Làm cách nào để phát hiện xem người dùng có đang sử dụng kết nối USB không?


38

Gần đây, một người dùng đã rút PC của công ty khỏi mạng và sử dụng kết nối USB với điện thoại Android của họ để vượt qua mạng công ty hoàn toàn và truy cập internet. Tôi không nghĩ rằng tôi cần phải giải thích tại sao điều này là xấu. Điều gì sẽ là cách tốt nhất, từ chi phí bằng không (tức là nguồn mở, sử dụng chính sách kịch bản và nhóm, v.v.) và quan điểm kỹ thuật (tức là HR đã được thông báo, tôi không nghĩ rằng đây là một triệu chứng thuộc loại nào đó về vấn đề văn hóa doanh nghiệp tiềm ẩn sâu hơn, v.v.), để phát hiện và / hoặc ngăn chặn điều gì đó như thế này xảy ra lần nữa? Sẽ rất tốt nếu có một giải pháp toàn hệ thống (ví dụ: bằng cách sử dụng chính sách nhóm), nhưng nếu điều đó là không thể thì làm một cái gì đó cụ thể cho PC của người này cũng có thể là một câu trả lời.

Một vài chi tiết: PC là Windows 7 được nối với miền Active Directory, người dùng có đặc quyền người dùng thông thường (không phải quản trị viên), không có khả năng không dây trên PC, vô hiệu hóa cổng USB không phải là một tùy chọn

LƯU Ý: Cảm ơn bạn đã cho ý kiến ​​tuyệt vời. Tôi đã thêm một số chi tiết bổ sung.

Tôi nghĩ rằng có rất nhiều lý do khiến người ta muốn không cho phép trói buộc, nhưng đối với môi trường cụ thể của tôi, tôi có thể nghĩ ra những điều sau: (1) Cập nhật chống vi-rút. Chúng tôi có một máy chủ chống vi-rút cục bộ cung cấp các bản cập nhật cho các máy tính được kết nối mạng. Nếu bạn không được kết nối với mạng, bạn không thể nhận được các bản cập nhật. (2) Cập nhật phần mềm. Chúng tôi có máy chủ WSUS và xem xét từng bản cập nhật để phê duyệt / không cho phép. Chúng tôi cũng cung cấp các bản cập nhật cho các chương trình phần mềm thường được sử dụng khác như Adobe Reader và Flash thông qua chính sách nhóm. Máy tính không thể nhận được cập nhật nếu chúng không được kết nối với mạng cục bộ (không được phép cập nhật từ các máy chủ cập nhật bên ngoài). (3) Lọc Internet. Chúng tôi lọc các trang web độc hại và, uh, nghịch ngợm (?).

Thêm thông tin cơ bản: Nhân sự đã được thông báo. Người trong câu hỏi là một người cấp cao nên có một chút khó khăn. "Làm gương" cho nhân viên này mặc dù cám dỗ sẽ không phải là một ý tưởng hay. Quá trình lọc của chúng tôi không nghiêm trọng, tôi đoán rằng người đó có thể đã xem các trang web nghịch ngợm mặc dù không có bằng chứng trực tiếp (bộ nhớ cache đã bị xóa). Anh ta nói rằng anh ta chỉ sạc điện thoại của mình, nhưng PC đã được rút ra khỏi mạng cục bộ. Tôi không muốn khiến người này gặp rắc rối, chỉ có thể ngăn điều tương tự xảy ra lần nữa.


22
Nó không thể được thực hiện với chi phí bằng không. Thời gian của bạn là chi phí.
user9517 hỗ trợ GoFundMonica

32
Nếu nó không phải là một hệ thống bị khóa hoàn toàn thì đây không phải là vấn đề kỹ thuật. Cấm buộc bằng chính sách và tin tưởng nhân viên của bạn tuân theo chính sách. Dành thời gian của bạn để hiểu / sửa chữa lý do tại sao họ cần tránh mạng công ty để hoàn thành công việc của họ, để họ không cần phải trói buộc trong tương lai.
JamesRyan

16
Tôi không nghĩ rằng tôi cần phải giải thích tại sao điều này là xấu. Trên thực tế, xin vui lòng giải thích nó. Tôi không thể nghĩ ra lý do tại sao đây là một vấn đề.
stommestack

