Wie kann festgestellt werden, ob ein Benutzer USB-Tethering verwendet?

38

Kürzlich hat ein Benutzer seinen Firmen-PC vom Netzwerk getrennt und USB-Tethering mit seinem Android-Telefon verwendet, um das Firmennetzwerk vollständig zu umgehen und auf das Internet zuzugreifen. Ich glaube nicht, dass ich erklären muss, warum das so schlimm ist. Was wäre der beste Weg, aus einer Null-Kosten-Perspektive (dh Open Source, Verwendung von Skripten und Gruppenrichtlinien usw.) und unter technischen Gesichtspunkten (dh die Personalabteilung wurde bereits benachrichtigt), ich glaube nicht, dass dies ein Symptom irgendeiner Art ist von tieferen Unternehmenskulturproblemen usw.), um zu erkennen und / oder zu verhindern, dass so etwas erneut passiert? Es wäre schön, eine systemweite Lösung zu haben (z. B. mithilfe von Gruppenrichtlinien). Wenn dies jedoch nicht möglich ist, kann es auch eine Lösung sein, etwas speziell für den PC dieser Person zu tun.

Ein paar Details: Der PC ist Windows 7 mit einer Active Directory-Domäne verbunden, der Benutzer verfügt über normale Benutzerrechte (nicht über Administratorrechte), der PC verfügt über keine drahtlosen Funktionen, die Deaktivierung von USB-Anschlüssen ist keine Option

HINWEIS: Vielen Dank für die tollen Kommentare. Ich habe einige zusätzliche Details hinzugefügt.

Ich denke, dass es viele Gründe gibt, warum man Tethering nicht zulassen möchte, aber für meine spezielle Umgebung kann ich mir Folgendes vorstellen: (1) Antiviren-Updates. Wir haben einen lokalen Antivirenserver, der Updates für im Netzwerk verbundene Computer liefert. Wenn Sie nicht mit dem Netzwerk verbunden sind, können Sie die Updates nicht erhalten. (2) Software-Updates. Wir haben einen WSUS-Server und überprüfen jedes Update, um es zu genehmigen / zu verbieten. Wir liefern auch Updates für andere häufig verwendete Softwareprogramme wie Adobe Reader und Flash über Gruppenrichtlinien. Computer können keine Updates erhalten, wenn sie nicht mit dem lokalen Netzwerk verbunden sind (Updates von externen Update-Servern sind nicht zulässig). (3) Internetfilterung. Wir filtern böswillige und unanständige (?) Websites heraus.

Weitere Hintergrundinformationen: HR wurde bereits benachrichtigt. Die betreffende Person ist eine hochrangige Person, daher ist es ein bisschen schwierig. Ein Beispiel für diesen Mitarbeiter zu machen, obwohl es keine gute Idee wäre, ihn zu verführen. Unsere Filterung ist nicht streng, ich vermute, dass die Person ungezogene Websites untersucht hat, obwohl es keine direkten Beweise gibt (der Cache wurde geleert). Er sagt, er habe gerade sein Handy aufgeladen, aber der PC wurde vom lokalen Netzwerk getrennt. Ich versuche nicht, diese Person in Schwierigkeiten zu bringen, sondern möglicherweise zu verhindern, dass etwas Ähnliches wieder passiert.

windows android wrieedx
quelle
22
Es kann nicht zum Nulltarif durchgeführt werden. Ihre Zeit ist Kosten.
user9517 unterstützt GoFundMonica
32
Wenn es sich nicht um ein vollständig geschlossenes System handelt, handelt es sich nicht um ein technisches Problem. Bannen Sie die Einhaltung von Richtlinien und vertrauen Sie darauf, dass Ihre Mitarbeiter die Richtlinien einhalten. Verbringen Sie Ihre Zeit damit, zu verstehen / zu klären, warum sie das Firmennetzwerk meiden mussten, um ihre Arbeit zu erledigen, damit sie sich in Zukunft nicht mehr festbinden müssen.
James Ryan
16
Ich glaube nicht, dass ich erklären muss, warum das so schlimm ist. Eigentlich bitte erklären Sie es. Ich kann mir keinen Grund vorstellen, warum dies ein Problem ist.
Stommestack
9
@JopV. IT-Abteilungen (insbesondere für große Unternehmen) arbeiten in der Regel mit der geringsten Rechenleistung und versuchen sicherzustellen, dass sie das Netzwerk nicht versehentlich beschädigen können, indem sie im Internet etwas Dummes tun. Das Ergebnis ist, dass Sie sich im Allgemeinen mit der IT auseinandersetzen müssen, um in Ihrem Job etwas Nützliches zu leisten, wenn Sie der technischen Hälfte des genannten Unternehmens angehören. Ja, ich bin bitter von einigen dieser Schlachten :-)
Kevin Shea
8
@ AndréBorie der Benutzer konnte ein USB-Gerät anschließen. Wenn Tethering zulässig ist, ist wahrscheinlich auch USB-Massenspeicher autorisiert. Unter diesen Umständen kann ich mit Sicherheit sagen, dass sich die Maschine nicht in einer Hochsicherheitsumgebung befand.
njzk2

