Como detectar se um usuário está usando o tethering USB?

38

Recentemente, um usuário desconectou o PC da empresa da rede e usou o tethering USB com o telefone Android para ignorar completamente a rede da empresa e acessar a Internet. Acho que não preciso explicar por que isso é ruim. Qual seria a melhor maneira, de um custo zero (por exemplo, código aberto, usando scripts e política de grupo etc.) e do ponto de vista técnico (por exemplo, o RH já foi notificado, não acho que isso seja algum tipo de sintoma) de um problema mais profundo da cultura corporativa subjacente, etc.), para detectar e / ou impedir que algo assim aconteça novamente? Seria bom ter uma solução para todo o sistema (por exemplo, usando a diretiva de grupo), mas se isso não for possível, fazer algo específico ao PC dessa pessoa também pode ser uma resposta.

Alguns detalhes: O PC é o Windows 7 associado a um domínio do Active Directory, o usuário possui privilégios de usuário comuns (não administrador), não há recursos sem fio no PC, desativar as portas USB não é uma opção

NOTA: Obrigado pelos ótimos comentários. Eu adicionei alguns detalhes adicionais.

Eu acho que existem várias razões pelas quais alguém gostaria de proibir o compartilhamento, mas para o meu ambiente em particular, posso pensar no seguinte: (1) Atualizações de antivírus. Temos um servidor antivírus local que fornece atualizações para os computadores conectados à rede. Se você não estiver conectado à rede, não poderá receber as atualizações. (2) Atualizações de software. Temos um servidor WSUS e analisamos cada atualização para aprovar / proibir. Também fornecemos atualizações para outros programas de software comumente usados, como Adobe Reader e Flash, por meio de política de grupo. Os computadores não podem receber atualizações se não estiverem conectados à rede local (a atualização a partir de servidores de atualização externos não é permitida). (3) filtragem da Internet. Nós filtramos sites maliciosos e malcriados (?).

Mais informações básicas: o RH já foi notificado. A pessoa em questão é uma pessoa de alto nível, portanto é um pouco complicado. "Fazer um exemplo" desse funcionário, embora tentador não seria uma boa idéia. Nossa filtragem não é severa, suponho que a pessoa possa estar olhando para sites impertinentes, embora não haja evidências diretas (o cache foi limpo). Ele diz que estava apenas carregando seu telefone, mas o PC foi desconectado da rede local. Não pretendo colocar essa pessoa em problemas, apenas possivelmente impedir que algo semelhante aconteça novamente.

windows  android 
wrieedx
fonte
22
Isso não pode ser feito a custo zero. Seu tempo é custo.
user9517 suporta GoFundMonica 5/16
32
Se não for um sistema totalmente bloqueado, isso não será um problema técnico. Proiba a vinculação por política e confie em seus funcionários para segui-la. Gaste seu tempo compreendendo / resolvendo por que eles precisavam evitar a rede da empresa para realizar seu trabalho, para que não precisassem se unir no futuro.
precisa saber é o seguinte
16
Acho que não preciso explicar por que isso é ruim. Na verdade, por favor, explique. Não consigo pensar em uma razão pela qual isso seja um problema.
Stommestack
9
@JopV. Os departamentos de TI (especialmente para grandes empresas) geralmente trabalham com a menor capacidade computacional e tentam garantir que eles não possam interromper acidentalmente a rede fazendo algo estúpido na Internet. O resultado é que, se você estiver na metade da tecnologia dessa empresa, geralmente terá uma batalha contínua com a TI para poder fazer algo útil em seu trabalho. Sim, eu sou amargo de várias dessas batalhas :-)
Kevin Shea
8
@ AndréBorie, o usuário conseguiu conectar um dispositivo USB. Se o compartilhamento for permitido, o armazenamento em massa USB provavelmente também será autorizado. Nessas condições, acho seguro dizer que a máquina não estava em um ambiente de alta segurança.
Njzk2 05/10

Respostas:

16

Existem várias opções:

  • No Windows 7, você pode controlar quais dispositivos USB podem ser conectados. Veja este artigo por exemplo.

  • Você pode monitorar se o PC está conectado à rede, por exemplo, monitorando o status da porta do switch à qual a máquina está conectada. (os computadores modernos mantêm a NIC conectada mesmo quando a máquina está desligada, portanto, desligar o computador não deve disparar um alarme). Isso pode ser feito a baixo custo, usando soluções gratuitas de código aberto (de qualquer maneira, você deve ter um monitoramento em sua rede!)

