Frage Wie erkennt man, ob ein Benutzer USB-Tethering verwendet?


Kürzlich hat ein Benutzer seinen Firmen-PC aus dem Netzwerk entfernt und über USB-Tethering mit seinem Android-Telefon das Firmennetzwerk vollständig umgangen und auf das Internet zugegriffen. Ich glaube nicht, dass ich erklären muss, warum das schlecht ist. Was wäre der beste Weg, von einem Null-Kosten (dh Open-Source-, Skripting-und Gruppenrichtlinien, etc.) und technischen Standpunkt (dh HR wurde bereits mitgeteilt, ich glaube nicht, dass dies ein Symptom für eine Art ist eines tieferen zugrundeliegenden Unternehmenskulturproblems, etc.), um so etwas wieder zu entdecken und / oder zu verhindern? Es wäre schön, eine systemweite Lösung zu haben (z. B. durch die Verwendung von Gruppenrichtlinien), aber wenn das nicht möglich ist, könnte auch die Durchführung einer speziellen Aufgabe für den PC dieser Person eine Antwort sein.

Ein paar Details: Der PC ist Windows 7 mit einer Active Directory-Domäne verbunden, der Benutzer hat normale Benutzerrechte (nicht Administrator), es gibt keine Wireless-Funktionen auf dem PC, Deaktivieren von USB-Ports ist keine Option

HINWEIS: Danke für die tollen Kommentare. Ich habe einige zusätzliche Details hinzugefügt.

Ich denke, dass es viele Gründe gibt, warum man das Tethering nicht zulassen möchte, aber für meine spezielle Umgebung kann ich Folgendes denken: (1) Antiviren-Updates. Wir verfügen über einen lokalen Antiviren-Server, der Updates für mit dem Netzwerk verbundene Computer bereitstellt. Wenn Sie nicht mit dem Netzwerk verbunden sind, können Sie die Updates nicht erhalten. (2) Softwareupdates Wir haben einen WSUS-Server und überprüfen jedes Update für die Genehmigung / Ablehnung. Wir liefern auch Updates für andere häufig verwendete Softwareprogramme wie Adobe Reader und Flash über Gruppenrichtlinien. Computer können keine Updates erhalten, wenn sie nicht mit dem lokalen Netzwerk verbunden sind (Aktualisierungen von externen Update-Servern sind nicht zulässig). (3) Internetfilterung. Wir filtern bösartige und, äh, unartige (?) Seiten aus. Mit einem Tether können Sie den Filter umgehen und auf diese Sites zugreifen und möglicherweise die Sicherheit Ihres Computers beeinträchtigen.

Weitere Hintergrundinformationen: HR wurde bereits benachrichtigt. Die betreffende Person ist eine hochrangige Person, also ist es ein bisschen schwierig. "Ein Beispiel zu geben" dieses Mitarbeiters, obwohl verlockend, wäre keine gute Idee. Unsere Filterung ist nicht schwerwiegend, ich vermute, dass die Person auf ungezogene Seiten geschaut hat, obwohl es keine direkten Beweise gibt (Cache wurde gelöscht). Er sagt, dass er gerade sein Telefon geladen hat, aber der PC wurde vom lokalen Netzwerk getrennt. Ich versuche nicht, diese Person in Schwierigkeiten zu bringen, sondern verhindere möglicherweise, dass etwas Ähnliches erneut passiert.


36
2017-10-05 05:56


Ursprung


Es kann nicht ohne Kosten gemacht werden. Deine Zeit ist kostenpflichtig. - Iain
Wenn es sich nicht um ein vollständig abgesperrtes System handelt, ist dies kein technisches Problem. Verbot von Tethering durch Richtlinien und vertrauen Sie Ihren Mitarbeitern, die Richtlinie zu befolgen. Verbringen Sie Ihre Zeit damit, zu verstehen / zu beheben, warum sie das Firmennetzwerk meiden mussten, um ihre Arbeit erledigen zu können, damit sie sich in Zukunft nicht anbinden müssen. - JamesRyan
Ich glaube nicht, dass ich erklären muss, warum das schlecht ist. Eigentlich, bitte erkläre es. Ich kann mir keinen Grund vorstellen, warum das ein Problem ist. - Jop V.
@JopV. IT-Abteilungen (vor allem für große Unternehmen) arbeiten in der Regel mit der geringsten Rechenleistung und versuchen sicherzustellen, dass sie nicht versehentlich das Netzwerk durch etwas Dummes im Internet durchbrechen können. Das Ergebnis ist, dass Sie, wenn Sie in der Technologie-Hälfte des genannten Unternehmens sind, in der Regel einen laufenden Kampf mit der IT haben, um in Ihrem Job etwas Nützliches tun zu können. Ja, ich bin bitter von mehreren dieser Schlachten :-) - Kevin Shea
@ AndréBorie der Benutzer konnte ein USB-Gerät anschließen. Wenn das Tethering erlaubt ist, ist wahrscheinlich auch der USB-Massenspeicher autorisiert. Unter diesen Bedingungen kann man sicher sein, dass sich die Maschine nicht in einer Hochsicherheitsumgebung befand. - njzk2