Antworten:

16

Es gibt verschiedene Möglichkeiten:

  • Unter Windows 7 können Sie steuern, welche USB-Geräte angeschlossen werden können. Siehe diesen Artikel zum Beispiel.

  • Sie können überwachen, ob der PC mit dem Netzwerk verbunden ist, indem Sie beispielsweise den Status des Switch-Ports überwachen, an den das Gerät angeschlossen ist. (Moderne Computer halten die Netzwerkkarte auch dann in Verbindung, wenn der Computer ausgeschaltet ist. Daher sollte das Herunterfahren des Computers keinen Alarm auslösen.) Dies kann mit kostenlosen Open-Source-Lösungen zu geringen Kosten erfolgen (trotzdem sollten Sie ein Monitoring in Ihrem Netzwerk haben!)

BEARBEITEN als Antwort auf einen Kommentar:
Wenn der Benutzer einen drahtlosen Adapter hinzufügt, ist die Metrik dieser neuen Schnittstelle höher als die Metrik der kabelgebundenen Schnittstelle, sodass Windows weiterhin die kabelgebundene Schnittstelle verwendet. Da der Benutzer keine Administratorrechte hat, kann er dies nicht überwinden.

  • Sie können einen Proxy verwenden, um auf das Internet zuzugreifen und die Proxy-Einstellungen über das Gruppenrichtlinienobjekt zu erzwingen. Wenn der Computer also nicht mit dem Netzwerk verbunden ist und nicht auf den Proxy zugreifen kann, kann er auf nichts zugreifen. Diese Lösung könnte in einem kleinen Netzwerk einfach, in einem großen Netzwerk jedoch sehr schwierig zu implementieren sein.

Wie @Hangin in leiser Verzweiflung in seinem Kommentar betont , fallen immer Kosten an. Ihre Zeit kostet das Unternehmen Geld, und Sie müssen die tatsächlichen Kosten für die Einrichtung von Sicherheit im Vergleich zu den potenziellen Kosten für das schlechte Verhalten berücksichtigen.

JFL
quelle
Für die zweite Lösung könnte der Benutzer noch hinzufügen , eine neue NIC / SIM stattdessen die normale Verbindung zu ersetzen. Wenn Sie dann das Betriebssystem überwachen, könnte er dies in einer VM tun. Die dritte Lösung würde nichts
bewirken
2
Die zweite Lösung finden Sie unter Meine Bearbeitung in meiner Antwort. Für die Proxy-Lösung sollte keine Konfiguration vorgenommen werden, sodass der Internetzugang über den Proxy erfolgt und Proxy nicht verfügbar bedeutet, dass kein Internet verfügbar ist. Dies ist eine übliche Unternehmensumgebung.
JFL
Eigentlich haben wir einen Proxy-Server, aber aus irgendeinem Grund haben wir ihn noch nicht vollständig implementiert. Laut JFL können die Benutzer keine Verbindung zum Internet außerhalb des Unternehmensnetzwerks herstellen, wenn der Proxy mithilfe von Gruppenrichtlinien vollständig bereitgestellt wird, da sie nicht über die erforderlichen Berechtigungen zum Ändern der Proxyeinstellungen verfügen. Im Wesentlichen sind alle unsere PCs Workstations, sodass sie nicht einfach verschoben und mit externen Netzwerken verbunden werden können.
Wrieedx
1
Proxyserver können, sofern sie nicht durch ein Zertifikat verifiziert wurden, auch auf einem Telefon leicht nachgeahmt werden. mit der richtigen app muss man wohl nicht mal root sein. Das Erzwingen der Proxy-Validierung löst auch das Problem der Verwendung einer ETH-Brücke. Ein regelmäßiger Ping-
Befehl an
Es gibt keine 100% "richtige" Antwort auf diese Frage und es wurden viele wirklich fantastische Antworten gepostet. Ich markiere diese Antwort jedoch als die richtige, da der Proxy-Server-Vorschlag in meiner aktuellen Umgebung mit minimalem Aufwand funktioniert (wir haben einen Proxy-Server, der jedoch noch nicht vollständig bereitgestellt wurde). Für andere Personen, die mit einem ähnlichen Problem konfrontiert sind, funktionieren andere Lösungen möglicherweise besser.
Wrieedx
55