9
@JopV. Các bộ phận CNTT (đặc biệt là các công ty lớn) thường làm việc với khả năng tính toán thấp nhất và cố gắng đảm bảo rằng họ không thể vô tình phá vỡ mạng bằng cách làm điều gì đó ngu ngốc trên internet. Kết quả là nếu bạn ở một nửa công nghệ của công ty đã nói, bạn thường có một cuộc chiến với CNTT để có thể làm điều gì đó hữu ích trong công việc của bạn. Vâng, tôi cay đắng từ một vài trong số những trận chiến này :-)
Kevin Shea

8
@ AndréBorie người dùng đã có thể cắm thiết bị USB. Nếu chia sẻ kết nối được cho phép, bộ lưu trữ lớn USB cũng có thể được ủy quyền. Trong những điều kiện đó, tôi nghĩ an toàn khi nói rằng máy không ở trong môi trường bảo mật cao.
njzk2

Câu trả lời:


16

Có một số lựa chọn:

  • Trên windows 7, bạn có thể điều khiển thiết bị USB nào có thể được kết nối. Xem bài viết này cho ví dụ.

  • Bạn có thể theo dõi rằng PC được kết nối với mạng, ví dụ bằng cách theo dõi trạng thái của cổng chuyển đổi mà máy được kết nối. (các máy tính hiện đại giữ cho kết nối NIC ngay cả khi máy tắt, vì vậy tắt máy tính sẽ không kích hoạt báo động). Điều này có thể được thực hiện với chi phí thấp bằng cách sử dụng các giải pháp nguồn mở miễn phí (dù sao bạn cũng nên có một giám sát trong mạng của mình!)

EDIT để phản hồi nhận xét:
Nếu người dùng thêm bộ điều hợp không dây, số liệu của giao diện mới này sẽ cao hơn số liệu của giao diện có dây, vì vậy Windows sẽ tiếp tục sử dụng giao diện có dây. Vì người dùng không có đặc quyền quản trị, anh ta không thể khắc phục điều này.

  • Bạn có thể sử dụng proxy để truy cập Internet và buộc cài đặt proxy qua máng GPO. Vì vậy, nếu máy bị ngắt kết nối mạng và không thể truy cập proxy, nó không thể truy cập bất cứ thứ gì. Giải pháp này có thể dễ dàng trong một mạng nhỏ, nhưng rất khó thực hiện trong mạng lớn.

Như @Hangin đã chỉ ra trong sự tuyệt vọng thầm lặng trong bình luận, luôn có một cái giá phải trả. Thời gian của bạn tiêu tốn tiền cho công ty và bạn phải xem xét chi phí thực tế của việc đặt bảo mật so với chi phí tiềm năng của hành vi xấu.


Đối với giải pháp thứ hai, người dùng vẫn có thể thêm một NIC / SIM mới thay vì kết nối thông thường. Nếu sau đó bạn giám sát HĐH, anh ta có thể làm điều đó trong VM. Giải pháp thứ ba sẽ chẳng đạt được gì, vì người dùng vẫn có thể kết nối với internet (không phải là tài nguyên của công ty, mà dù sao anh ta cũng không quan tâm.
user 121391

2
Đối với giải pháp thứ hai, xem chỉnh sửa của tôi trong câu trả lời của tôi. Đối với giải pháp proxy, không nên thực hiện cấu hình để truy cập Internet vượt qua máng proxy và proxy không khả dụng nghĩa là không có Internet. Đây là một thiết lập doanh nghiệp phổ biến.
JFL

Trên thực tế, chúng tôi có một máy chủ proxy, nhưng vì bất kỳ lý do gì vẫn chưa triển khai đầy đủ. Như JFL nói, nếu chúng tôi triển khai đầy đủ proxy bằng chính sách nhóm, người dùng sẽ không thể kết nối với internet bên ngoài mạng công ty vì họ không có quyền cần thiết để thay đổi cài đặt proxy. Về cơ bản, tất cả các PC của chúng tôi đều là máy trạm để chúng không thể dễ dàng di chuyển và kết nối với các mạng bên ngoài.
wrieedx

1
Máy chủ proxy, trừ khi được xác minh thông qua chứng chỉ, có thể dễ dàng bắt chước ngay cả trên điện thoại; với ứng dụng phù hợp, tôi nghĩ bạn thậm chí không cần phải root. Buộc xác thực proxy cũng giải quyết vấn đề sử dụng cầu ETH. Cuối cùng, ping tất cả các máy người dùng định kỳ sẽ cung cấp một hệ thống cảnh báo để tìm những người chơi xung quanh bằng dây cáp
Lesto

Thực sự không có câu trả lời "đúng" 100% cho câu hỏi này và rất nhiều câu trả lời thực sự tuyệt vời đã được đăng. Tuy nhiên, tôi đánh dấu câu trả lời này là câu trả lời đúng vì đề xuất máy chủ proxy sẽ hoạt động với nỗ lực tối thiểu trong môi trường hiện tại của tôi (chúng tôi có máy chủ proxy nhưng chưa được triển khai đầy đủ). Đối với những người khác phải đối mặt với một vấn đề tương tự, các giải pháp khác có thể hoạt động tốt hơn.
wrieedx

55

Bạn có thể sử dụng Chính sách nhóm để ngăn cài đặt các thiết bị mạng mới.

