Bir kullanıcının USB bağlantısı kullanıp kullanmadığını nasıl algılayabilir?

38

Son zamanlarda bir kullanıcı şirket bilgisayarlarını ağdan çıkardı ve şirket ağını tamamen atlamak ve internete erişmek için Android telefonlarıyla USB bağlantısı kullandı. Bunun neden kötü olduğunu açıklamam gerektiğini sanmıyorum. Sıfır maliyetli (açık kaynaklı, kodlama ve grup ilkesi kullanarak, vb.) Ve teknik açıdan (yani İK zaten bildirilmişse, bunun bir tür belirti olduğunu sanmıyorum) en iyi yol ne olurdu? Bunun altında yatan kurum kültürü probleminin derinliklerinde, vb.), bunun gibi bir olayın tekrar yaşanmasını engellemek ve / veya engellemek? Sistem çapında bir çözüme sahip olmak güzel olurdu (örneğin grup politikası kullanarak), ancak bu mümkün değilse, bu kişinin bilgisayarına özgü bir şey yapmak da bir cevap olabilir.

Birkaç ayrıntı: PC, Windows 7 bir Active Directory etki alanına katıldı, kullanıcının normal kullanıcı ayrıcalıkları var (yönetici değil), PC'de kablosuz bağlantı özelliği yok, USB bağlantı noktalarını devre dışı bırakmak bir seçenek değil

NOT: Harika yorumlarınız için teşekkür ederiz. Bazı detaylar ekledim.

İnsanların bağlamayı reddetmek istemesinin birçok nedeni olduğunu düşünüyorum, ancak kendi ortamım için aşağıdakileri düşünebilirim: (1) Anti-virüs güncellemeleri. Ağa bağlı bilgisayarlara güncellemeler sunan yerel bir anti-virüs sunucumuz var. Ağa bağlı değilseniz güncellemeleri alamazsınız. (2) Yazılım Güncellemeleri. Bir WSUS sunucumuz var ve onaylamak / izin vermemek için her güncellemeyi gözden geçiriyoruz. Ayrıca grup politikası aracılığıyla Adobe Reader ve Flash gibi sık kullanılan diğer yazılım programlarına da güncellemeler sunuyoruz. Bilgisayarlar yerel ağa bağlı değilse güncelleme alamazlar (harici güncelleme sunucularından güncelleme yapılmasına izin verilmez). (3) İnternet filtreleme. Kötü niyetli ve yaramaz (?) Siteleri filtreliyoruz.

Daha fazla arka plan bilgisi: İK zaten haberdar edildi. Söz konusu kişi üst düzey bir kişidir, bu yüzden biraz aldatıcıdır. Bu çalışana "örnek vermek" çekici olsa da iyi bir fikir olmazdı. Filtrelememiz şiddetli değil, doğrudan kanıt olmamasına rağmen (önbellek temizlendi), kişinin yaramaz bölgelere bakıyor olabileceğini tahmin ediyorum. Sadece telefonunu şarj ettiğini, ancak bilgisayarın yerel ağdan çıkarıldığını söyledi. Bu kişinin başını derde sokmak istemiyorum, muhtemelen benzer bir şeyin tekrar olmasını engelleyin.

windows  android 
wrieedx
kaynak
22
Sıfır maliyetle yapılamaz. Zamanın pahalı.
user9517, GoFundMonica
32
Tamamen kilitli bir sistem değilse, bu teknik bir sorun değildir. Politika ile bağlamayı yasaklayın ve çalışanlarınızın politikayı takip etmelerine güvenin. İşinizi yapmak için şirket ağından kaçınmak için neden ihtiyaç duyduklarını, böylece gelecekte bağlanmalarına gerek kalmayacaklarını anlayarak anlayın / düzeltin.
JamesRyan
16
Bunun neden kötü olduğunu açıklamam gerektiğini sanmıyorum. Aslında, lütfen açıkla. Bunun bir sorun olmasının bir sebebini düşünemiyorum.
stommestack
9
@JopV. BT departmanları (özellikle büyük şirketler için) genellikle en düşük bilgi işlem kabiliyeti etrafında çalışır ve internette aptalca bir şey yaparak yanlışlıkla ağın kırılmamasını sağlamaya çalışır. Sonuç olarak, söz konusu şirketin teknik yarısındaysanız, işinizde faydalı bir şeyler yapabilmek için genellikle BT ile çalışan bir savaşınız olur. Evet, bu savaşların birkaçından acı duyuyorum :-)
Kevin Shea
8
@ AndréBorie kullanıcı bir USB aygıtı takmayı başardı. Bağlantıya izin verilirse, USB yığın depolamaya da izin verilir. Bu koşullarda, makinenin yüksek güvenlikli bir ortamda olmadığını söylemenin güvenli olduğunu düşünüyorum.
njzk2