Mithilfe von Gruppenrichtlinien können Sie die Installation neuer Netzwerkgeräte verhindern.

Eine Option finden Sie unter Administrative Vorlagen \ System \ Geräteinstallation \ Einschränkungen bei der Geräteinstallation \ Verhindern der Installation von Geräten mit Treibern, die diesen Treiberkonfigurationsklassen entsprechen.

Aus seiner Beschreibung:

Mit dieser Richtlinieneinstellung können Sie eine Liste der GUIDs (Globally Unique Identifiers) der Geräte-Setup-Klasse für Gerätetreiber angeben, deren Installation von Windows verhindert wird. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Wenn Sie diese Richtlinieneinstellung aktivieren, kann Windows keine Gerätetreiber installieren oder aktualisieren, deren GUIDs für die Geräte-Setup-Klasse in der von Ihnen erstellten Liste angezeigt werden. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktop-Server aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktop-Client auf den Remotedesktop-Server aus.

Mithilfe der Richtlinieneinstellungen können Sie entweder eine Whitelist (die Sie anscheinend nicht möchten) oder eine Blacklist für einzelne Geräte oder ganze Geräteklassen (z. B. Netzwerkadapter) erstellen. Diese werden wirksam , wenn ein Gerät entfernt und wieder eingesetzt , so ist es nicht die NIC in die Maschine eingebaut beeinflussen, sofern Sie nicht die Einstellung auf Geräte anwenden , die bereits installiert sind.

Sie müssen auf die Liste der Geräteeinrichtungsklassen verweisen , um die Klasse für Netzwerkadapter zu ermitteln {4d36e972-e325-11ce-bfc1-08002be10318}. Fügen Sie diese Klasse der Blacklist hinzu, und bald darauf kann niemand mehr USB-Netzwerkadapter verwenden.

Michael Hampton
quelle
7
Dies verhindert natürlich nicht, dass Sie das Ethernet-Kabel aus der Steckdose ziehen und über das Tethering des Telefons in ein Bridge-Gerät einstecken.
R ..
2
@ R .. Stimmt, es ist nicht perfekt . Aber Sie schlagen jemanden mit überdurchschnittlichem technischen Wissen vor, und das scheint nicht das zu sein, womit sich das OP befasst.
Michael Hampton
4
Nun, eine noch einfachere Option, die auch viele andere Sicherheitsprobleme verhindern würde, besteht darin, einfach alle USB-Anschlüsse mit Epoxidharz zu füllen.
R ..
1
@ R .. Bitte gehen Sie zurück und lesen Sie den Originalbeitrag. Der Nutzer hat ausdrücklich erklärt, dass er dazu nicht bereit ist.
Michael Hampton
5
Dies verhindert zwar keine Überbrückung, setzt jedoch die technischen UND physischen Maßstäbe für die Telefonanbindung. Zum Beispiel habe ich das technische Wissen, um Brücken zu bauen und könnte es im Schlaf tun - aber ich habe keine Ersatzbrücke, die nur herumliegt. Zumindest müsste ich 15 bis 20 US-Dollar in einen billigen Router investieren und OpenWRT oder ähnliches draufsetzen (dann WiFi-Tethering verwenden). Außerdem ist es viel einfacher zu erklären, dass Ihr Telefon an den USB-Anschluss Ihres Computers angeschlossen ist, als dass eine seltsame blinkende Box auf der Rückseite baumelt.
Doktor J
9

Welche Art von Antivirus verwenden Sie? In Kaspersky Antivirus können Sie vertrauenswürdige und lokale Netzwerke definieren. So können Sie Ihr lokales Netzwerk als vertrauenswürdig konfigurieren und alle anderen Netzwerke verbieten. Dies funktioniert, wenn der Computer nur im Büro verwendet wird.

