Come rilevare se un utente sta usando il tethering USB?

38

Recentemente un utente ha scollegato il proprio PC aziendale dalla rete e utilizzato il tethering USB con il proprio telefono Android per bypassare completamente la rete aziendale e accedere a Internet. Non credo di dover spiegare perché questo è negativo. Quale sarebbe il modo migliore, da un costo zero (ad esempio open source, utilizzando script e criteri di gruppo, ecc.) E dal punto di vista tecnico (ovvero che le risorse umane sono già state notificate, non penso che questo sia un sintomo di qualche tipo di un più profondo problema di cultura aziendale sottostante, ecc.), per rilevare e / o impedire che qualcosa del genere si ripeta? Sarebbe bello avere una soluzione a livello di sistema (ad es. Usando i criteri di gruppo), ma se ciò non fosse possibile fare qualcosa di specifico per il PC di questa persona potrebbe anche essere una risposta.

Alcuni dettagli: il PC è Windows 7 unito a un dominio Active Directory, l'utente ha i privilegi dell'utente ordinario (non amministratore), non ci sono funzionalità wireless sul PC, disabilitare le porte USB non è un'opzione

NOTA: grazie per gli ottimi commenti. Ho aggiunto alcuni dettagli aggiuntivi.

Penso che ci siano molte ragioni per cui si vorrebbe impedire il tethering, ma per il mio ambiente particolare posso pensare a quanto segue: (1) Aggiornamenti antivirus. Disponiamo di un server antivirus locale che fornisce aggiornamenti ai computer collegati in rete. Se non si è connessi alla rete, non è possibile ricevere gli aggiornamenti. (2) Aggiornamenti software. Abbiamo un server WSUS ed esaminiamo ogni aggiornamento per approvare / non consentire. Forniamo anche aggiornamenti ad altri programmi software di uso comune come Adobe Reader e Flash tramite criteri di gruppo. I computer non possono ricevere gli aggiornamenti se non sono connessi alla rete locale (non è consentito l'aggiornamento da server di aggiornamento esterni). (3) Filtro Internet. Filtriamo i siti dannosi e (...) cattivi.

Ulteriori informazioni di base: le risorse umane sono già state informate. La persona in questione è una persona di alto livello, quindi è un po 'complicata. "Fare un esempio" di questo dipendente, anche se la tentazione non sarebbe una buona idea. Il nostro filtro non è severo, immagino che la persona abbia guardato siti cattivi anche se non ci sono prove dirette (la cache è stata cancellata). Dice che stava solo caricando il suo telefono, ma il PC è stato scollegato dalla rete locale. Non sto cercando di mettere questa persona nei guai, forse solo per impedire che accada di nuovo qualcosa di simile.

windows  android 
wrieedx
fonte
22
Non può essere fatto a costo zero. Il tuo tempo è costoso.
user9517 supporta GoFundMonica il
32
Se non è un sistema completamente bloccato, questo non è un problema tecnico. Vieta il tethering per politica e fidati dei tuoi dipendenti di seguire la politica. Trascorri il tuo tempo a capire / risolvere il motivo per cui avevano bisogno di evitare la rete aziendale al fine di svolgere il proprio lavoro, in modo da non dover legare in futuro.
JamesRyan,
16
Non credo di dover spiegare perché questo è negativo. In realtà, per favore spiegalo. Non riesco a pensare a un motivo per cui questo è un problema.
Stommestack,
9
@JopV. I dipartimenti IT (specialmente per le grandi aziende) generalmente lavorano con la più bassa capacità di calcolo e cercano di assicurarsi che non possano accidentalmente rompere la rete facendo qualcosa di stupido su Internet. Il risultato è che se sei nella metà tecnologica di detta azienda, generalmente hai una battaglia in corso con l'IT per essere in grado di fare qualcosa di utile nel tuo lavoro. Sì, sono amaro da molte di queste battaglie :-)
Kevin Shea,
8
@ AndréBorie l'utente è stato in grado di collegare un dispositivo USB. Se è consentito il tethering, è probabilmente autorizzata anche l'archiviazione di massa USB. In tali condizioni, penso sia sicuro affermare che la macchina non si trovava in un ambiente ad alta sicurezza.
njzk2,

Risposte:

16

Esistono diverse opzioni:

  • Su Windows 7 puoi controllare quali dispositivi USB possono essere collegati. Vedi questo articolo per esempio.

  • È possibile monitorare che il PC sia collegato alla rete, ad esempio monitorando lo stato della porta dello switch a cui è collegata la macchina. (i computer moderni mantengono la scheda di rete connessa anche quando la macchina è spenta, quindi lo spegnimento del computer non dovrebbe attivare un allarme). Questo può essere fatto a basso costo usando soluzioni open source gratuite (comunque dovresti avere un monitoraggio nella tua rete!)