Yanıtlar:

16

Birkaç seçenek var:

  • Windows 7'de hangi USB cihazlarının bağlanabileceğini kontrol edebilirsiniz. Örneğin bu makaleye bakın .

  • Bilgisayarın ağa bağlı olduğunu, örneğin makinenin bağlı olduğu anahtar bağlantı noktasının durumunu izleyerek izleyebilirsiniz. (modern bilgisayarlar, makine kapalıyken bile NIC'yi bağlı tutar, bu nedenle bilgisayarın kapatılması bir alarmı tetiklememelidir). Bu, ücretsiz açık kaynaklı çözümler kullanarak düşük maliyetle yapılabilir (yine de ağınızda bir izleme yapılmalıdır!)

Yoruma yanıt olarak EDIT:
Kullanıcı bir kablosuz adaptör eklerse, bu yeni arayüzün metriği kablolu arayüzün metrik değerinden daha yüksek olacaktır, bu nedenle Windows kablolu arayüzü kullanmaya devam edecektir. Kullanıcı yönetici haklarına sahip olmadığı için üstesinden gelemez.

  • İnternete erişmek ve proxy ayarlarını GPO'dan zorlamak için bir proxy kullanabilirsiniz. Bu nedenle, makine ağ bağlantısı kesilmişse ve proxy'ye erişemiyorsa, hiçbir şeye erişemez. Bu çözüm küçük bir ağda kolay olabilir, ancak büyük ağda uygulanması çok zor olabilir.

@Hangin'in belirttiği gibi , yorumda sessiz bir çaresizlik içinde, her zaman bir bedeli vardır. Vaktiniz şirkete paraya mal oluyor ve güvenliği yerine getirme olasılığını, kötü davranışın potansiyel maliyetini göz önünde bulundurmalısınız.

JFL
kaynak
İkinci çözüm için, kullanıcı normal bağlantıyı değiştirmek yerine yine de yeni bir NIC / SIM ekleyebilir . Daha sonra işletim sistemini izlerseniz, bir sanal makinede yapabilir. Kullanıcı yine o muhtemelen zaten umursamıyor şirket kaynaklarına adil değil (internete bağlanmak olabilir gibi üçüncü bir çözüm, hiçbir şey elde ederim.
user121391
2
İkinci çözüm için cevabımdaki düzenlememe bakın. Proxy çözümü için konfigürasyon yapılmamalıdır, bu yüzden Internet erişimi proxy'den geçer ve proxy mevcut değildir, Internet yoktur. Bu yaygın bir kurumsal kurulumdur.
JFL
Aslında bir proxy sunucumuz var, ancak ne sebeple olursa olsun, henüz tam olarak dağıtmadı. JFL’nin dediği gibi, eğer proxy’yi grup politikası kullanarak tamamen konuşlandırırsak, kullanıcılar proxy ayarlarını değiştirmek için gerekli izinlere sahip olmadıkları için şirket ağının dışındaki internete bağlanamayacaklardır. Temel olarak, tüm PC'lerimiz iş istasyonudur, dolayısıyla kolayca harici ağlara taşınamaz ve bağlanamazlar.
wrieedx
1
Proxy sunucusu, bir sertifika ile doğrulanmadıkça, telefonda bile kolayca taklit edilebilir; doğru uygulamayla, kök olmanıza gerek olmadığını düşünüyorum. Proxy doğrulamasını zorlamak aynı zamanda ETH köprüsü kullanma problemini de çözer. Sonunda periyodik olarak tüm kullanıcı makinelerine ping
atmak
Bu soru için gerçekten% 100 "doğru" bir cevap yok ve gerçekten çok sayıda fantastik cevap gönderildi. Ancak, bu cevabı doğru cevap olarak işaretliyorum, çünkü proxy sunucusu önerisi mevcut ortamım dikkate alındığında minimum çabayla çalışacak (proxy sunucumuz var ancak henüz tam olarak konuşlandırılmadı). Benzer bir problemle karşı karşıya kalan diğer insanlar için diğer çözümler daha iyi çalışabilir.
wrieedx
55

Yeni ağ cihazlarının yüklenmesini önlemek için Grup İlkesi kullanabilirsiniz.