Antworten:


Es gibt mehrere Möglichkeiten:

  • Unter Windows 7 können Sie steuern, welche USB-Geräte angeschlossen werden können. Sehen Dieser Beitrag zum Beispiel.

  • Sie können überwachen, dass der PC mit dem Netzwerk verbunden ist, indem Sie beispielsweise den Status des Switch-Ports überwachen, mit dem das Gerät verbunden ist. (Moderne Computer halten die NIC auch bei ausgeschaltetem Gerät verbunden, daher sollte das Herunterfahren des Computers keinen Alarm auslösen). Dies kann mit kostenlosen Open-Source-Lösungen zu geringen Kosten durchgeführt werden (trotzdem sollten Sie eine Überwachung in Ihrem Netzwerk haben!)

BEARBEITEN als Antwort auf den Kommentar:
Wenn der Benutzer einen drahtlosen Adapter hinzufügt, ist die Metrik dieser neuen Schnittstelle höher als die Metrik der kabelgebundenen Schnittstelle, sodass Windows weiterhin die kabelgebundene Schnittstelle verwendet. Da der Benutzer keine Administratorrechte hat, kann er dies nicht überwinden.

  • Sie können einen Proxy verwenden, um auf das Internet zuzugreifen und die Proxyeinstellungen über das Gruppenrichtlinienobjekt zu erzwingen. Wenn also der Computer vom Netzwerk getrennt ist und nicht auf den Proxy zugreifen kann, kann er auf nichts zugreifen. Diese Lösung könnte in einem kleinen Netzwerk leicht sein, aber in einem großen Netzwerk sehr schwierig zu implementieren sein.

Wie von @ Hangin in stiller Verzweiflung im Kommentar gibt es immer eine Kosten. Ihre Zeit kostet Geld für das Unternehmen, und Sie müssen die tatsächlichen Kosten der Einführung von Sicherheit im Vergleich zu den potenziellen Kosten des schlechten Verhaltens berücksichtigen.


15
2017-10-05 06:39



Für die zweite Lösung könnte der Benutzer trotzdem hinzufügen eine neue NIC / SIM, anstatt die normale Verbindung zu ersetzen. Wenn Sie dann das Betriebssystem überwachen, könnte er dies in einer VM tun. Die dritte Lösung würde nichts bringen, da der Nutzer sich noch mit dem Internet verbinden kann (nur nicht zu Unternehmensressourcen, was ihm vermutlich ohnehin egal ist. - user121391
Für die zweite Lösung, siehe meine Bearbeitung in meiner Antwort. Für die Proxy-Lösung sollte keine Konfiguration vorgenommen werden, damit der Internet-Zugang durch den Proxy geht und der nicht verfügbare Proxy bedeutet kein Internet. Dies ist ein gängiges Enterprise-Setup. - JFL
Eigentlich haben wir einen Proxy-Server, aber aus irgendeinem Grund haben wir ihn noch nicht vollständig implementiert. Wie JFL sagt, können die Benutzer keine Verbindung zum Internet außerhalb des Unternehmensnetzwerks herstellen, wenn wir den Proxy vollständig mithilfe von Gruppenrichtlinien bereitstellen, da sie nicht über die erforderlichen Berechtigungen zum Ändern der Proxyeinstellungen verfügen. Im Wesentlichen sind alle unsere PCs Workstations, so dass sie nicht einfach verschoben und mit externen Netzwerken verbunden werden können. - wrieedx
Proxy-Server, sofern nicht durch ein Zertifikat verifiziert, kann leicht auch auf einem Telefon nachgeahmt werden; Mit der richtigen App denke ich, dass du nicht einmal root sein musst. Das Erzwingen der Proxy-Validierung löst auch das Problem der Verwendung einer ETH-Brücke. Schließlich würde das regelmäßige Pingen aller Benutzermaschinen ein Alarmsystem geben, um Leute zu finden, die mit Kabeln herumspielen - Lesto
Es gibt nicht wirklich eine 100% ige "richtige" Antwort für diese Frage, und viele wirklich fantastische Antworten wurden veröffentlicht. Ich markiere diese Antwort jedoch als die richtige, weil der Proxy-Server-Vorschlag mit minimalem Aufwand in meiner aktuellen Umgebung funktioniert (wir haben einen Proxy-Server, der aber noch nicht vollständig bereitgestellt wurde). Für andere Menschen mit einem ähnlichen Problem können andere Lösungen besser funktionieren. - wrieedx


