Як визначити, чи користувач використовує прив'язку через USB?

Нещодавно користувач відключив ПК від своєї компанії від мережі та використовував USB-зв’язок із телефоном Android, щоб повністю обійти мережу компанії та отримати доступ до Інтернету. Я не думаю, що мені потрібно пояснювати, чому це погано. Що було б найкращим способом, з нульової вартості (тобто з відкритим кодом, з використанням сценаріїв та групової політики тощо) та з технічної точки зору (тобто, HR вже було повідомлено, я не думаю, що це якийсь симптом глибшої основної проблеми корпоративної культури тощо), щоб виявити та / або запобігти повторенню подібного? Було б непогано мати загальносистемне рішення (наприклад, використовуючи групову політику), але якщо це неможливо, то можна зробити відповідь на щось конкретне для ПК цієї людини.

Кілька деталей: ПК має Windows 7, приєднаний до домену Active Directory, користувач має звичайні привілеї користувача (не адміністратор), на ПК немає бездротових можливостей, відключення USB-портів не є можливим.

ПРИМІТКА: Дякую за чудові коментарі. Я додав кілька додаткових деталей.

Я думаю, що є багато причин, через які можна було б заборонити прив'язку, але для мого конкретного середовища я можу придумати наступне: (1) Антивірусні оновлення. У нас є локальний антивірусний сервер, який доставляє оновлення на підключені до мережі комп’ютери. Якщо ви не підключені до мережі, ви не можете отримувати оновлення. (2) Оновлення програмного забезпечення. У нас є сервер WSUS і переглядаємо кожне оновлення, щоб затвердити / заборонити. Ми також доставляємо оновлення до інших часто використовуваних програмних програм, таких як Adobe Reader та Flash за допомогою групової політики. Комп'ютери не можуть отримувати оновлення, якщо вони не підключені до локальної мережі (оновлення із зовнішніх серверів оновлення заборонено). (3) Інтернет-фільтрація. Ми відфільтровуємо шкідливі та, ну, неслухняні (?) Сайти.

Більш довідкова інформація: HR вже було повідомлено. Людина, про яку йде мова, - людина високого рівня, тому це трохи хитро. "Зробити приклад" цього працівника, хоча спокусливо не було б гарною ідеєю. Наша фільтрація не є серйозною, я гадаю, що людина, можливо, дивилася на неслухняні сайти, хоча прямих доказів немає (кеш очищений). Він каже, що лише заряджав телефон, але ПК відключений від локальної мережі. Я не хочу потрапити в цю людину в біді, просто, можливо, не допустити, щоб щось подібне повторилося.

Є кілька варіантів:

• У Windows 7 ви можете керувати, які USB-пристрої можна підключити. Дивіться, наприклад, цю статтю .

• Ви можете стежити за тим, що ПК підключений до мережі, наприклад, відстежуючи стан порту комутатора, до якого підключений апарат. (сучасні комп'ютери підтримують підключення NIC, навіть коли машина вимкнена, тому вимкнення комп'ютера не повинно викликати тривогу). Це можна зробити за низькою ціною, використовуючи безкоштовні рішення з відкритим кодом (у будь-якому випадку вам слід мати моніторинг у вашій мережі!)

EDIT у відповідь на коментар:
Якщо користувач додасть бездротовий адаптер, показник цього нового інтерфейсу буде вищим, ніж показник провідного інтерфейсу, тому Windows продовжить використовувати дротовий інтерфейс. Оскільки у користувача немає адміністративних привілеїв, він не може це подолати.

• Ви можете використовувати проксі для доступу до Інтернету та примусити налаштування проксі через GPO. Отже, якщо машина відключена від мережі та не має доступу до проксі, вона не може отримати нічого. Це рішення може бути простим у невеликій мережі, але дуже складно реалізувати у великій мережі.

Як зазначає @Hangin у тихому відчаї у коментарі, завжди є витрати. Ваш час коштує компанії гроші, і ви повинні врахувати фактичну вартість забезпечення безпеки в порівнянні з потенційною вартістю поганої поведінки.

