最近,一位用户将公司电脑从网络上拔下,并使用 USB 网络共享功能将 Android 手机完全绕过公司网络并访问互联网。我认为我不需要解释为什么这很糟糕。从零成本(即开源、使用脚本和组策略等)和技术角度(即人力资源部已经收到通知,我不认为这是某种更深层次的企业文化问题的征兆等)来看,最好的方法是什么来检测和/或防止类似事件再次发生?最好有一个系统范围的解决方案(例如通过使用组策略),但如果这不可能,那么针对此人的电脑执行某些特定操作也可能是一个答案。
一些细节:该 PC 是 Windows 7,已加入 Active Directory 域,用户具有普通用户权限(不是管理员),PC 上没有无线功能,禁用 USB 端口不是一种选择
注意:感谢您的精彩评论。我添加了一些额外的细节。
我认为有很多原因会让人想要禁止网络共享,但对于我的特定环境,我能想到以下几点:(1) 防病毒更新。我们有一个本地防病毒服务器,它向网络连接的计算机提供更新。如果您未连接到网络,则无法接收更新。(2) 软件更新。我们有一个 WSUS 服务器,它会审查每个更新以批准/禁止。我们还通过组策略向其他常用软件程序(如 Adobe Reader 和 Flash)提供更新。如果计算机未连接到本地网络(不允许从外部更新服务器更新),则无法接收更新。(3) 互联网过滤。我们会过滤掉恶意和不雅(?)网站。通过使用网络共享,您可以绕过过滤器并访问这些网站,并可能危及计算机的安全。
更多背景信息:HR 已收到通知。涉事人员是高层人员,因此有点棘手。虽然“以身作则”这名员工很诱人,但这并不是一个好主意。我们的过滤并不严格,我猜这个人可能一直在浏览不良网站,尽管没有直接证据(缓存已清除)。他说他只是在给手机充电,但 PC 已从本地网络上拔下。我不想让这个人陷入麻烦,只是想防止类似的事情再次发生。
答案1
有多种选择:
在 Windows 7 上,您可以控制可以连接哪些 USB 设备。请参阅本文例如。
您可以监控 PC 是否连接到网络,例如通过监控机器所连接的交换机端口的状态。(现代计算机即使机器关闭也会保持 NIC 连接,因此关闭计算机不会触发警报)。这可以使用免费的开源解决方案以低成本完成(无论如何,您应该在网络中进行监控!)
编辑以回应评论:
如果用户添加无线适配器,则此新接口的度量将高于有线接口的度量,因此 Windows 将继续使用有线接口。由于用户没有管理权限,因此他无法克服这一点。
- 您可以使用代理访问互联网并通过 GPO 强制执行代理设置。因此,如果计算机与网络断开连接并且无法访问代理,则无法访问任何内容。此解决方案在小型网络中可能很容易实现,但在大型网络中很难实现。
正如@在寂静的绝望中坚持下去总之,总是有代价的。你的时间会给公司带来金钱成本,你必须考虑实施安全措施的实际成本与不良行为的潜在成本。
答案2
您可以使用组策略来阻止安装新的网络设备。
您会在管理模板\系统\设备安装\设备安装限制\防止使用与这些驱动程序安装类匹配的驱动程序安装设备中找到一个选项。
根据其描述:
此策略设置允许您指定阻止 Windows 安装的设备驱动程序的设备安装程序类全局唯一标识符 (GUID) 列表。此策略设置优先于允许 Windows 安装设备的任何其他策略设置。
如果启用此策略设置,Windows 将无法安装或更新设备驱动程序,这些驱动程序的设备安装程序类 GUID 出现在您创建的列表中。如果在远程桌面服务器上启用此策略设置,则该策略设置会影响将指定设备从远程桌面客户端重定向到远程桌面服务器。
使用此处的策略设置,您可以创建白名单(您似乎不想要)或黑名单,可以是单个设备,也可以是整个设备类别(例如网络适配器)。这些在设备移除并重新插入时生效,因此不会影响机器内置的网卡,只要你不将设置应用于已安装的设备。
您需要参考设备设置类列表找到网络适配器的类,即{4d36e972-e325-11ce-bfc1-08002be10318}
。将此类添加到黑名单后,很快将没有人能够使用 USB 网络适配器。
答案3
答案4
不要忘记,用户可以通过长期演进 (LTE)网络,所以永远不会有人知道(而且新手机有大屏幕......)用户为什么使用计算机上的桥梁让我很感兴趣。
这就带来了另一个重要的问题……您是否用业务规则来管理手机?
一个例子贝塞尔管理员書:
选择此规则可防止设备与 Apple Configurator 主机以外的任何计算机配对。此规则仅适用于使用 Apple Configurator 监管的设备。
或者
选择此规则可阻止用户使用 AirDrop 与其他设备共享数据。此规则仅适用于使用 Apple Configurator 监管的设备。
是的,控制 USB 是好事,但该设备上可能存储有重要的企业文档/电子邮件,如果不控制它就会存在安全风险。
此后,如果您控制所有手机,您可以要求员工办公桌/电脑上不要出现任何个人手机。
对于任何其他情况,我会告诉用户博士,如果他们试图带着一个大装置绕过你的安全措施,他们将面临被直接解雇的风险。