Yönetim Şablonları \ Sistem \ Cihaz Kurulumu \ Cihaz Kurulumu Kısıtlamaları \ 'nda bir seçenek bulacaksınız Bu cihazların kurulum sınıflarıyla eşleşen sürücüleri kullanarak cihazların kurulmasını önleyin.

Açıklamasından:

Bu ilke ayarı, Windows'un yüklenmesinin engellendiği aygıt sürücüleri için genel olarak benzersiz tanımlayıcıların (GUID) aygıt kurulum sınıfı listesini belirlemenizi sağlar. Bu ilke ayarı, Windows'un bir aygıt yüklemesine izin veren diğer tüm ilkelerden daha önceliklidir.

Bu ilke ayarını etkinleştirirseniz, Windows'un oluşturduğunuz listede aygıt kurulum sınıfı GUID'leri görünen aygıt sürücülerini yüklemesi veya güncelleştirmesi engellenir. Bu ilke ayarını uzaktaki bir masaüstü sunucusunda etkinleştirirseniz, ilke ayarı belirtilen aygıtların uzak masaüstü istemcisinden uzak masaüstü sunucusuna yönlendirilmesini etkiler.

Burada ilke ayarlarını kullanarak, tek tek aygıtlardan veya tüm aygıt sınıflarından (örneğin, ağ bağdaştırıcıları) oluşan bir beyaz liste (istemediğiniz gibi) veya kara liste oluşturabilirsiniz. Bir cihaz çıkarılıp yeniden edilir Bunlar almak etkisi o NIC makineye inşa etkilemez böylece, sağladığınız yok zaten yüklü cihazlara ayarı uygulamak.

Ağ bağdaştırıcıları sınıfını bulmak için aygıt kurulum sınıfları listesine başvurmanız gerekir {4d36e972-e325-11ce-bfc1-08002be10318}. Bu sınıfı kara listeye ekleyin ve kısa süre sonra, kimse USB ağ bağdaştırıcılarını kullanamaz.

Michael Hampton
kaynak
7
Elbette bu, telefonun bağlantısını kullanarak sadece ethernet kablosunu çıkarmayı ve bir köprü cihazına takmayı engellemez.
R.,
2
@R .. Doğru, mükemmel değil . Ancak, ortalamanın üstünde teknik bilgiye sahip birisini öneriyorsunuz ve bu OP'nin üstesinden geldiği şey gibi görünmüyor.
Michael Hampton
4
Pek çok başka güvenlik problemini de önleyen daha basit bir seçenek, tüm USB portlarını epoksi ile doldurmak.
R.
1
@R .. Lütfen geri dönün ve orijinal gönderiyi okuyun. Kullanıcı açıkça bunu yapmaya istekli olmadığını belirtti.
Michael Hampton
5
Köprülemeyi engellemese de, teknik VE fiziksel çubukları telefona bağlar. Örneğin, köprü oluşturma ve bunu uykumda yapabildiğim için teknik bilgim var - ancak etrafta dolanacak boş bir köprüm yok. En azından ucuz bir yönlendiriciye 15-20 $ yatırım yapmam ve OpenWRT veya benzerlerini üzerine koymam gerekiyor (sonra WiFi bağlantısı kullanın). Ayrıca, telefonunuzun USB portuna takılı olduğunu açıklamak, arkasından sarkan garip bir kutudan daha kolay.
Doktor J,
9

Ne tür bir virüsten koruma kullanıyorsunuz? Kaspersky antivirüs'te güvenilir ve yerel ağları tanımlayabilirsiniz. Böylece, yerel ağınızı güvenilir olarak yapılandırabilir ve diğer tüm ağları yasaklayabilirsiniz. Bu, bilgisayar yalnızca ofiste kullanılıyorsa çalışır.