EDITAR em resposta ao comentário:
Se o usuário adicionar um adaptador sem fio, a métrica dessa nova interface será maior que a métrica da interface com fio, para que o Windows continue a usar a interface com fio. Como o usuário não possui privilégios administrativos, ele não pode superar isso.

  • Você pode usar um proxy para acessar a Internet e forçar as configurações de proxy através do GPO. Portanto, se a máquina estiver desconectada da rede e não puder acessar o proxy, ela não poderá acessar nada. Essa solução pode ser fácil em uma rede pequena, mas muito difícil de implementar em redes grandes.

Como apontado por @Hangin em desespero silencioso nos comentários, sempre há um custo. Seu tempo custa dinheiro para a empresa e você deve considerar o custo real da implementação da segurança versus o custo potencial do mau comportamento.

JFL
fonte
Para a segunda solução, o usuário ainda pode adicionar uma nova NIC / SIM em vez de substituir a conexão normal. Se você monitorar o sistema operacional, ele poderá fazer isso em uma VM. A terceira solução seria conseguir nada, como ele ainda pode se conectar à internet (não apenas para os recursos da empresa, que, presumivelmente, não se importa de qualquer maneira.
user121391
2
Para a segunda solução, veja minha edição na minha resposta. Para a solução de proxy, nenhuma configuração deve ser feita, portanto, o acesso à Internet através do proxy e o proxy não disponível significa que não há Internet. Esta é uma configuração comum da empresa.
JFL 05/10
Na verdade, temos um servidor proxy, mas, por qualquer motivo, ainda não o implantamos completamente. Como a JFL diz, se implantarmos totalmente o proxy usando a política de grupo, os usuários não poderão se conectar à Internet fora da rede corporativa, porque não terão as permissões necessárias para alterar as configurações do proxy. Essencialmente, todos os nossos PCs são estações de trabalho, para que não possam ser facilmente movidos e conectados a redes externas.
wrieedx
1
O servidor proxy, a menos que seja verificado por um certificado, pode ser facilmente imitado, mesmo em um telefone; com o aplicativo certo, acho que você nem precisa ser root. Forçar a validação de proxy também resolve o problema do uso de uma ponte ETH. Finalmente ping toda a máquina de usuários periodicamente daria um sistema de alerta para encontrar pessoas brincar com cabos
Lesto
Não existe realmente uma resposta 100% "correta" para esta pergunta, e muitas respostas realmente fantásticas foram postadas. No entanto, estou marcando esta resposta como a correta, porque a sugestão do servidor proxy funcionará com o mínimo esforço, considerando meu ambiente atual (temos um servidor proxy, mas ainda não foi totalmente implantado). Para outras pessoas que enfrentam um problema semelhante, outras soluções podem funcionar melhor.
wrieedx
55

Você pode usar a Diretiva de Grupo para impedir a instalação de novos dispositivos de rede.

Você encontrará uma opção em Modelos administrativos \ Sistema \ Instalação de dispositivos \ Restrições de instalação de dispositivos \ Impedir a instalação de dispositivos usando drivers que correspondem a essas classes de instalação de drivers.

De sua descrição:

Essa configuração de diretiva permite especificar uma lista de GUIDs (identificadores exclusivos globalmente da classe de configuração do dispositivo) para drivers de dispositivo que o Windows está impedido de instalar. Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita ao Windows instalar um dispositivo.

Se você habilitar essa configuração de política, o Windows será impedido de instalar ou atualizar drivers de dispositivo cujas GUIDs de classe de configuração de dispositivo apareçam na lista criada. Se você habilitar essa configuração de política em um servidor de área de trabalho remota, ela afetará o redirecionamento dos dispositivos especificados de um cliente de área de trabalho remota para o servidor de área de trabalho remota.

Usando as configurações de política aqui, você pode criar uma lista de permissões (que parece não querer) ou uma lista negra, de dispositivos individuais ou de classes inteiras de dispositivos (como adaptadores de rede). Eles entram em vigor quando um dispositivo é removido e reinserido , portanto, não afetará a NIC incorporada à máquina, desde que você não aplique a configuração aos dispositivos que já estão instalados.

Você precisará fazer referência à lista de classes de configuração do dispositivo para encontrar a classe dos adaptadores de rede {4d36e972-e325-11ce-bfc1-08002be10318}. Adicione esta classe à lista negra e, logo depois, ninguém poderá usar os adaptadores de rede USB.

