Bagaimana cara mendeteksi apakah pengguna menggunakan tethering USB?

38

Baru-baru ini pengguna mencabut PC perusahaan mereka dari jaringan dan menggunakan USB tethering dengan ponsel Android mereka untuk mem-bypass jaringan perusahaan sepenuhnya dan mengakses internet. Saya rasa saya tidak perlu menjelaskan mengapa ini buruk. Apa yang akan menjadi cara terbaik, dari nol-biaya (yaitu open source, menggunakan scripting dan kebijakan grup, dll) dan sudut pandang teknis (yaitu SDM sudah diberitahu, saya tidak berpikir bahwa ini adalah gejala semacam masalah budaya perusahaan yang mendasari lebih dalam, dll), untuk mendeteksi dan / atau mencegah hal seperti ini terjadi lagi? Akan menyenangkan untuk memiliki solusi seluruh sistem (misalnya dengan menggunakan kebijakan grup), tetapi jika itu tidak mungkin maka melakukan sesuatu yang spesifik untuk PC orang ini juga bisa menjadi jawaban.

Beberapa perincian: PC tersebut adalah Windows 7 yang bergabung dengan domain Active Directory, pengguna memiliki hak pengguna biasa (bukan administrator), tidak ada kemampuan nirkabel pada PC, menonaktifkan port USB bukan merupakan pilihan.

CATATAN: Terima kasih atas komentarnya. Saya menambahkan beberapa detail tambahan.

Saya berpikir bahwa ada banyak alasan mengapa seseorang ingin melarang tethering, tetapi untuk lingkungan khusus saya, saya dapat memikirkan hal-hal berikut: (1) Pembaruan anti-virus. Kami memiliki server anti-virus lokal yang memberikan pembaruan ke komputer yang terhubung ke jaringan. Jika Anda tidak terhubung ke jaringan Anda tidak dapat menerima pembaruan. (2) Pembaruan Perangkat Lunak. Kami memiliki server WSUS dan meninjau setiap pembaruan untuk menyetujui / melarang. Kami juga mengirimkan pembaruan ke program perangkat lunak lain yang biasa digunakan seperti Adobe Reader dan Flash via kebijakan grup. Komputer tidak dapat menerima pembaruan jika tidak terhubung ke jaringan lokal (pembaruan dari server pembaruan eksternal tidak diizinkan). (3) Penyaringan internet. Kami menyaring situs jahat dan, eh, nakal (?).

Informasi latar belakang lainnya: SDM sudah diberitahu. Orang yang dimaksud adalah orang level tinggi sehingga agak sulit. "Membuat contoh" dari karyawan ini meskipun menggoda bukanlah ide yang baik. Penyaringan kami tidak parah, saya menduga bahwa orang itu mungkin telah melihat situs-situs nakal meskipun tidak ada bukti langsung (cache telah dihapus). Dia mengatakan dia hanya mengisi daya teleponnya, tetapi PC dicabut dari jaringan lokal. Saya tidak ingin membuat orang ini dalam masalah, mungkin saja mencegah hal serupa terjadi lagi.

windows  android 
wrieedx
sumber
22
Itu tidak dapat dilakukan dengan biaya nol. Waktu Anda adalah biaya.
user9517 mendukung GoFundMonica
32
Jika ini bukan sistem yang sepenuhnya terkunci maka ini bukan masalah teknis. Larangan penarikan dengan kebijakan dan percaya karyawan Anda untuk mengikuti kebijakan. Luangkan waktu Anda untuk memahami / memperbaiki mengapa mereka perlu menghindari jaringan perusahaan untuk menyelesaikan pekerjaan mereka, sehingga mereka tidak perlu menambat di masa depan.
JamesRyan
16
Saya rasa saya tidak perlu menjelaskan mengapa ini buruk. Sebenarnya tolong jelaskan. Saya tidak bisa memikirkan alasan mengapa ini menjadi masalah.
stommestack
9
@JV. Departemen TI (terutama untuk perusahaan besar) umumnya bekerja di sekitar kemampuan komputasi terendah dan mencoba memastikan bahwa mereka tidak dapat secara tidak sengaja merusak jaringan dengan melakukan sesuatu yang bodoh di internet. Hasilnya adalah jika Anda berada di separuh teknologi perusahaan tersebut, Anda pada umumnya memiliki pertempuran berjalan dengan IT untuk dapat melakukan sesuatu yang berguna dalam pekerjaan Anda. Ya, saya pahit dari beberapa pertempuran ini :-)
Kevin Shea
8
@ AndréBorie pengguna dapat mencolokkan perangkat USB. Jika tethering diizinkan, penyimpanan massal USB mungkin juga diotorisasi. Dalam kondisi itu, saya pikir aman untuk mengatakan mesin itu tidak berada dalam lingkungan dengan keamanan tinggi.
njzk2