KSC'm var ve tüm bilgisayarları merkezi olarak yönetebiliyorum. KSC kuralı

Guntis
kaynak
Bunu bilmek gerçekten güzel. Biz TrendMicro kullanıyorsanız ve ben düşünüyorum kullandığımız o belirli sürümünü bize bunu izin vermez.
wrieedx
4

Bir seçenek, hedef makinede, PC ağ ayarlarını izlemek için bir komut dosyası oluşturmak (örneğin: IP adresi ve ağ geçidi) ve bir şey değiştiğinde sizi uyarmak (örneğin: e-posta yoluyla) olduğunu düşünüyorum.

shodanshok
kaynak
Bunu yapmak için, PC ağ ayarları nasıl izlenir? Ağ ayarları değiştiğinde bir komut dosyasını başlatabilecek bir yerde bir tür tetikleyici seçeneği var mı?
wrieedx,
1
için bir olay tabanlı tetikleyici ile Belki bir zamanlanmış görevi @wrieedx Hardware Events, Microsoft-Windows-Network*ya Systemgünlükleri işe yarayabilir. Test etmek için bir USB bağlama cihazınız varsa, bağlandığında / yapılandırıldığında Olay Görüntüleyicisi'nde hangi olayların göründüğünü görebilir ve bunlara dayalı bir tetikleyici oluşturmaya çalışabilirsiniz. Elbette, bu olay hakkında sizi uyaracak her hangi bir işlem / komut dosyası başlatılırsa, makinenin (en azından şu anda) iç ağınızla bağlantısı kesilmiş olduğu durumu ele almanız gerekir.
BACON
Kullanıcı PC'yi uyarmak yalnızca kısmen etkilidir, kullanıcı telefonu trafiği filtreleyebilir veya bir proxy kullanabilir. Yönlendirme kuralları, ne olursa olsun, ETH'ye göndermek üzere ayarlanabildiğinden, tüm kullanıcı makinelerine ping atmak ve birisinin fişini çekip çekmediğini kontrol etmek en iyisi olacaktır. Yine de, bir ETH köprüsü kullanmak mümkündür.
Lesto
1

Kullanıcının LTE ağı üzerinden doğrudan kullanıcının cep telefonundan porno izleyebileceğini asla unutmayın , bu yüzden kimse bunu asla bilemez (ve yeni bir cep telefonunun büyük bir ekranı var ...) Neden kullanıcı bilgisayar köprüsünü kullandı? ben mi.

Bu da önemli bir soruyu beraberinde getiriyor ... cep telefonunu kurumsal bir kuralla yönetiyor musunuz?

BES yönetici kitabından bir örnek :

Bu kuralı seçmek, cihazın Apple Configurator ana bilgisayarı dışındaki herhangi bir bilgisayarla eşleşmesini önler. Bu kural yalnızca Apple Configurator kullanılarak denetlenen cihazlar için geçerlidir.

veya

Bu kuralı seçmek, kullanıcıların verileri diğer cihazlarla paylaşmak için AirDrop kullanmasını önler. Bu kural yalnızca Apple Configurator kullanılarak denetlenen cihazlar için geçerlidir.

Ve evet, USB'yi kontrol etmek iyidir, ancak bu cihaz üzerinde önemli kurumsal belgeler / e-postalar olabilir ve kontrol etmemek güvenlik riski taşır.

Bundan sonra, tüm cep telefonlarını kontrol ederseniz, çalışanların / bilgisayarların kişisel hücrelerinin bulunmamasını isteyebilirsiniz.

Başka bir durumda, DoktorJ kullanıcısı olarak , güvenliğinizi atlamak için büyük bir kurulum getirmeye çalışırlarsa, doğrudan ateşlenme riski altında olacaklarını söyleyeceğim.

yagmoth555
kaynak
0

Bağlama için

RNDIS sürücüleri dosyasını c: \ windows \ inf \ wceisvista.inf dosyasını bulamayan pencereleri ayarlayabilirsiniz.

Testiniz için uzantıyı ".inf_disable" olarak yeniden adlandırmanız yeterlidir, işletim sisteminiz bağlama için uygun sürücüleri bulamaz.

Ylogaf
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.