Làm cách nào để phát hiện xem người dùng có đang sử dụng kết nối USB không?

Gần đây, một người dùng đã rút PC của công ty khỏi mạng và sử dụng kết nối USB với điện thoại Android của họ để vượt qua mạng công ty hoàn toàn và truy cập internet. Tôi không nghĩ rằng tôi cần phải giải thích tại sao điều này là xấu. Điều gì sẽ là cách tốt nhất, từ chi phí bằng không (tức là nguồn mở, sử dụng chính sách kịch bản và nhóm, v.v.) và quan điểm kỹ thuật (tức là HR đã được thông báo, tôi không nghĩ rằng đây là một triệu chứng thuộc loại nào đó về vấn đề văn hóa doanh nghiệp tiềm ẩn sâu hơn, v.v.), để phát hiện và / hoặc ngăn chặn điều gì đó như thế này xảy ra lần nữa? Sẽ rất tốt nếu có một giải pháp toàn hệ thống (ví dụ: bằng cách sử dụng chính sách nhóm), nhưng nếu điều đó là không thể thì làm một cái gì đó cụ thể cho PC của người này cũng có thể là một câu trả lời.

Một vài chi tiết: PC là Windows 7 được nối với miền Active Directory, người dùng có đặc quyền người dùng thông thường (không phải quản trị viên), không có khả năng không dây trên PC, vô hiệu hóa cổng USB không phải là một tùy chọn

LƯU Ý: Cảm ơn bạn đã cho ý kiến ​​tuyệt vời. Tôi đã thêm một số chi tiết bổ sung.

Tôi nghĩ rằng có rất nhiều lý do khiến người ta muốn không cho phép trói buộc, nhưng đối với môi trường cụ thể của tôi, tôi có thể nghĩ ra những điều sau: (1) Cập nhật chống vi-rút. Chúng tôi có một máy chủ chống vi-rút cục bộ cung cấp các bản cập nhật cho các máy tính được kết nối mạng. Nếu bạn không được kết nối với mạng, bạn không thể nhận được các bản cập nhật. (2) Cập nhật phần mềm. Chúng tôi có máy chủ WSUS và xem xét từng bản cập nhật để phê duyệt / không cho phép. Chúng tôi cũng cung cấp các bản cập nhật cho các chương trình phần mềm thường được sử dụng khác như Adobe Reader và Flash thông qua chính sách nhóm. Máy tính không thể nhận được cập nhật nếu chúng không được kết nối với mạng cục bộ (không được phép cập nhật từ các máy chủ cập nhật bên ngoài). (3) Lọc Internet. Chúng tôi lọc các trang web độc hại và, uh, nghịch ngợm (?).

Thêm thông tin cơ bản: Nhân sự đã được thông báo. Người trong câu hỏi là một người cấp cao nên có một chút khó khăn. "Làm gương" cho nhân viên này mặc dù cám dỗ sẽ không phải là một ý tưởng hay. Quá trình lọc của chúng tôi không nghiêm trọng, tôi đoán rằng người đó có thể đã xem các trang web nghịch ngợm mặc dù không có bằng chứng trực tiếp (bộ nhớ cache đã bị xóa). Anh ta nói rằng anh ta chỉ sạc điện thoại của mình, nhưng PC đã được rút ra khỏi mạng cục bộ. Tôi không muốn khiến người này gặp rắc rối, chỉ có thể ngăn điều tương tự xảy ra lần nữa.

Có một số lựa chọn:

• Trên windows 7, bạn có thể điều khiển thiết bị USB nào có thể được kết nối. Xem bài viết này cho ví dụ.

• Bạn có thể theo dõi rằng PC được kết nối với mạng, ví dụ bằng cách theo dõi trạng thái của cổng chuyển đổi mà máy được kết nối. (các máy tính hiện đại giữ cho kết nối NIC ngay cả khi máy tắt, vì vậy tắt máy tính sẽ không kích hoạt báo động). Điều này có thể được thực hiện với chi phí thấp bằng cách sử dụng các giải pháp nguồn mở miễn phí (dù sao bạn cũng nên có một giám sát trong mạng của mình!)

EDIT để phản hồi nhận xét:
Nếu người dùng thêm bộ điều hợp không dây, số liệu của giao diện mới này sẽ cao hơn số liệu của giao diện có dây, vì vậy Windows sẽ tiếp tục sử dụng giao diện có dây. Vì người dùng không có đặc quyền quản trị, anh ta không thể khắc phục điều này.

• Bạn có thể sử dụng proxy để truy cập Internet và buộc cài đặt proxy qua máng GPO. Vì vậy, nếu máy bị ngắt kết nối mạng và không thể truy cập proxy, nó không thể truy cập bất cứ thứ gì. Giải pháp này có thể dễ dàng trong một mạng nhỏ, nhưng rất khó thực hiện trong mạng lớn.

Như @Hangin đã chỉ ra trong sự tuyệt vọng thầm lặng trong bình luận, luôn có một cái giá phải trả. Thời gian của bạn tiêu tốn tiền cho công ty và bạn phải xem xét chi phí thực tế của việc đặt bảo mật so với chi phí tiềm năng của hành vi xấu.

