如何检测用户是否正在使用USB网络共享？

38

最近，用户从网络上拔出了公司PC的插头，并使用USB捆绑与Android手机的连接完全绕过了公司网络并访问了互联网。我认为我不需要解释为什么这很糟糕。从零成本（即开源，使用脚本和组策略等）和技术角度（即已通知HR，最好的方法）是什么，我不认为这是某种症状更深层的潜在企业文化问题等），以发现和/或防止类似事情再次发生？有一个全系统的解决方案（例如，通过使用组策略）会很好，但是如果不可能，那么针对此人的PC进行一些特定的操作也可能是一个答案。

一些细节：PC是加入Active Directory域的Windows 7，用户具有普通用户权限（不是管理员），PC上没有无线功能，禁用USB端口是不可行的

注意：感谢您的好评。我添加了一些其他细节。

我认为有很多原因会导致人们不愿共享网络，但对于我的特定环境，我可以想到以下几点：（1）防病毒更新。我们有一个本地防病毒服务器，用于向网络连接的计算机提供更新。如果您未连接到网络，则无法接收更新。（2）软件更新。我们有一个WSUS服务器，并检查每个更新以批准/禁止。我们还通过组策略向其他常用软件程序（例如Adobe Reader和Flash）提供更新。如果计算机未连接到本地网络，则计算机将无法接收更新（不允许从外部更新服务器进行更新）。（3）互联网过滤。我们会过滤掉恶意网站，而这是顽皮的（？）网站。

更多背景信息：人力资源已收到通知。有问题的人是高级人员，所以有点棘手。对此员工“做个榜样”虽然诱人不是一个好主意。我们的筛选并不严格，我猜测尽管没有直接证据（缓存已清除），但该人可能一直在寻找顽皮的地点。他说他只是在给手机充电，但是PC已从本地网络上拔下。我不想让这个人遇到麻烦，只是想防止类似的事情再次发生。

windows android

— rie
source

22

它不可能以零成本完成。您的时间就是成本。

— user9517支持GoFundMonica

32

如果不是完全锁定的系统，那么这不是技术问题。禁止通过政策进行网络共享，并信任您的员工遵守该政策。花时间了解/解决他们为什么需要避开公司网络以完成工作的原因，以便他们将来无需进行束缚。

— JamesRyan

16

我认为我不需要解释为什么这很糟糕。实际上，请解释一下。我想不出这是一个问题的原因。

— stommestack '16

9

@JopV。IT部门（尤其是大公司）通常在最低的计算能力范围内工作，并尝试确保他们不会因在Internet上做一些愚蠢的事情而意外断开网络。结果是，如果您属于该公司的技术部门，则通常与IT会展开激烈的战斗，以便能够在工作中做一些有用的事情。是的，我在其中几场战斗中都感到痛苦：-)

— 凯文·谢伊

8

@AndréBorie用户可以插入USB设备。如果允许网络共享，则可能也已授权USB大容量存储。在这些情况下，我认为可以肯定地说该机器不在高安全性环境中。

— njzk2

16

有几种选择：

在Windows 7上，您可以控制可以连接哪些USB设备。例如，请参阅本文。
您可以例如通过监视计算机连接到的交换机端口的状态来监视PC是否已连接到网络。（即使关闭计算机，现代计算机也可以保持NIC的连接，因此关闭计算机不应触发警报）。可以使用免费的开放源代码解决方案以低成本完成此操作（无论如何，您都应该在网络中进行监视！）

编辑以回应评论：
如果用户添加无线适配器，则此新接口的度量将高于有线接口的度量，因此Windows将继续使用有线接口。由于用户没有管理特权，因此他无法克服这一点。

您可以使用代理访问Internet并通过GPO强制设置代理。因此，如果计算机与网络断开连接并且无法访问代理，则它将无法访问任何内容。该解决方案在小型网络中可能很容易，但是在大型网络中很难实现。

正如@Hangin在评论中的绝望中指出的那样，总是有代价的。您的时间花费了公司金钱，并且您必须考虑实施安全性的实际成本与不良行为的潜在成本。

— 杰弗里
source

对于第二种解决方案，用户仍然可以添加新的NIC / SIM而不是替换常规连接。如果您随后监视操作系统，则他可以在VM中进行操作。第三种解决方案不会取得任何效果，因为用户仍然可以连接到Internet（只是不连接到公司资源，他可能根本不在乎。）

— user121391

2

对于第二种解决方案，请参见答案中的编辑内容。对于代理解决方案，不应进行任何配置，以使Internet访问通过代理，而代理不可用意味着没有Internet。这是常见的企业设置。

— JFL

实际上，我们有一个代理服务器，但是由于某种原因，它还没有完全部署。正如JFL所说，如果我们使用组策略完全部署代理，则用户将无法连接到公司网络外部的Internet，因为他们没有更改代理设置所需的权限。本质上，我们所有的PC都是工作站，因此无法轻松移动它们并将其连接到外部网络。

— wrieedx

1

代理服务器，除非通过证书进行验证，否则即使在电话上也可以轻松模拟。使用正确的应用程序，我认为您甚至不必是root。强制代理验证还解决了使用ETH桥的问题。最后，定期对所有用户计算机执行ping操作，将提供一个警报系统，以查找正在玩电缆的人