Michael Hampton
fonte
7
É claro que isso não impede apenas desconectar o cabo Ethernet e conectá-lo a um dispositivo de ponte usando o tethering do telefone.
R ..
2
@R .. É verdade, não é perfeito . Mas você está propondo alguém com conhecimento técnico acima da média e isso não parece ser o que o OP está lidando.
Michael Hampton
4
Bem, uma opção ainda mais simples que também evitaria muitos outros problemas de segurança é apenas preencher todas as portas USB com epóxi.
R ..
1
@R .. Volte e leia o post original. O usuário afirmou explicitamente que não estava disposto a fazer isso.
Michael Hampton
5
Embora não impeça a ponte, eleva as barras técnicas E físicas ao compartilhamento por telefone. Por exemplo, tenho o conhecimento técnico para configurar a ponte e poderia fazê-lo durante o sono - mas não tenho uma ponte sobressalente por aí. No mínimo, eu precisaria investir de US $ 15 a 20 em um roteador barato e colocar o OpenWRT ou algo semelhante (use o tethering WiFi). Além disso, é muito mais fácil explicar que o telefone está conectado à porta USB do computador do que uma caixa piscante estranha pendurada na parte traseira.
Doktor J
9

Que tipo de antivírus você está usando? No antivírus Kaspersky, você pode definir redes locais e confiáveis. Portanto, você pode configurar sua rede local como confiável e proibir outras redes. Isso funciona se o computador for usado apenas no escritório.

Eu tenho o KSC e posso gerenciar todo o computador centralizado. Regra KSC

Guntis
fonte
É muito bom saber disso. Estamos usando o TrendMicro, e acho que a versão específica que estamos usando não nos permite fazer isso.
wrieedx
4

Eu acho que uma opção é criar, na máquina de destino, um script para monitorar as configurações de rede do PC (por exemplo: endereço IP e gateway) e alertá-lo (por exemplo: via email) quando algo mudar.

shodanshok
fonte
Para fazer isso funcionar, como monitorar as configurações de rede do PC? Existe algum tipo de opção de gatilho disponível em algum lugar que pode iniciar um script quando as configurações de rede são alteradas?
wrieedx
1
@wrieedx Talvez uma tarefa agendada com um gatilho baseado em eventos para o Hardware Events, Microsoft-Windows-Network*ou Systemos logs poderia funcionar. Se você tiver um dispositivo de amarração USB para testar, poderá ver quais eventos aparecem no Visualizador de Eventos quando ele estiver conectado / configurado e tentar criar um gatilho com base neles. Obviamente, qualquer processo / script iniciado para alertá-lo sobre esse evento precisaria lidar com o caso em que a máquina está (naquele momento, pelo menos) desconectada da sua rede interna.
BACON
O alerta do PC do usuário é apenas parcialmente eficaz, o telefone do usuário pode filtrar o tráfego ou usar algum proxy. Como as regras de roteamento podem ser configuradas para enviar tudo para a ETH, não importa o que aconteça, o melhor seria fazer ping em todas as máquinas do usuário a cada passo e verificar se alguém o desconectou. Ainda assim, é possível usar uma ponte ETH.
Lesto 6/10/16
1

Nunca se esqueça de que o usuário pode verificar pornografia diretamente no celular do usuário através da rede LTE , para que ninguém nunca o saiba (e um novo celular possui uma tela grande ...) Por que o usuário usou a ponte nas intrigas do computador mim.

Isso traz outra pergunta importante ... você gerencia o celular com uma regra corporativa?

Um exemplo do livro de administrador do BES :

A seleção desta regra impede que o dispositivo emparelhe com outro computador que não seja o host do Apple Configurator. Esta regra se aplica apenas a dispositivos supervisionados usando o Apple Configurator.

ou

A seleção desta regra impede que os usuários usem o AirDrop para compartilhar dados com outros dispositivos. Esta regra se aplica apenas a dispositivos supervisionados usando o Apple Configurator.

E sim, controlar o USB é bom, mas esse dispositivo pode ter documentos / emails corporativos importantes e não controlá-lo é um risco à segurança.

Depois disso, se você controlar todos os celulares, poderá solicitar que nenhum celular pessoal esteja presente na mesa / computador do funcionário.

Para qualquer outro caso, direi como o usuário DoktorJ , que, se tentarem fazer uma grande instalação para ignorar sua segurança, correm o risco de serem demitidos diretamente.

yagmoth555 - GoFundMe Monica
fonte
0

Para amarrar

Você pode configurar o Windows incapaz de encontrar o arquivo c: \ windows \ inf \ wceisvista.inf do driver RNDIS.

Para o seu teste, apenas renomeie a extensão para ".inf_disable", seu sistema operacional não poderá encontrar os drivers apropriados para o compartilhamento.

Ylogaf
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.