Bạn có thể sử dụng Chính sách nhóm để ngăn cài đặt các thiết bị mạng mới.

Bạn sẽ tìm thấy một tùy chọn trong Mẫu quản trị \ Hệ thống \ Cài đặt thiết bị \ Hạn chế cài đặt thiết bị \ Ngăn chặn cài đặt thiết bị bằng trình điều khiển phù hợp với các lớp thiết lập trình điều khiển này.

Từ mô tả của nó:

Cài đặt chính sách này cho phép bạn chỉ định danh sách các lớp định danh duy nhất trên toàn cầu (GUID) cho trình điều khiển thiết bị mà Windows bị ngăn không cho cài đặt. Cài đặt chính sách này được ưu tiên hơn bất kỳ cài đặt chính sách nào khác cho phép Windows cài đặt thiết bị.

Nếu bạn bật cài đặt chính sách này, Windows sẽ không được cài đặt hoặc cập nhật trình điều khiển thiết bị có GUID lớp thiết lập thiết bị xuất hiện trong danh sách bạn tạo. Nếu bạn bật cài đặt chính sách này trên máy chủ để bàn từ xa, cài đặt chính sách sẽ ảnh hưởng đến việc chuyển hướng các thiết bị được chỉ định từ máy khách máy tính từ xa sang máy chủ máy tính từ xa.

Sử dụng cài đặt chính sách tại đây, bạn có thể tạo danh sách trắng (mà bạn dường như không muốn) hoặc danh sách đen, cho từng thiết bị riêng lẻ hoặc toàn bộ các loại thiết bị (như bộ điều hợp mạng). Các thiết bị này có hiệu lực khi thiết bị được gỡ bỏ và lắp lại , do đó, nó sẽ không ảnh hưởng đến NIC được tích hợp trong máy, miễn là bạn không áp dụng cài đặt cho các thiết bị đã được cài đặt.

Bạn sẽ cần tham khảo danh sách các lớp thiết lập thiết bị để tìm lớp cho các bộ điều hợp mạng {4d36e972-e325-11ce-bfc1-08002be10318}. Thêm lớp này vào danh sách đen và ngay sau đó, không ai có thể sử dụng bộ điều hợp mạng USB.

Bạn đang sử dụng loại diệt virus nào? Trong phần mềm diệt virus của Kaspersky, bạn có thể xác định các mạng cục bộ và đáng tin cậy. Vì vậy, bạn có thể định cấu hình mạng cục bộ của mình là đáng tin cậy và cấm mọi mạng khác. Điều này hoạt động nếu máy tính chỉ được sử dụng trong văn phòng.

Tôi có KSC và tôi có thể quản lý tập trung tất cả máy tính.

Tôi nghĩ rằng một tùy chọn là tạo, trên máy đích, một kịch bản để giám sát cài đặt mạng PC (ví dụ: địa chỉ IP và cổng) và để thông báo cho bạn (ví dụ: qua email) khi có gì đó thay đổi.

Không bao giờ quên rằng người dùng có thể kiểm tra nội dung khiêu dâm trực tiếp trên điện thoại di động của người dùng thông qua mạng LTE , vì vậy sẽ không ai biết điều đó (và một điện thoại di động mới có màn hình lớn ...) Tại sao người dùng sử dụng cầu nối trên máy tính. tôi.

Điều đó mang đến một câu hỏi quan trọng khác ... bạn có quản lý điện thoại di động với quy tắc doanh nghiệp không?

Một ví dụ từ sách quản trị BES :

Việc chọn quy tắc này sẽ ngăn thiết bị ghép nối với bất kỳ máy tính nào ngoài máy chủ Bộ cấu hình Apple. Quy tắc này chỉ áp dụng cho các thiết bị được giám sát bằng Trình cấu hình Apple.

hoặc là

Chọn quy tắc này sẽ ngăn người dùng sử dụng AirDrop để chia sẻ dữ liệu với các thiết bị khác. Quy tắc này chỉ áp dụng cho các thiết bị được giám sát bằng Trình cấu hình Apple.

Và vâng, kiểm soát USB là tốt, nhưng thiết bị đó có thể có các tài liệu / email doanh nghiệp quan trọng trên đó và không kiểm soát nó là một rủi ro bảo mật.

Sau đó, nếu bạn điều khiển tất cả điện thoại di động, bạn có thể yêu cầu không có tế bào cá nhân nào có mặt tại bàn / máy tính của nhân viên.

Đối với bất kỳ trường hợp nào khác, tôi sẽ nói như người dùng DoktorJ , rằng nếu họ cố gắng mang một thiết lập lớn để bỏ qua bảo mật của bạn, họ sẽ có nguy cơ bị sa thải trực tiếp.

Để buộc

Bạn có thể đặt các cửa sổ không thể tìm thấy tệp trình điều khiển RNDIS c: \ windows \ inf \ wceisvista.inf.

Đối với thử nghiệm của bạn, chỉ cần đổi tên tiện ích mở rộng thành ".inf_disable", hệ điều hành của bạn sẽ không thể tìm thấy trình điều khiển thích hợp để kết nối.