วิธีการตรวจสอบว่าผู้ใช้กำลังใช้การปล่อยสัญญาณผ่าน USB หรือไม่


38

เมื่อเร็ว ๆ นี้ผู้ใช้ถอดปลั๊กพีซีของ บริษัท จากเครือข่ายและใช้การปล่อยสัญญาณ USB ด้วยโทรศัพท์ Android ของพวกเขาเพื่อข้ามเครือข่ายของ บริษัท ทั้งหมดและเข้าถึงอินเทอร์เน็ต ฉันไม่คิดว่าฉันต้องอธิบายสาเหตุที่ไม่ดี สิ่งที่จะเป็นวิธีที่ดีที่สุดจากศูนย์ต้นทุน (เช่นโอเพ่นซอร์สโดยใช้การเขียนสคริปต์และนโยบายกลุ่ม ฯลฯ ) และจุดยืนทางเทคนิค (เช่น HR ได้รับแจ้งแล้วฉันไม่คิดว่านี่เป็นอาการของการเรียงลำดับบางอย่าง ของปัญหาวัฒนธรรมองค์กรที่ลึกซึ้งยิ่งขึ้น ฯลฯ ) เพื่อตรวจสอบและ / หรือป้องกันบางสิ่งเช่นนี้เกิดขึ้นอีกครั้ง มันจะเป็นการดีถ้ามีโซลูชันทั่วทั้งระบบ (เช่นโดยใช้นโยบายกลุ่ม) แต่ถ้าเป็นไปไม่ได้การทำบางสิ่งบางอย่างกับพีซีของบุคคลนี้อาจเป็นคำตอบ

รายละเอียดบางอย่าง: พีซีคือ Windows 7 เข้าร่วมกับโดเมน Active Directory ผู้ใช้มีสิทธิ์ผู้ใช้ธรรมดา (ไม่ใช่ผู้ดูแลระบบ) ไม่มีความสามารถไร้สายบนพีซีการปิดใช้งานพอร์ต USB ไม่ใช่ตัวเลือก

หมายเหตุ: ขอบคุณสำหรับความคิดเห็นที่ดี ฉันเพิ่มรายละเอียดเพิ่มเติม

ฉันคิดว่ามีหลายเหตุผลที่ทำไมคนเราไม่ต้องการอนุญาตให้ทำการปล่อยสัญญาณอินเทอร์เน็ต แต่สำหรับสภาพแวดล้อมเฉพาะของฉันฉันสามารถคิดถึงสิ่งต่อไปนี้ได้: (1) การอัพเดตโปรแกรมป้องกันไวรัส เรามีเซิร์ฟเวอร์ป้องกันไวรัสในตัวเครื่องซึ่งให้การอัพเดทไปยังคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่าย หากคุณไม่ได้เชื่อมต่อกับเครือข่ายคุณจะไม่สามารถรับอัปเดตได้ (2) การอัพเดตซอฟต์แวร์ เรามีเซิร์ฟเวอร์ WSUS และตรวจสอบการอัปเดตแต่ละครั้งเพื่ออนุมัติ / ไม่อนุญาต นอกจากนี้เรายังส่งมอบการอัปเดตโปรแกรมซอฟต์แวร์ที่ใช้กันทั่วไปอื่น ๆ เช่น Adobe Reader และ Flash ผ่านนโยบายกลุ่ม คอมพิวเตอร์ไม่สามารถรับการอัพเดทหากไม่ได้เชื่อมต่อกับเครือข่ายท้องถิ่น (ไม่อนุญาตให้อัปเดตจากเซิร์ฟเวอร์การอัพเดทภายนอก) (3) การกรองอินเทอร์เน็ต เรากรองเว็บไซต์ที่เป็นอันตรายและเอ่อซน (?)