MODIFICA in risposta al commento:
se l'utente aggiunge un adattatore wireless, la metrica di questa nuova interfaccia sarà superiore alla metrica dell'interfaccia cablata, quindi Windows continuerà a utilizzare l'interfaccia cablata. Poiché l'utente non ha i privilegi di amministratore, non può superare questo.

  • È possibile utilizzare un proxy per accedere a Internet e forzare le impostazioni del proxy tramite l'oggetto Criteri di gruppo. Pertanto, se la macchina è disconnessa dalla rete e non può accedere al proxy, non può accedere a nulla. Questa soluzione potrebbe essere semplice in una piccola rete, ma molto difficile da implementare in una grande rete.

Come sottolineato da @Hangin in silenzio nella disperazione nei commenti, c'è sempre un costo. Il tuo tempo costa denaro per l'azienda e devi considerare il costo effettivo di mettere in atto la sicurezza rispetto al costo potenziale di un comportamento scorretto.

JFL
fonte
Per la seconda soluzione, l'utente potrebbe comunque aggiungere una nuova scheda NIC / SIM invece di sostituire la normale connessione. Se poi controlli il sistema operativo, potrebbe farlo in una macchina virtuale. La terza soluzione non raggiungerebbe nulla, in quanto l'utente potrebbe ancora connettersi a Internet (solo non alle risorse aziendali, che presumibilmente non gli interessa comunque.
user121391
2
Per la seconda soluzione, vedi la mia modifica nella mia risposta. Per la soluzione proxy, non è necessario eseguire la configurazione, pertanto l'accesso a Internet attraverso il proxy e il proxy non disponibile significa che non è disponibile Internet. Questa è una configurazione aziendale comune.
JFL,
In realtà, abbiamo un server proxy, ma per qualsiasi motivo non l'abbiamo ancora completamente implementato. Come afferma JFL, se implementiamo completamente il proxy utilizzando i criteri di gruppo, gli utenti non saranno in grado di connettersi a Internet al di fuori della rete aziendale perché non dispongono delle autorizzazioni necessarie per modificare le impostazioni del proxy. Fondamentalmente tutti i nostri PC sono workstation, quindi non possono essere facilmente spostati e collegati a reti esterne.
wrieedx,
1
Il server proxy, se non verificato tramite un certificato, può essere facilmente simulato anche su un telefono; con l'app giusta, penso che non devi nemmeno essere root. Forzare la convalida del proxy risolve anche il problema dell'utilizzo di un bridge ETH. Infine, il ping periodico di tutte le macchine degli utenti darebbe periodicamente un sistema di allarme per trovare persone che giocano con i cavi
Lesto,
Non esiste una risposta "corretta" al 100% per questa domanda e sono state pubblicate molte risposte davvero fantastiche. Tuttavia, sto contrassegnando questa risposta come corretta perché il suggerimento del server proxy funzionerà con il minimo sforzo dato il mio ambiente attuale (abbiamo un server proxy ma non è stato ancora completamente distribuito). Per altre persone che affrontano un problema simile, altre soluzioni potrebbero funzionare meglio.
wrieedx,
55

È possibile utilizzare Criteri di gruppo per impedire l'installazione di nuovi dispositivi di rete.

Troverai un'opzione in Modelli amministrativi \ Sistema \ Installazione dispositivo \ Restrizioni installazione dispositivo \ Impedisci l'installazione di dispositivi utilizzando driver che corrispondono a queste classi di configurazione del driver.

Dalla sua descrizione:

Questa impostazione di criterio consente di specificare un elenco di identificatori univoci (GUID) della classe di configurazione del dispositivo per i driver di dispositivo che Windows non può installare. Questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione di criterio che consente a Windows di installare un dispositivo.

Se si abilita questa impostazione di criterio, a Windows viene impedito di installare o aggiornare i driver di dispositivo i cui GUID della classe di installazione del dispositivo vengono visualizzati nell'elenco creato. Se si abilita questa impostazione di criterio su un server desktop remoto, l'impostazione del criterio influisce sul reindirizzamento dei dispositivi specificati da un client desktop remoto al server desktop remoto.

Utilizzando qui le impostazioni dei criteri, è possibile creare una whitelist (che sembra non volere) o una lista nera, sia di singoli dispositivi che di intere classi di dispositivi (come gli adattatori di rete). Questi diventano effettivi quando un dispositivo viene rimosso e reinserito , quindi non influirà sulla scheda NIC incorporata nella macchina, a condizione che non si applichi l'impostazione ai dispositivi già installati.

Sarà necessario fare riferimento all'elenco delle classi di configurazione del dispositivo per trovare la classe per le schede di rete, ovvero {4d36e972-e325-11ce-bfc1-08002be10318}. Aggiungi questa classe alla lista nera e subito dopo nessuno sarà in grado di utilizzare gli adattatori di rete USB.