Jawaban:

16

Ada beberapa opsi:

  • Pada windows 7 Anda dapat mengontrol perangkat USB mana yang dapat dihubungkan. Lihat artikel ini misalnya.

  • Anda dapat memantau apakah PC terhubung ke jaringan, misalnya dengan memantau status port sakelar yang terhubung dengan mesin. (komputer modern membuat NIC tetap terhubung meskipun mesin mati, jadi mematikan komputer seharusnya tidak memicu alarm). Ini dapat dilakukan dengan biaya rendah menggunakan solusi open source gratis (toh Anda harus memiliki pemantauan di jaringan Anda!)

EDIT sebagai tanggapan terhadap komentar:
Jika pengguna menambahkan adaptor nirkabel, metrik antarmuka baru ini akan lebih tinggi daripada metrik antarmuka kabel, sehingga Windows akan terus menggunakan antarmuka kabel. Karena pengguna tidak memiliki hak administratif, ia tidak dapat mengatasi ini.

  • Anda dapat menggunakan proxy untuk mengakses Internet dan memaksakan pengaturan proxy melalui GPO. Jadi, jika mesin terputus dari jaringan dan tidak dapat mengakses proxy, itu tidak dapat mengakses apa pun. Solusi ini bisa mudah di jaringan kecil, tetapi sangat sulit diimplementasikan di jaringan besar.

Seperti yang ditunjukkan oleh @Hangin dengan putus asa dalam berkomentar, selalu ada biaya. Waktu Anda membutuhkan uang untuk perusahaan, dan Anda harus mempertimbangkan biaya aktual untuk menempatkan keamanan vs potensi biaya dari perilaku buruk.

JFL
sumber
Untuk solusi kedua, pengguna masih bisa menambahkan NIC / SIM baru alih-alih mengganti koneksi normal. Jika Anda kemudian memantau OS, dia bisa melakukannya dalam VM. Solusi ketiga tidak akan mencapai apa-apa, karena pengguna masih dapat terhubung ke internet (hanya saja tidak ke sumber daya perusahaan, yang mungkin juga tidak dia pedulikan.
user121391
2
Untuk solusi kedua, lihat edit saya di jawaban saya. Untuk solusi proxy, tidak ada konfigurasi yang harus dilakukan sehingga akses Internet melewati proxy dan proxy tidak tersedia berarti tidak ada Internet. Ini adalah pengaturan perusahaan yang umum.
JFL
Sebenarnya, kami memiliki server proxy, tetapi untuk alasan apa pun belum sepenuhnya menggunakannya. Seperti yang dikatakan JFL, jika kami sepenuhnya menggunakan proxy menggunakan kebijakan grup, pengguna tidak akan dapat terhubung ke internet di luar jaringan perusahaan karena mereka tidak memiliki izin yang diperlukan untuk mengubah pengaturan proxy. Pada dasarnya semua PC kita adalah workstation sehingga tidak mudah dipindahkan dan terhubung ke jaringan eksternal.
wrieedx
1
Server proxy, kecuali diverifikasi melalui sertifikat, dapat dengan mudah meniru bahkan pada telepon; dengan aplikasi yang tepat, saya pikir Anda bahkan tidak perlu menjadi root. Memaksa validasi proxy juga memecahkan masalah menggunakan jembatan ETH. Akhirnya ping semua mesin pengguna secara berkala akan memberikan sistem peringatan untuk menemukan orang-orang bermain-main dengan kabel
Lesto
Sebenarnya tidak ada jawaban 100% "benar" untuk pertanyaan ini, dan banyak jawaban yang sangat fantastis telah diposting. Namun, saya menandai jawaban ini sebagai yang benar karena saran server proxy akan bekerja dengan upaya minimal mengingat lingkungan saya saat ini (kami memiliki server proxy tetapi belum sepenuhnya digunakan). Untuk orang lain yang menghadapi masalah serupa, solusi lain mungkin bekerja lebih baik.
wrieedx
55

Anda dapat menggunakan Kebijakan Grup untuk mencegah pemasangan perangkat jaringan baru.