ข้อมูลพื้นฐานเพิ่มเติม: HR ได้รับแจ้งแล้ว บุคคลที่มีปัญหานั้นเป็นบุคคลระดับสูงดังนั้นจึงค่อนข้างยุ่งยาก "ทำตัวเป็นตัวอย่าง" ของพนักงานคนนี้แม้ว่าการล่อใจจะไม่ใช่ความคิดที่ดี การกรองของเราไม่รุนแรงฉันเดาว่าบุคคลนั้นอาจดูเว็บไซต์ที่น่ารังเกียจแม้ว่าจะไม่มีหลักฐานโดยตรง (ล้างแคชแล้ว) เขาบอกว่าเขาเพิ่งชาร์จโทรศัพท์ของเขา แต่พีซีไม่ได้เสียบปลั๊กจากเครือข่ายท้องถิ่น ฉันไม่ต้องการให้บุคคลนี้มีปัญหา แต่อาจป้องกันไม่ให้สิ่งที่คล้ายกันเกิดขึ้นอีกครั้ง


22
ไม่สามารถทำได้ที่ศูนย์ต้นทุน เวลาของคุณมีค่าใช้จ่าย
user9517 รองรับ GoFundMonica

32
หากไม่ใช่ระบบที่ล็อคอย่างสมบูรณ์แสดงว่านี่ไม่ใช่ปัญหาด้านเทคนิค ห้ามการปล่อยสัญญาณตามนโยบายและไว้วางใจให้พนักงานปฏิบัติตามนโยบาย ใช้เวลาในการทำความเข้าใจ / แก้ไขสาเหตุที่พวกเขาต้องการหลีกเลี่ยงเครือข่ายของ บริษัท เพื่อให้งานของพวกเขาเสร็จสิ้นเพื่อที่พวกเขาจะได้ไม่ต้องโยงในอนาคต
JamesRyan

16
ฉันไม่คิดว่าฉันต้องอธิบายสาเหตุที่ไม่ดี ที่จริงโปรดอธิบาย ฉันไม่สามารถคิดถึงเหตุผลที่เป็นปัญหาได้
stommestack

9
@JopV แผนกไอที (โดยเฉพาะอย่างยิ่งสำหรับ บริษัท ขนาดใหญ่) โดยทั่วไปจะใช้ความสามารถในการคำนวณต่ำที่สุดและพยายามทำให้แน่ใจว่าพวกเขาจะไม่สามารถทำลายเครือข่ายโดยไม่ตั้งใจโดยทำสิ่งที่โง่บนอินเทอร์เน็ต ผลลัพธ์คือถ้าคุณอยู่ในช่วงครึ่งเทคโนโลยีของ บริษัท ดังกล่าวโดยทั่วไปคุณจะต้องต่อสู้กับฝ่ายไอทีเพื่อให้สามารถทำสิ่งที่มีประโยชน์ในงานของคุณ ใช่ฉันรู้สึกขมขื่นจากการต่อสู้หลายครั้ง :-)
Kevin Shea

8
@ AndréBorieผู้ใช้สามารถเสียบอุปกรณ์ USB ได้ หากอนุญาตให้ปล่อยสัญญาณอินเทอร์เน็ตอาจอนุญาตให้ใช้ที่เก็บข้อมูล USB ได้เช่นกัน ในเงื่อนไขเหล่านั้นฉันคิดว่ามันปลอดภัยที่จะบอกว่าเครื่องไม่ได้อยู่ในสภาพแวดล้อมที่มีความปลอดภัยสูง
njzk2

คำตอบ:


16

มีหลายทางเลือก:

  • บน windows 7 คุณสามารถควบคุมอุปกรณ์ USB ที่สามารถเชื่อมต่อได้ ดูตัวอย่างบทความนี้

  • คุณสามารถตรวจสอบว่าพีซีเชื่อมต่อกับเครือข่ายตัวอย่างเช่นโดยการตรวจสอบสถานะของพอร์ตสวิทช์ที่เครื่องเชื่อมต่ออยู่ (คอมพิวเตอร์สมัยใหม่ยังคงเชื่อมต่อ NIC แม้ในขณะที่ปิดเครื่องดังนั้นการปิดคอมพิวเตอร์ไม่ควรทำให้เกิดสัญญาณเตือน) สามารถทำได้ในราคาประหยัดโดยใช้โซลูชั่นโอเพนซอร์สฟรี (อย่างไรก็ตามคุณควรมีการตรวจสอบในเครือข่ายของคุณ!)