Ich habe KSC und kann alle Computer zentral verwalten. KSC-Regel

Guntis
quelle
Das ist wirklich schön zu wissen. Wir verwenden TrendMicro, und ich denke, dass die von uns verwendete Version dies nicht zulässt.
Wrieedx
4

Ich denke, eine Option ist, auf dem Zielcomputer ein Skript zu erstellen, um die PC-Netzwerkeinstellungen (z. B. IP-Adresse und Gateway) zu überwachen und Sie (z. B. per E-Mail) zu benachrichtigen, wenn sich etwas ändert.

Shodanshok
quelle
Wie kann man die Netzwerkeinstellungen des PCs überwachen, damit dies funktioniert? Gibt es irgendwo eine Triggeroption, die ein Skript initiieren kann, wenn sich die Netzwerkeinstellungen ändern?
Wrieedx
1
@wrieedx Vielleicht eine geplante Aufgabe mit einem ereignisbasierten Auslöser für das Hardware Events, Microsoft-Windows-Network*oder SystemProtokolle funktionieren könnten. Wenn Sie ein USB-Tethering-Gerät zum Testen haben, können Sie sehen, welche Ereignisse in der Ereignisanzeige angezeigt werden, wenn diese verbunden / konfiguriert ist, und versuchen, einen Trigger basierend auf diesen Ereignissen zu erstellen. Unabhängig davon, welcher Prozess / welches Skript gestartet wird, um Sie auf dieses Ereignis aufmerksam zu machen, muss natürlich der Fall behandelt werden, in dem der Computer (zumindest zu diesem Zeitpunkt) von Ihrem internen Netzwerk getrennt ist.
Speck
Das Warnen des Benutzer-PCs ist nur teilweise wirksam, das Benutzer-Telefon kann den Datenverkehr filtern oder einen Proxy verwenden. Da die Routing-Regeln so eingerichtet werden könnten, dass alle an die ETH gesendet werden, ist es am besten, alle Benutzermaschinen jedes Mal anzupingen und zu überprüfen, ob jemand den Stecker herausgezogen hat. Es ist jedoch möglich, eine ETH-Brücke zu verwenden.
Lesto
1

Vergessen Sie nie, dass der Benutzer über das LTE- Netzwerk Pornos direkt auf dem Mobiltelefon des Benutzers überprüfen kann , sodass niemand es merkt (und ein neues Mobiltelefon hat einen großen Bildschirm ...). Warum der Benutzer die Bridge auf dem Computer verwendet hat, fasziniert mich.

Das bringt eine weitere wichtige Frage mit sich ... verwalten Sie das Mobiltelefon mit einer Unternehmensregel?

Ein Beispiel aus dem BES- Administratorbuch:

Durch Auswahl dieser Regel wird verhindert, dass das Gerät mit einem anderen Computer als dem Apple Configurator-Host gekoppelt wird. Diese Regel gilt nur für Geräte, die mit Apple Configurator überwacht werden.

oder

Durch Auswahl dieser Regel wird verhindert, dass Benutzer AirDrop verwenden, um Daten für andere Geräte freizugeben. Diese Regel gilt nur für Geräte, die mit Apple Configurator überwacht werden.

Und ja, die Steuerung des USB ist gut, aber auf diesem Gerät können wichtige Unternehmensdokumente / E-Mails gespeichert sein, und die Nichtsteuerung ist ein Sicherheitsrisiko.

Wenn Sie danach alle Handys steuern, können Sie verlangen, dass keine persönliche Zelle am Schreibtisch / Computer des Mitarbeiters vorhanden ist.

In allen anderen Fällen werde ich wie der Benutzer DoktorJ mitteilen , dass die Gefahr besteht, dass sie direkt gefeuert werden, wenn sie versuchen, ein umfangreiches Setup zu erstellen , um Ihre Sicherheit zu umgehen.

yagmoth555 - GoFundMe Monica
quelle
0

Zum Anbinden

Sie können festlegen, dass Windows die RNDIS-Treiberdatei c: \ windows \ inf \ wceisvista.inf nicht finden kann.

Für Ihren Test benennen Sie die Erweiterung einfach in ".inf_disable" um. Ihr Betriebssystem kann dann keine geeigneten Treiber für das Tethering finden.

Ylogaf
quelle