Anda akan menemukan opsi dalam Template Administratif \ Sistem \ Instalasi Perangkat \ Pembatasan Instalasi Perangkat \ Mencegah instalasi perangkat menggunakan driver yang cocok dengan kelas pengaturan driver ini.

Dari uraiannya:

Pengaturan kebijakan ini memungkinkan Anda untuk menentukan daftar kelas pengaturan perangkat pengidentifikasi unik global (GUID) untuk driver perangkat yang Windows tidak dapat menginstalnya. Pengaturan kebijakan ini lebih diutamakan daripada pengaturan kebijakan lain yang memungkinkan Windows untuk menginstal perangkat.

Jika Anda mengaktifkan pengaturan kebijakan ini, Windows dicegah untuk menginstal atau memperbarui driver perangkat yang kelas GUID penyetelan perangkatnya muncul dalam daftar yang Anda buat. Jika Anda mengaktifkan pengaturan kebijakan ini pada server desktop jarak jauh, pengaturan kebijakan mempengaruhi pengalihan perangkat yang ditentukan dari klien desktop jarak jauh ke server desktop jarak jauh.

Dengan menggunakan pengaturan kebijakan di sini, Anda dapat membuat daftar putih (yang sepertinya tidak Anda inginkan) atau daftar hitam, baik perangkat individual atau seluruh kelas perangkat (seperti adapter jaringan). Ini berlaku ketika perangkat dilepas dan dimasukkan kembali , sehingga tidak akan mempengaruhi NIC yang terpasang di mesin, asalkan Anda tidak menerapkan pengaturan untuk perangkat yang sudah diinstal.

Anda perlu merujuk daftar kelas pengaturan perangkat untuk menemukan kelas adapter jaringan {4d36e972-e325-11ce-bfc1-08002be10318}. Tambahkan kelas ini ke daftar hitam, dan segera setelah itu, tidak ada yang akan dapat menggunakan adaptor jaringan USB.

Michael Hampton
sumber
7
Tentu saja ini tidak mencegah hanya mencabut kabel ethernet dan menghubungkannya ke perangkat jembatan menggunakan tethering ponsel.
R ..
2
@R .. Benar, itu tidak sempurna . Tapi Anda mengusulkan seseorang dengan pengetahuan teknis di atas rata-rata, dan itu tampaknya bukan apa yang OP lakukan.
Michael Hampton
4
Nah pilihan yang lebih sederhana yang juga akan mencegah banyak masalah keamanan lainnya hanya mengisi semua port USB dengan epoksi.
R ..
1
@R .. Silakan kembali dan membaca posting asli. Pengguna secara eksplisit menyatakan bahwa ia tidak mau melakukan itu.
Michael Hampton
5
Meskipun tidak mencegah menjembatani, itu meningkatkan bar teknis DAN fisik untuk penambatan telepon. Sebagai contoh, saya memiliki pengetahuan teknis untuk mengatur jembatan dan bisa melakukannya dalam tidur saya - tetapi saya tidak memiliki jembatan cadangan yang hanya bertelur. Minimal saya harus berinvestasi $ 15-20 di router murah dan meletakkan OpenWRT atau sejenisnya di atasnya (kemudian gunakan WiFi tethering). Selain itu, jauh lebih mudah untuk menjelaskan ponsel Anda dicolokkan ke port USB komputer Anda daripada kotak aneh yang menggantung di belakangnya.
Doktor J
9

Jenis antivirus apa yang Anda gunakan? Di Kaspersky antivirus Anda dapat menentukan jaringan lokal dan tepercaya. Jadi, Anda dapat mengonfigurasi jaringan lokal Anda sebagai tepercaya dan melarang jaringan lainnya. Ini berfungsi jika komputer hanya digunakan di kantor.