Sie können Gruppenrichtlinien verwenden, um die Installation neuer Netzwerkgeräte zu verhindern.

Sie finden eine Option unter Administrative Vorlagen \ System \ Geräteinstallation \ Einschränkungen bei der Geräteinstallation \ Installation von Geräten verhindern, die Treiber verwenden, die diesen Treiber-Setup-Klassen entsprechen.

Aus seiner Beschreibung:

Mit dieser Richtlinieneinstellung können Sie eine Liste von GUIDs (Globally Unique Identifiers) für Geräte-Setupklassen für Gerätetreiber angeben, die von Windows nicht installiert werden können. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Wenn Sie diese Richtlinieneinstellung aktivieren, kann Windows keine Gerätetreiber installieren oder aktualisieren, deren GUIDs für Geräte-Setup-Klassen in der von Ihnen erstellten Liste angezeigt werden. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient auf den Remotedesktopserver aus.

Hier können Sie mithilfe von Richtlinieneinstellungen entweder eine Whitelist (die Sie nicht zu haben scheinen) oder eine Blacklist für einzelne Geräte oder ganze Klassen von Geräten (z. B. Netzwerkadapter) erstellen. Diese werden wirksam, wenn ein Gerät entfernt und erneut eingesetzt wird, so wird es die NIC nicht beeinflussen, die in die Maschine eingebaut wird, vorausgesetzt Sie nicht Wenden Sie die Einstellung auf Geräte an, die bereits installiert sind.

Sie müssen auf die verweisen Liste der Geräte-Setup-Klassen um die Klasse für Netzwerkadapter zu finden {4d36e972-e325-11ce-bfc1-08002be10318}. Fügen Sie diese Klasse der Blacklist hinzu, und bald danach wird niemand mehr USB-Netzwerkadapter verwenden können.


55
2017-10-05 09:21



Dies verhindert natürlich nicht, dass das Ethernet-Kabel einfach abgezogen und mit dem Tethering des Telefons in ein Bridge-Gerät gesteckt wird. - R..
@R .. Stimmt, ist es nicht perfekt. Aber Sie schlagen jemandem mit überdurchschnittlichem technischem Wissen vor, und das scheint nicht das zu sein, was das OP angeht. - Michael Hampton♦
Nun, eine noch einfachere Option, die auch viele andere Sicherheitsprobleme verhindern würde, besteht darin, alle USB-Anschlüsse mit Epoxy zu füllen. - R..
@R .. Bitte gehen Sie zurück und lesen Sie den ursprünglichen Beitrag. Der Benutzer erklärte ausdrücklich, dass er das nicht wolle. - Michael Hampton♦
Obwohl Bridging nicht verhindert wird, hebt es die technischen UND physischen Balken für das Tethering an. Zum Beispiel habe ich das technische Wissen, Brücken zu bauen und könnte es im Schlaf tun - aber ich habe keine einzige Brücke, die nur herumliegt. Zumindest müsste ich $ 15-20 in einen billigen Router investieren und OpenWRT oder ähnliches darauf setzen (dann WLAN-Tethering verwenden). Außerdem ist es viel einfacher zu erklären, dass Ihr Telefon an den USB-Port Ihres Computers angeschlossen ist, als ein merkwürdiger blinkender Kasten, der an der Rückseite baumelt. - Doktor J


Welche Art von Virenschutz verwenden Sie? In Kaspersky Antivirus können Sie vertrauenswürdige und lokale Netzwerke definieren. So können Sie Ihr lokales Netzwerk als vertrauenswürdig konfigurieren und andere Netzwerke verbieten. Dies funktioniert, wenn der Computer nur im Büro verwendet wird.