— Lesto

对于这个问题，实际上并没有100％的“正确”答案，并且已经发布了很多非常出色的答案。但是，我将此答案标记为正确的答案，因为考虑到我当前的环境（我们有一个代理服务器，但尚未完全部署），代理服务器的建议将以最小的工作量起作用。对于面临类似问题的其他人，其他解决方案可能会更好。

— wrieedx

55

您可以使用组策略来防止安装新的网络设备。

您将在“管理模板” \“系统” \“设备安装” \“设备安装限制” \“阻止使用与这些驱动程序设置类匹配的驱动程序安装设备”中找到一个选项。

从其描述：

通过此策略设置，可以为Windows无法安装的设备驱动程序指定设备安装程序类全局唯一标识符（GUID）的列表。此策略设置优先于允许Windows安装设备的任何其他策略设置。

如果启用此策略设置，则Windows无法安装或更新其设备安装程序类GUID出现在您创建的列表中的设备驱动程序。如果在远程桌面服务器上启用此策略设置，则该策略设置会影响指定设备从远程桌面客户端到远程桌面服务器的重定向。

使用此处的策略设置，您可以创建单个设备或整个设备类别（例如网络适配器）的白名单（似乎不需要）或黑名单。这些操作将在卸下并重新插入设备后生效，因此，如果您不将该设置应用于已安装的设备，则不会影响机器内置的NIC 。

您将需要参考设备安装程序类的列表以找到网络适配器的类，即{4d36e972-e325-11ce-bfc1-08002be10318}。将此类添加到黑名单中，不久之后，将没有人能够使用USB网络适配器。

— 迈克尔·汉普顿
source

7

当然，这并不能防止仅拔掉以太网电缆，然后使用电话的网络共享将其插入桥接设备。

— R.，

2

@R ..不错，这并不完美。但是，您正在提议的人员具有高于平均水平的技术知识，而这似乎不是OP所要处理的。

— 迈克尔·汉普顿

4

一个更简单的选择也可以防止很多其他安全问题，那就是用环氧树脂填充所有USB端口。

— R.，

1

@R ..请返回并阅读原始文章。用户明确表示他不愿意这样做。

— 迈克尔·汉普顿

5

虽然它不能防止桥接，但它提高了电话共享的技术和物理标准。例如，我具有设置桥接的技术知识，可以在睡眠中完成它-但我没有多余的桥梁。至少我需要在便宜的路由器上投资15-20美元，然后在上面放上OpenWRT等（然后使用WiFi网络共享）。而且，比起手机背面悬挂的奇怪的闪烁框，更容易解释手机已插入计算机的USB端口。

— Doktor J

9

您正在使用哪种类型的防病毒软件？在卡巴斯基反病毒软件中，您可以定义受信任的网络和本地网络。因此，您可以将本地网络配置为受信任的，并禁止其他任何网络。如果仅在办公室使用计算机，则此方法有效。

我有KSC，我可以管理集中的所有计算机。

— 甘蒂斯
source

真的很高兴知道。我们正在使用TrendMicro，我认为我们正在使用的特定版本不允许这样做。

— wrieedx

4

我认为一种选择是在目标计算机上创建一个脚本，以监视PC网络设置（例如：IP地址和网关），并在发生某些更改时向您发出警报（例如：通过电子邮件）。

— Shodanshok
source

为了使这项工作有效，一个人将如何监视PC网络设置？网络设置更改时，某处是否有某种触发选项可以启动脚本？

— wrieedx

1

@wrieedx或许计划任务与用于基于事件的触发Hardware Events，Microsoft-Windows-Network*或System日志可以工作。如果您有要测试的USB绑定设备，则可以在连接/配置了事件查看器后查看出现了哪些事件，并尝试根据这些事件创建触发器。当然，无论启动什么进程/脚本来提醒您该事件，都需要处理计算机（至少在那时）与您的内部网络断开连接的情况。

— 培根

提醒用户PC只是部分有效，用户电话可以过滤流量或使用某些代理。由于可以设置路由规则以将所有内容都发送给ETH，因此最好是对每个用户ping所有用户计算机，并检查是否有人拔出它。仍然可以使用ETH桥。

— Lesto

1

永远不要忘记用户可以通过LTE网络直接在用户的手机上查看色情内容，所以没人会知道（新手机的屏幕很大...）为什么用户使用计算机上的桥来吸引人我。

这带来了另一个重要问题……您是否按照企业规则管理手机？

BES管理员手册中的一个示例：

选择此规则可防止设备与Apple Configurator主机以外的任何其他计算机配对。该规则仅适用于使用Apple Configurator进行监督的设备。

要么

选择此规则可防止用户使用AirDrop与其他设备共享数据。该规则仅适用于使用Apple Configurator进行监督的设备。

是的，控制USB很好，但是该设备上可能带有重要的企业文档/电子邮件，但不控制它会带来安全风险。

此后，如果您控制所有手机，则可以要求员工办公桌/计算机上不存在个人手机。

对于其他任何情况，我都会像用户DoktorJ那样告诉他们，如果他们尝试带来较大的设置来绕过您的安全性，则有被直接解雇的风险。

— yagmoth555-GoFundMe莫妮卡
source

0

用于网络共享

您可以设置Windows无法找到RNDIS驱动程序文件c：\ windows \ inf \ wceisvista.inf文件。

对于您的测试，只需将扩展名重命名为“ .inf_disable”，您的操作系统将无法找到合适的网络共享驱动程序。

— 耶洛夫
source