Ви можете використовувати групову політику, щоб запобігти встановленню нових мережевих пристроїв.

Ви знайдете опцію в Адміністративних шаблонах \ Система \ Встановлення пристрою \ Обмеження щодо встановлення пристрою \ Запобігати встановленню пристроїв із використанням драйверів, які відповідають цим класам налаштування драйверів.

З його опису:

Цей параметр політики дає змогу вказати список унікальних ідентифікаторів (GUID) класу настройки пристрою для драйверів пристроїв, яким Windows забороняється встановлювати. Цей параметр політики має перевагу перед будь-яким іншим параметром політики, який дозволяє Windows встановлювати пристрій.

Якщо ви ввімкнули це налаштування політики, Windows забороняється встановлювати або оновлювати драйвери пристроїв, чиї GUID-адреси класів настройки пристрою відображаються у створеному списку. Якщо ввімкнути це налаштування політики на віддаленому сервері настільних комп’ютерів, налаштування політики впливає на перенаправлення зазначених пристроїв з клієнта віддаленого робочого столу на сервер віддаленого робочого столу.

Використовуючи тут налаштування політики, ви можете створити білий список (який, здається, не хочете) або чорний список, або окремих пристроїв або цілих класів пристроїв (наприклад, мережевих адаптерів). Вони набувають чинності, коли пристрій вилучено та повторно встановлено , тому це не вплине на вбудований в машину NIC, за умови, що ви не застосуєте налаштування до вже встановлених пристроїв.

Вам потрібно буде посилатися на перелік класів налаштування пристрою, щоб знайти клас мережевих адаптерів, який є {4d36e972-e325-11ce-bfc1-08002be10318}. Додайте цей клас у чорний список, і незабаром після цього ніхто не зможе використовувати мережеві адаптери USB.

Який тип антивірусу ви використовуєте? У антивірусі Касперського можна визначити надійні та локальні мережі. Отже, ви можете налаштувати свою локальну мережу як надійну та заборонити будь-які інші мережі. Це працює, якщо комп’ютер використовується лише в офісі.

У мене є KSC, і я можу управляти централізованим всім комп’ютером.

Я думаю, що варіант - створити на цільовій машині сценарій для моніторингу налаштувань мережі ПК (наприклад: IP-адреса та шлюз) та попередити вас (наприклад: електронною поштою), коли щось зміниться.

Ніколи не забувайте, що користувач може перевіряти порно безпосередньо на мобільному телефоні користувача через LTE мережу , тому ніхто його ніколи не дізнається (а новий мобільний телефон отримав великий екран ...) Чому користувач використовував міст на комп’ютерних інтригах я.

Це спричинить ще одне важливе питання ... чи керуєте ви мобільним телефоном за допомогою корпоративного правила?

Приклад із книги адміністратора BES :

Вибір цього правила не дозволяє пристрою створити пару з будь-яким комп'ютером, крім хоста Apple Configurator. Це правило стосується лише пристроїв, які контролюються за допомогою Apple Configurator.

або

Вибір цього правила забороняє користувачам використовувати AirDrop для обміну даними з іншими пристроями. Це правило стосується лише пристроїв, які контролюються за допомогою Apple Configurator.

Так, управління USB - це добре, але на цьому пристрої можуть бути важливі корпоративні документи / електронні листи, а не керування ним - це ризик для безпеки.

Після цього, якщо ви керуєте всіма мобільними телефонами, ви можете попросити, щоб на робочому столі / комп’ютері не було жодної особистої стільники.

У будь-якому іншому випадку я скажу, як користувач DoktorJ , що якщо вони спробують підняти велику установку, щоб обійти вашу безпеку, вони будуть ризикувати, що будуть звільнені безпосередньо.

Для прив’язки

Ви можете встановити вікна, які не можуть знайти файл драйверів RNDIS c: \ windows \ inf \ wceisvista.inf файл.

Для вашого тесту просто перейменуйте розширення на ".inf_disable", ваша ОС не зможе знайти відповідних драйверів для прив’язки.