Ich habe KSC und ich kann zentralisiert alle Computer verwalten. KSC rule 


8
2017-10-06 19:56



Das ist wirklich nett zu wissen. Wir verwenden TrendMicro und ich denken dass die bestimmte Version, die wir verwenden, dies nicht erlaubt. - wrieedx


Ich denke, eine Option besteht darin, auf dem Zielrechner ein Skript zu erstellen, um die PC-Netzwerkeinstellungen (z. B. IP-Adresse und Gateway) zu überwachen und Sie zu warnen (z. B. per E-Mail), wenn sich etwas ändert.


4
2017-10-05 06:04



Wie würde man die PC-Netzwerkeinstellungen überwachen, um dies zu erreichen? Gibt es irgendwo eine Trigger-Option, die ein Skript initiieren kann, wenn sich die Netzwerkeinstellungen ändern? - wrieedx
@wrieedx Vielleicht eine geplante Aufgabe mit einem ereignisbasierten Auslöser für die Hardware Events, Microsoft-Windows-Network*, oder System Protokolle könnten funktionieren. Wenn Sie ein USB-Tethering-Gerät zum Testen haben, können Sie sehen, welche Ereignisse in der Ereignisanzeige angezeigt werden, wenn es verbunden / konfiguriert ist, und versuchen, basierend darauf einen Auslöser zu erstellen. Natürlich muss der Prozess / das Skript, der gestartet wird, um Sie auf dieses Ereignis aufmerksam zu machen, den Fall behandeln, in dem der Computer (in diesem Moment zumindest) von Ihrem internen Netzwerk getrennt ist. - BACON
Der Alarmierungs-Benutzer-PC ist nur teilweise wirksam, das Benutzertelefon könnte den Verkehr filtern oder einen Proxy verwenden. Da die Routing-Regeln so konfiguriert werden können, dass alle an die ETH gesendet werden, egal was passiert, wäre es am besten, alle Benutzer-Maschinen anzustempeln und zu prüfen, ob jemand die Verbindung trennt. Trotzdem ist es möglich, eine ETH-Brücke zu verwenden. - Lesto


Vergiss nie, dass der User Pornos direkt auf dem Handy des Users über den LTE Netzwerk, so dass niemand es jemals wissen wird (und ein neues Handy hat einen großen Bildschirm ...) Warum der Benutzer die Brücke auf dem Computer verwendet, intrigiert mich.

Das bringt eine weitere wichtige Frage ... Verwalten Sie das Handy mit einer Unternehmensregel?

Ein Beispiel aus der BES Administratorbuch:

Durch Auswahl dieser Regel wird verhindert, dass das Gerät mit einem Computer gekoppelt wird   anders als der Apple Configurator-Host. Diese Regel gilt nur für   Geräte, die mit dem Apple Configurator überwacht werden.

oder

Wenn Sie diese Regel auswählen, können Benutzer AirDrop nicht zum Freigeben von Daten verwenden   mit anderen Geräten. Diese Regel gilt nur für Geräte, die   überwacht mit Apple Configurator.

Und ja, die Steuerung des USB ist gut, aber dieses Gerät kann wichtige Unternehmensdokumente / E-Mails darauf haben und es nicht kontrollieren, ist ein Sicherheitsrisiko.

Danach, wenn Sie alle Handys kontrollieren, können Sie fragen, dass keine persönliche Zelle am Angestelltenschalter / Computer anwesend ist.

Für jeden anderen Fall werde ich wie Benutzer sagen DoktorJWenn sie versuchen, ein großes Setup zu erstellen, um Ihre Sicherheit zu umgehen, besteht die Gefahr, dass sie direkt gefeuert werden.


1
2017-10-07 03:51





Zum Anbinden

Sie können festlegen, dass Windows die RNDIS-Treiberdatei c: \ windows \ inf \ wceisvista.inf nicht finden kann.

Für Ihren Test benennen Sie die Erweiterung einfach in ".inf_disable" um, Ihr Betriebssystem wird keine geeigneten Treiber für das Tethering finden können.


0
2017-12-15 11:08