Michael Hampton
fonte
7
Ovviamente ciò non impedisce di scollegare il cavo Ethernet e collegarlo a un dispositivo bridge utilizzando il tethering del telefono.
R ..
2
@R .. Vero, non è perfetto . Ma stai proponendo qualcuno con conoscenze tecniche sopra la media, e questo non sembra essere ciò con cui il PO si sta occupando.
Michael Hampton
4
Bene, un'opzione ancora più semplice che impedirebbe anche molti altri problemi di sicurezza è semplicemente riempire tutte le porte USB con resina epossidica.
R ..
1
@R .. Per favore, torna indietro e leggi il post originale. L'utente ha dichiarato esplicitamente che non era disposto a farlo.
Michael Hampton
5
Anche se non impedisce il ponte, aumenta le barre tecniche E fisiche per il tethering del telefono. Ad esempio, ho le conoscenze tecniche per impostare il bridge e potrei farlo nel sonno, ma non ho un ponte di riserva che giace in giro. Come minimo avrei bisogno di investire $ 15-20 in un router economico e mettere OpenWRT o simili su di esso (quindi utilizzare il tethering WiFi). Inoltre, è molto più facile spiegare che il tuo telefono è collegato alla porta USB del tuo computer di una strana scatola lampeggiante che pende dal retro.
Doktor J,
9

Che tipo di antivirus stai usando? Nell'antivirus Kaspersky è possibile definire reti affidabili e locali. Quindi, puoi configurare la tua rete locale come affidabile e proibire qualsiasi altra rete. Funziona se il computer viene utilizzato solo in ufficio.

Ho KSC e posso gestire tutti i computer centralizzati. Regola KSC

Guntis
fonte
Questo è davvero bello da sapere. Stiamo usando TrendMicro e penso che la particolare versione che stiamo usando non ci consenta di farlo.
wrieedx,
4

Penso che un'opzione sia quella di creare, sulla macchina di destinazione, uno script per monitorare le impostazioni di rete del PC (ad esempio: indirizzo IP e gateway) e avvisare (ad esempio: via e-mail) quando qualcosa cambia.

shodanshok
fonte
Per farlo funzionare, come si monitorano le impostazioni di rete del PC? C'è una sorta di opzione di trigger disponibile da qualche parte che può avviare uno script quando cambiano le impostazioni di rete?
wrieedx,
1
@wrieedx Forse un'operazione pianificata con un trigger event-based per il Hardware Events, Microsoft-Windows-Network*, o Systemceppi potrebbero lavorare. Se hai un dispositivo di tethering USB da testare puoi vedere quali eventi vengono visualizzati nel Visualizzatore eventi quando è collegato / configurato e provare a creare un trigger basato su quelli. Ovviamente, qualunque processo / script venga lanciato per avvisare l'utente di questo evento dovrebbe gestire il caso in cui la macchina è (almeno in quel momento) disconnessa dalla rete interna.
BACON,
L'avviso del PC dell'utente è solo parzialmente efficace, il telefono dell'utente potrebbe filtrare il traffico o utilizzare un proxy. Poiché le regole di routing potrebbero essere impostate per inviare tutto all'ETH, qualunque cosa accada, sarebbe meglio eseguire il ping di tutte le macchine utente ogni tot e verificare se qualcuno lo ha staccato. Tuttavia, è possibile utilizzare un ponte ETH.
Lesto,
1

Non dimenticare mai che l'utente può controllare il porno direttamente sul cellulare dell'utente tramite la rete LTE , quindi nessuno lo saprà mai (e un nuovo telefono cellulare ha un grande schermo ...) Perché l'utente ha usato il bridge sugli intrighi del computer me.

Ciò comporta un'altra importante domanda ... gestisci il cellulare con una regola aziendale?

Un esempio dal libro dell'amministratore di BES :

La selezione di questa regola impedisce al dispositivo di associarsi a qualsiasi computer diverso dall'host Apple Configurator. Questa regola si applica solo ai dispositivi supervisionati tramite Apple Configurator.

o

La selezione di questa regola impedisce agli utenti di utilizzare AirDrop per condividere dati con altri dispositivi. Questa regola si applica solo ai dispositivi supervisionati tramite Apple Configurator.

E sì, controllare l'USB è buono, ma quel dispositivo può contenere importanti documenti / e-mail aziendali e non controllarlo è un rischio per la sicurezza.

Dopodiché, se controlli tutti i cellulari, puoi chiedere che nessuna cellula personale sia presente sulla scrivania / computer dei dipendenti.

Per ogni altro caso, dirò come l'utente DoktorJ , che se provano a portare una grande configurazione per bypassare la tua sicurezza, saranno a rischio di essere licenziati direttamente.

yagmoth555 - GoFundMe Monica
fonte
0

Per il tethering

È possibile impostare Windows incapace di trovare il file dei driver RNDIS c: \ windows \ inf \ wceisvista.inf.

Per il tuo test basta rinominare l'estensione in ".inf_disable", il tuo sistema operativo non sarà in grado di trovare i driver appropriati per il tethering.

Ylogaf
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.