แก้ไขในการตอบสนองต่อความคิดเห็น:
หากผู้ใช้เพิ่มอะแดปเตอร์ไร้สายตัวชี้วัดของอินเทอร์เฟซใหม่นี้จะสูงกว่าตัวชี้วัดของอินเทอร์เฟซแบบใช้สายดังนั้น Windows จะยังคงใช้อินเทอร์เฟซแบบใช้สาย เนื่องจากผู้ใช้ไม่มีสิทธิ์ระดับผู้ดูแลระบบจึงไม่สามารถเอาชนะสิ่งนี้ได้

  • คุณสามารถใช้พร็อกซีเพื่อเข้าถึงอินเทอร์เน็ตและบังคับใช้การตั้งค่าพร็อกซีผ่าน GPO ดังนั้นหากเครื่องถูกตัดการเชื่อมต่อจากเครือข่ายและไม่สามารถเข้าถึงพร็อกซีได้ก็จะไม่สามารถเข้าถึงสิ่งใด ๆ ได้ การแก้ปัญหานี้อาจทำได้ง่ายในเครือข่ายขนาดเล็ก แต่ยากมากที่จะติดตั้งในเครือข่ายขนาดใหญ่

@Hanginชี้ให้เห็นในความสิ้นคิดเงียบ ๆในความคิดเห็นมีค่าใช้จ่ายเสมอ เวลาของคุณต้องเสียค่าใช้จ่ายกับ บริษัท และคุณต้องพิจารณาต้นทุนจริงของการวางระบบรักษาความปลอดภัยเทียบกับต้นทุนที่เป็นไปได้ของพฤติกรรมที่ไม่ดี


สำหรับโซลูชันที่สองผู้ใช้ยังคงสามารถเพิ่ม NIC / SIM ใหม่แทนการเชื่อมต่อปกติ หากคุณตรวจสอบระบบปฏิบัติการแล้วเขาสามารถทำได้ใน VM วิธีที่สามจะไม่ประสบความสำเร็จเนื่องจากผู้ใช้ยังคงสามารถเชื่อมต่ออินเทอร์เน็ตได้ (ไม่ใช่ทรัพยากรของ บริษัท ซึ่งเขาอาจไม่สนใจอยู่ดี
user121391

2
สำหรับโซลูชันที่สองให้ดูการแก้ไขของฉันในคำตอบของฉัน สำหรับโซลูชันพร็อกซีไม่ควรทำการกำหนดค่าเพื่อให้การเข้าถึงผ่านอินเทอร์เน็ตผ่านพร็อกซีและพร็อกซีไม่พร้อมใช้งานหมายความว่าไม่มีอินเทอร์เน็ต นี่คือการตั้งค่าองค์กรทั่วไป
JFL

ที่จริงแล้วเรามีพร็อกซีเซิร์ฟเวอร์ แต่ด้วยเหตุผลใดก็ตามที่ยังไม่ได้ปรับใช้อย่างสมบูรณ์ ดังที่ JFL กล่าวว่าหากเราปรับใช้พรอกซีโดยใช้นโยบายกลุ่มผู้ใช้จะไม่สามารถเชื่อมต่ออินเทอร์เน็ตนอกเครือข่ายองค์กรได้เนื่องจากพวกเขาไม่มีสิทธิ์ที่จำเป็นในการเปลี่ยนการตั้งค่าพร็อกซี โดยพื้นฐานแล้วพีซีทั้งหมดของเราเป็นเวิร์กสเตชันดังนั้นจึงไม่สามารถเคลื่อนย้ายและเชื่อมต่อกับเครือข่ายภายนอกได้อย่างง่ายดาย
wrieedx