Bạn sẽ tìm thấy một tùy chọn trong Mẫu quản trị \ Hệ thống \ Cài đặt thiết bị \ Hạn chế cài đặt thiết bị \ Ngăn chặn cài đặt thiết bị bằng trình điều khiển phù hợp với các lớp thiết lập trình điều khiển này.

Từ mô tả của nó:

Cài đặt chính sách này cho phép bạn chỉ định danh sách các lớp định danh duy nhất trên toàn cầu (GUID) cho trình điều khiển thiết bị mà Windows bị ngăn không cho cài đặt. Cài đặt chính sách này được ưu tiên hơn bất kỳ cài đặt chính sách nào khác cho phép Windows cài đặt thiết bị.

Nếu bạn bật cài đặt chính sách này, Windows sẽ không được cài đặt hoặc cập nhật trình điều khiển thiết bị có GUID lớp thiết lập thiết bị xuất hiện trong danh sách bạn tạo. Nếu bạn bật cài đặt chính sách này trên máy chủ để bàn từ xa, cài đặt chính sách sẽ ảnh hưởng đến việc chuyển hướng các thiết bị được chỉ định từ máy khách máy tính từ xa sang máy chủ máy tính từ xa.

Sử dụng cài đặt chính sách tại đây, bạn có thể tạo danh sách trắng (mà bạn dường như không muốn) hoặc danh sách đen, cho từng thiết bị riêng lẻ hoặc toàn bộ các loại thiết bị (như bộ điều hợp mạng). Các thiết bị này có hiệu lực khi thiết bị được gỡ bỏ và lắp lại , do đó, nó sẽ không ảnh hưởng đến NIC được tích hợp trong máy, miễn là bạn không áp dụng cài đặt cho các thiết bị đã được cài đặt.

Bạn sẽ cần tham khảo danh sách các lớp thiết lập thiết bị để tìm lớp cho các bộ điều hợp mạng {4d36e972-e325-11ce-bfc1-08002be10318}. Thêm lớp này vào danh sách đen và ngay sau đó, không ai có thể sử dụng bộ điều hợp mạng USB.


7
Tất nhiên, điều này không ngăn cản việc rút cáp ethernet và cắm nó vào thiết bị cầu nối bằng cách sử dụng tính năng kết nối điện thoại.
R ..

2
@R .. Đúng, nó không hoàn hảo . Nhưng bạn đang đề xuất một người có kiến ​​thức kỹ thuật trên trung bình và dường như đó không phải là điều mà OP đang giải quyết.
Michael Hampton

4
Một lựa chọn thậm chí đơn giản hơn cũng có thể ngăn chặn rất nhiều vấn đề bảo mật khác chỉ là lấp đầy tất cả các cổng USB bằng epoxy.
R ..

1
@R .. Vui lòng quay lại và đọc bài viết gốc. Người dùng tuyên bố rõ ràng rằng anh ta không sẵn sàng làm điều đó.
Michael Hampton

5
Mặc dù nó không ngăn được bắc cầu, nhưng nó tăng các thanh kỹ thuật VÀ vật lý để buộc điện thoại. Ví dụ, tôi có kiến ​​thức kỹ thuật để thiết lập cầu nối và có thể thực hiện nó trong giấc ngủ của mình - nhưng tôi không có một cây cầu dự phòng chỉ nằm xung quanh. Tối thiểu tôi cần đầu tư 15-20 đô la vào một bộ định tuyến giá rẻ và đặt OpenWRT hoặc tương tự trên đó (sau đó sử dụng tính năng chia sẻ kết nối WiFi). Ngoài ra, việc giải thích điện thoại của bạn được cắm vào cổng USB của máy tính sẽ dễ dàng hơn rất nhiều so với một hộp mờ kỳ lạ treo lủng lẳng phía sau điện thoại.
Doktor J

9

Bạn đang sử dụng loại diệt virus nào? Trong phần mềm diệt virus của Kaspersky, bạn có thể xác định các mạng cục bộ và đáng tin cậy. Vì vậy, bạn có thể định cấu hình mạng cục bộ của mình là đáng tin cậy và cấm mọi mạng khác. Điều này hoạt động nếu máy tính chỉ được sử dụng trong văn phòng.