Saya memiliki KSC dan saya dapat mengelola semua komputer yang terpusat. Aturan KSC

Guntis
sumber
Ini sangat menyenangkan untuk diketahui. Kami menggunakan TrendMicro, dan saya pikir versi tertentu yang kami gunakan tidak memungkinkan kami untuk melakukan ini.
wrieedx
4

Saya pikir pilihan adalah membuat, pada mesin target, skrip untuk memonitor pengaturan jaringan PC (misalnya: alamat IP dan gateway) dan untuk mengingatkan Anda (misalnya: melalui email) ketika ada perubahan.

shodanshok
sumber
Untuk membuat ini berfungsi, bagaimana seseorang akan memonitor pengaturan jaringan PC? Apakah ada semacam opsi pemicu yang tersedia di suatu tempat yang dapat memulai skrip ketika pengaturan jaringan berubah?
wrieedx
1
@wrieedx Mungkin tugas yang dijadwalkan dengan pemicu berbasis event untuk Hardware Events, Microsoft-Windows-Network*atau Systemlog bisa bekerja. Jika Anda memiliki perangkat penambat USB untuk diuji, Anda dapat melihat peristiwa apa yang muncul di Peraga Peristiwa saat terhubung / dikonfigurasi dan mencoba membuat pemicu berdasarkan pada hal itu. Tentu saja, proses / skrip apa pun yang diluncurkan untuk mengingatkan Anda tentang peristiwa ini perlu menangani kasus di mana mesin (pada saat itu, setidaknya) terputus dari jaringan internal Anda.
BACON
Peringatan pengguna PC hanya efektif sebagian, telepon pengguna dapat menyaring lalu lintas, atau menggunakan beberapa proxy. Karena aturan perutean dapat diatur untuk mengirim semua ke ETH tidak peduli apa pun, yang terbaik adalah melakukan ping ke semua mesin pengguna setiap tot dan memeriksa apakah seseorang mencabutnya. Meski demikian, mungkin untuk menggunakan jembatan ETH.
Lesto
1

Jangan pernah lupa bahwa pengguna dapat memeriksa porno langsung di ponsel pengguna melalui jaringan LTE , jadi tidak ada yang akan mengetahuinya (dan ponsel baru memiliki layar besar ...) Mengapa pengguna menggunakan jembatan pada intrik komputer saya.

Itu menimbulkan pertanyaan penting lainnya ... apakah Anda mengelola ponsel dengan aturan perusahaan?

Contoh dari buku administrator BES :

Memilih aturan ini mencegah perangkat berpasangan dengan komputer apa pun selain host Apple Configurator. Aturan ini hanya berlaku untuk perangkat yang diawasi menggunakan Apple Configurator.

atau

Memilih aturan ini mencegah pengguna menggunakan AirDrop untuk berbagi data dengan perangkat lain. Aturan ini hanya berlaku untuk perangkat yang diawasi menggunakan Apple Configurator.

Dan ya, mengendalikan USB itu baik, tetapi perangkat itu dapat memiliki dokumen / email perusahaan penting di dalamnya dan tidak mengendalikannya adalah risiko keamanan.

Setelah itu jika Anda mengontrol semua ponsel, Anda dapat meminta agar tidak ada sel pribadi yang hadir di meja / komputer karyawan.

Untuk kasus lain, saya akan memberi tahu seperti pengguna DoktorJ , bahwa jika mereka mencoba membawa pengaturan besar untuk memotong keamanan Anda, mereka akan beresiko untuk dipecat secara langsung.

yagmoth555 - GoFundMe Monica
sumber
0

Untuk tethering

Anda dapat mengatur windows tidak dapat menemukan file driver RNDIS c: \ windows \ inf \ wceisvista.inf file.

Untuk pengujian Anda cukup ganti nama ekstensi menjadi ".inf_disable", OS Anda tidak akan dapat menemukan driver yang sesuai untuk penambatan.

Ylogaf
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.