1
พร็อกซีเซิร์ฟเวอร์ยกเว้นการตรวจสอบผ่านใบรับรองสามารถเลียนแบบได้อย่างง่ายดายแม้บนโทรศัพท์ ด้วยแอปที่ถูกต้องฉันคิดว่าคุณไม่จำเป็นต้องรูต การบังคับใช้การตรวจสอบความถูกต้องของพร็อกซียังช่วยแก้ปัญหาการใช้บริดจ์ ETH ในที่สุดทำให้เครื่องผู้ใช้ทั้งหมดกระตุกเป็นระยะจะให้ระบบแจ้งเตือนเพื่อค้นหาผู้คนที่เล่นด้วยสายเคเบิล
Lesto

ไม่มีคำตอบ "ถูกต้อง" 100% สำหรับคำถามนี้และมีการโพสต์คำตอบที่น่าอัศจรรย์มากมาย อย่างไรก็ตามฉันกำลังทำเครื่องหมายคำตอบนี้เป็นคำตอบที่ถูกต้องเพราะคำแนะนำของพร็อกซีเซิร์ฟเวอร์จะทำงานได้อย่างง่ายดายในสภาพแวดล้อมปัจจุบันของฉัน (เรามีพร็อกซีเซิร์ฟเวอร์ แต่ยังไม่ได้ปรับใช้อย่างสมบูรณ์) สำหรับคนอื่นที่ประสบปัญหาที่คล้ายกันโซลูชันอื่น ๆ อาจทำงานได้ดีขึ้น
wrieedx

55

คุณสามารถใช้นโยบายกลุ่มเพื่อป้องกันการติดตั้งอุปกรณ์เครือข่ายใหม่

คุณจะพบตัวเลือกใน Administrative Templates \ System \ Device Installation \ Device Installation ข้อ จำกัด การติดตั้ง \ ป้องกันการติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าไดรเวอร์เหล่านี้

จากคำอธิบาย:

การตั้งค่านโยบายนี้ช่วยให้คุณสามารถระบุรายการของคลาสการตั้งค่าอุปกรณ์ทั่วโลกตัวระบุที่ไม่ซ้ำกัน (GUID) สำหรับไดรเวอร์อุปกรณ์ที่ Windows ป้องกันไม่ให้ติดตั้ง การตั้งค่านโยบายนี้มีความสำคัญมากกว่าการตั้งค่านโยบายอื่น ๆ ที่อนุญาตให้ Windows ติดตั้งอุปกรณ์

หากคุณเปิดใช้งานการตั้งค่านโยบายนี้ Windows จะป้องกันไม่ให้ติดตั้งหรืออัปเดตไดรเวอร์อุปกรณ์ที่มี GUID คลาสการตั้งค่าอุปกรณ์ปรากฏในรายการที่คุณสร้าง หากคุณเปิดใช้งานการตั้งค่านโยบายนี้บนเดสก์ท็อปเซิร์ฟเวอร์ระยะไกลการตั้งค่านโยบายจะส่งผลต่อการเปลี่ยนเส้นทางของอุปกรณ์ที่ระบุจากไคลเอนต์เดสก์ท็อประยะไกลไปยังเซิร์ฟเวอร์เดสก์ท็อประยะไกล

เมื่อใช้การตั้งค่านโยบายที่นี่คุณสามารถสร้างบัญชีขาว (ซึ่งคุณไม่ต้องการ) หรือบัญชีดำไม่ว่าจะเป็นอุปกรณ์เดี่ยวหรืออุปกรณ์ทั้งคลาส (เช่นอะแดปเตอร์เครือข่าย) สิ่งเหล่านี้จะมีผลเมื่ออุปกรณ์ถูกถอดออกและใส่เข้าไปใหม่ดังนั้นจึงไม่มีผลต่อ NIC ในตัวเครื่องหากคุณไม่ได้ใช้การตั้งค่ากับอุปกรณ์ที่ติดตั้งไว้แล้ว

คุณจะต้องอ้างอิงรายการของการเรียนการตั้งค่าอุปกรณ์{4d36e972-e325-11ce-bfc1-08002be10318}เพื่อหาระดับสำหรับอะแดปเตอร์เครือข่ายซึ่งเป็น เพิ่มคลาสนี้ในบัญชีดำและหลังจากนั้นไม่นานจะไม่มีใครสามารถใช้อะแดปเตอร์เครือข่าย USB ได้


7
แน่นอนว่านี่ไม่ได้ป้องกันเพียงแค่ถอดสายอีเธอร์เน็ตและเสียบเข้ากับอุปกรณ์บริดจ์โดยใช้การปล่อยสัญญาณโทรศัพท์
..

