2017 / 12:08
Um melhor unix encontra com processamento paralelo? Como verificar a utilização de E / S de disco por processo