Tôi có KSC và tôi có thể quản lý tập trung tất cả máy tính. Quy tắc KSC


Điều này thực sự tốt đẹp để biết. Chúng tôi đang sử dụng TrendMicro và tôi nghĩ rằng phiên bản cụ thể mà chúng tôi đang sử dụng không cho phép chúng tôi làm điều này.
wrieedx

4

Tôi nghĩ rằng một tùy chọn là tạo, trên máy đích, một kịch bản để giám sát cài đặt mạng PC (ví dụ: địa chỉ IP và cổng) và để thông báo cho bạn (ví dụ: qua email) khi có gì đó thay đổi.


Để thực hiện công việc này, một người sẽ giám sát các cài đặt mạng PC như thế nào? Có một số loại tùy chọn kích hoạt có sẵn ở đâu đó có thể khởi tạo tập lệnh khi cài đặt mạng thay đổi không?
wrieedx

1
@wrieedx Có lẽ một nhiệm vụ lên kế hoạch với một kích hoạt sự kiện dựa trên cho Hardware Events, Microsoft-Windows-Network*hoặc Systemcác bản ghi có thể làm việc. Nếu bạn có thiết bị kết nối USB để kiểm tra, bạn có thể xem sự kiện nào xuất hiện trong Trình xem sự kiện khi thiết bị được kết nối / định cấu hình và cố gắng tạo trình kích hoạt dựa trên những sự kiện đó. Tất nhiên, bất kỳ quy trình / tập lệnh nào được khởi chạy để cảnh báo bạn về sự kiện này sẽ cần xử lý trường hợp máy (ít nhất là tại thời điểm đó) bị ngắt kết nối khỏi mạng nội bộ của bạn.
BACON

Thông báo cho PC người dùng chỉ có hiệu quả một phần, điện thoại người dùng có thể lọc lưu lượng hoặc sử dụng một số proxy. Vì các quy tắc định tuyến có thể được thiết lập để gửi tất cả tới ETH bất kể điều gì, tốt nhất là ping tất cả các máy người dùng mỗi tot và kiểm tra xem có ai đó rút phích cắm không. Tuy nhiên, có thể sử dụng cầu ETH.
Lesto

1

Không bao giờ quên rằng người dùng có thể kiểm tra nội dung khiêu dâm trực tiếp trên điện thoại di động của người dùng thông qua mạng LTE , vì vậy sẽ không ai biết điều đó (và một điện thoại di động mới có màn hình lớn ...) Tại sao người dùng sử dụng cầu nối trên máy tính. tôi.

Điều đó mang đến một câu hỏi quan trọng khác ... bạn có quản lý điện thoại di động với quy tắc doanh nghiệp không?

Một ví dụ từ sách quản trị BES :

Việc chọn quy tắc này sẽ ngăn thiết bị ghép nối với bất kỳ máy tính nào ngoài máy chủ Bộ cấu hình Apple. Quy tắc này chỉ áp dụng cho các thiết bị được giám sát bằng Trình cấu hình Apple.

hoặc là

Chọn quy tắc này sẽ ngăn người dùng sử dụng AirDrop để chia sẻ dữ liệu với các thiết bị khác. Quy tắc này chỉ áp dụng cho các thiết bị được giám sát bằng Trình cấu hình Apple.

Và vâng, kiểm soát USB là tốt, nhưng thiết bị đó có thể có các tài liệu / email doanh nghiệp quan trọng trên đó và không kiểm soát nó là một rủi ro bảo mật.

Sau đó, nếu bạn điều khiển tất cả điện thoại di động, bạn có thể yêu cầu không có tế bào cá nhân nào có mặt tại bàn / máy tính của nhân viên.

Đối với bất kỳ trường hợp nào khác, tôi sẽ nói như người dùng DoktorJ , rằng nếu họ cố gắng mang một thiết lập lớn để bỏ qua bảo mật của bạn, họ sẽ có nguy cơ bị sa thải trực tiếp.


0

Để buộc

Bạn có thể đặt các cửa sổ không thể tìm thấy tệp trình điều khiển RNDIS c: \ windows \ inf \ wceisvista.inf.

Đối với thử nghiệm của bạn, chỉ cần đổi tên tiện ích mở rộng thành ".inf_disable", hệ điều hành của bạn sẽ không thể tìm thấy trình điều khiển thích hợp để kết nối.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.