2
@R .. ทรูก็ไม่ได้สมบูรณ์แบบ แต่คุณกำลังเสนอคนที่มีความรู้ด้านเทคนิคโดยเฉลี่ยสูงกว่าและนั่นก็ไม่ได้เป็นสิ่งที่ OP กำลังดำเนินการอยู่
Michael Hampton

4
ตัวเลือกที่ง่ายยิ่งกว่านั้นที่จะป้องกันปัญหาด้านความปลอดภัยอื่น ๆ อีกมากมายก็แค่เติมพอร์ต USB ทั้งหมดด้วย epoxy
..

1
@R .. โปรดกลับไปอ่านโพสต์ต้นฉบับ ผู้ใช้ระบุอย่างชัดเจนว่าเขาไม่เต็มใจที่จะทำเช่นนั้น
Michael Hampton

5
แม้ว่าจะไม่ได้ป้องกันการเชื่อมต่อ แต่จะเพิ่มแถบทางเทคนิคและทางกายภาพให้กับการปล่อยสัญญาณโทรศัพท์ ตัวอย่างเช่นฉันมีความรู้ด้านเทคนิคในการตั้งค่าการเชื่อมโยงและสามารถทำได้ในการนอนหลับของฉัน - แต่ฉันไม่มีสะพานว่างเพิ่งวางรอบ อย่างน้อยที่สุดฉันต้องลงทุน $ 15-20 ในเราเตอร์ราคาถูกและใส่ OpenWRT หรือสิ่งที่ชอบ (จากนั้นใช้ WiFi tethering) นอกจากนี้ยังง่ายกว่าที่จะอธิบายว่าโทรศัพท์ของคุณถูกเสียบเข้ากับพอร์ต USB ของคอมพิวเตอร์ของคุณมากกว่ากล่องบลิงแปลก ๆ ที่ห้อยอยู่ด้านหลังของมัน
Doktor J

9

คุณใช้โปรแกรมป้องกันไวรัสประเภทใด ในโปรแกรมป้องกันไวรัส Kaspersky คุณสามารถกำหนดเครือข่ายที่เชื่อถือได้และท้องถิ่น ดังนั้นคุณสามารถกำหนดค่าเครือข่ายท้องถิ่นของคุณเป็นที่เชื่อถือได้และห้ามเครือข่ายอื่น ๆ ใช้งานได้ถ้าใช้คอมพิวเตอร์ในสำนักงานเท่านั้น

ฉันมี KSC และฉันสามารถจัดการคอมพิวเตอร์ทั้งหมดได้จากส่วนกลาง กฎ KSC


นี่เป็นเรื่องดีที่ได้รู้ เราใช้ TrendMicro และฉันคิดว่ารุ่นเฉพาะที่เราใช้ไม่อนุญาตให้เราทำเช่นนี้
wrieedx

4

ฉันคิดว่าตัวเลือกคือการสร้างสคริปต์สำหรับตรวจสอบการตั้งค่าเครือข่ายพีซี (เช่น: ที่อยู่ IP และเกตเวย์) และแจ้งเตือนคุณ (เช่น: ทางอีเมล) เมื่อมีการเปลี่ยนแปลง


เพื่อให้การทำงานนี้เป็นไปได้อย่างไร มีตัวเลือกทริกเกอร์บางอย่างที่สามารถเริ่มสคริปต์เมื่อมีการเปลี่ยนแปลงการตั้งค่าเครือข่ายหรือไม่
wrieedx

1
@wrieedx บางทีการจัดตารางงานกับทริกเกอร์เหตุการณ์ตามสำหรับHardware Events, Microsoft-Windows-Network*หรือSystemบันทึกสามารถทำงานได้ หากคุณมีอุปกรณ์การปล่อยสัญญาณ USB ที่จะทดสอบด้วยคุณสามารถดูว่าเหตุการณ์ใดที่ปรากฏใน Event Viewer เมื่อเชื่อมต่อ / กำหนดค่าและลองสร้างทริกเกอร์โดยยึดตามสิ่งเหล่านั้น แน่นอนว่ากระบวนการ / สคริปต์ใดก็ตามที่ได้รับการเปิดตัวเพื่อแจ้งเตือนคุณเกี่ยวกับเหตุการณ์นี้จะต้องจัดการกับกรณีที่เครื่อง (ในขณะนั้นอย่างน้อย) ถูกตัดการเชื่อมต่อจากเครือข่ายภายในของคุณ
BACON

การแจ้งเตือนพีซีผู้ใช้มีประสิทธิภาพเพียงบางส่วนโทรศัพท์ของผู้ใช้สามารถกรองปริมาณการใช้งานหรือใช้พร็อกซีบางตัวได้ เนื่องจากกฎการกำหนดเส้นทางสามารถตั้งค่าให้ส่งทั้งหมดไปยัง ETH ไม่ว่าอะไรจะดีที่สุดคือการ ping เครื่องผู้ใช้ทั้งหมดทีโอทีและตรวจสอบว่ามีใครถอดปลั๊กออกหรือไม่ ยังคงเป็นไปได้ที่จะใช้สะพาน ETH
Lesto

1

อย่าลืมว่าผู้ใช้สามารถตรวจสอบภาพอนาจารโดยตรงบนมือถือของผู้ใช้ผ่านเครือข่ายLTEดังนั้นจึงไม่มีใครรู้เลย (และโทรศัพท์มือถือใหม่มีหน้าจอขนาดใหญ่ ... ) ทำไมผู้ใช้ใช้บริดจ์ในคอมพิวเตอร์ ฉัน.

นั่นนำมาซึ่งคำถามที่สำคัญอีกข้อหนึ่ง ... คุณจัดการโทรศัพท์มือถือด้วยกฎองค์กรได้หรือไม่

ตัวอย่างจากหนังสือผู้ดูแลระบบBES :

การเลือกกฎนี้จะป้องกันไม่ให้อุปกรณ์จับคู่กับคอมพิวเตอร์เครื่องอื่นนอกเหนือจากโฮสต์ Apple Configurator กฎนี้ใช้กับอุปกรณ์ที่ตรวจสอบโดยใช้ Apple Configurator เท่านั้น

หรือ

การเลือกกฎนี้ป้องกันผู้ใช้จากการใช้ AirDrop เพื่อแบ่งปันข้อมูลกับอุปกรณ์อื่น ๆ กฎนี้ใช้กับอุปกรณ์ที่ตรวจสอบโดยใช้ Apple Configurator เท่านั้น

และใช่การควบคุม USB นั้นดี แต่อุปกรณ์นั้นสามารถมีเอกสาร / อีเมลขององค์กรที่สำคัญได้และไม่ได้ควบคุมว่าเป็นความเสี่ยงด้านความปลอดภัย

หลังจากนั้นถ้าคุณควบคุมโทรศัพท์มือถือทั้งหมดคุณสามารถขอให้ไม่มีเซลล์ส่วนบุคคลปรากฏที่โต๊ะทำงาน / คอมพิวเตอร์

สำหรับกรณีอื่น ๆ ฉันจะบอกเหมือนผู้ใช้DoktorJว่าถ้าพวกเขาพยายามที่จะนำการตั้งค่าขนาดใหญ่เพื่อหลีกเลี่ยงความปลอดภัยของคุณพวกเขาจะเสี่ยงต่อการถูกยิงโดยตรง


0

สำหรับการปล่อยสัญญาณ

คุณสามารถตั้งค่า windows ไม่พบไฟล์ไดรเวอร์ RNDIS c: \ windows \ inf \ wceisvista.inf

สำหรับการทดสอบของคุณเพียงแค่เปลี่ยนชื่อส่วนขยายเป็น ".inf_disable" ระบบปฏิบัติการของคุณจะไม่สามารถค้นหาไดรเวอร์ที่เหมาะสมสำหรับการปล่อยสัญญาณ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.