最近有一位用户从公司的电脑上拔下了他们的公司电脑,并且用他们的Android手机使用USB共享function,完全绕过了公司networking,进入了互联网。 我不认为我需要解释为什么这是不好的。 从零成本(即开源,使用脚本和组策略等)和技术立场(即HR已经被通知,我不认为这是某种症状),最好的方法是什么更深层次的企业文化问题等),检测和/或防止这样的事情再次发生? 有一个全系统的解决scheme(例如通过使用组策略)是很好的,但如果这是不可能的,那么针对这个人的PC做一些特定的事情也可能是一个答案。
一些细节:PC是Windows 7join到Active Directory域,用户具有普通用户权限(不是pipe理员),PC上没有无线function,禁用USB端口不是一个选项
注:感谢您的好评。 我添加了一些额外的细节。
我认为有很多原因会导致不接受共享,但是在我的特定环境中,我可以想到以下几点:(1)防病毒更新。 我们有一个本地防病毒服务器,可以将更新传送到networking连接的计算机上。 如果您未连接到networking,则无法接收更新。 (2)软件更新。 我们有一个WSUS服务器,并审查每个更新批准/不允许。 我们还通过组策略向其他常用软件程序(如Adobe Reader和Flash)提供更新。 如果计算机未连接到本地networking,则不能接收更新(不允许从外部更新服务器进行更新)。 (3)互联网过滤。 我们过滤掉恶意的,呃顽皮的网站。 通过使用系绳,您可以绕过filter并访问这些网站,并可能危及计算机的安全。
更多的背景信息:人力资源已被通知。 有问题的人是一个高层次的人,所以有点棘手。 这位员工的“示范”虽然诱人,但并不是一个好主意。 我们的过滤并不严重,我猜测这个人可能一直在看顽皮的网站,虽然没有直接的证据(caching被清除)。 他说他只是在给他的电话充电,但是电脑却被拔出了本地networking。 我不想让这个人陷入麻烦,只是可能防止类似的事情再次发生。
有几个选项:
在Windows 7上,您可以控制哪些USB设备可以连接。 例如见这篇文章 。
您可以监视PC连接到networking,例如通过监视机器所连接的交换机端口的状态。 (即使机器closures,现代计算机也能保持网卡连接,因此closures计算机不应触发报警)。 这可以使用免费的开源解决scheme以低成本完成(无论如何,你应该有一个在你的networking监控!)
编辑回应评论:
如果用户添加无线适配器,则此新接口的度量将高于有线接口的度量,因此Windows将继续使用有线接口。 由于用户没有pipe理权限,他无法克服这一点。
正如@Hangin在安静的绝望评论中所指出的那样,总是有成本的。 您的时间花费在公司上,而且您必须考虑实施安全性的实际成本与不良行为的潜在成本。
您可以使用组策略来防止安装新的networking设备。
您将在pipe理模板\系统\设备安装\设备安装限制\中find一个选项。使用与这些驱动程序设置类相匹配的驱动程序阻止安装设备。
从其描述:
通过此策略设置,您可以指定防止Windows安装的设备驱动程序的设备设置类全局唯一标识符(GUID)列表。 此策略设置优先于允许Windows安装设备的任何其他策略设置。
如果启用此策略设置,则会阻止Windows安装或更新其设备设置类GUID出现在您创build的列表中的设备驱动程序。 如果在远程桌面服务器上启用此策略设置,策略设置会影响将指定设备从远程桌面客户端redirect到远程桌面服务器。
在这里使用策略设置,您可以创build白名单(您似乎不想要的)或黑名单,无论是单个设备还是整个设备类(如networking适配器)。 这些设置在设备被移除并重新插入时生效 ,所以不会影响机器内置的NIC,前提是您不要将设置应用于已经安装的设备。
您将需要引用设备设置类的列表来查找networking适配器的类别,即{4d36e972-e325-11ce-bfc1-08002be10318}
。 将此类添加到黑名单中,很快,没有人能够使用USBnetworking适配器。
你正在使用什么types的杀毒软件? 在卡巴斯基杀毒软件中,您可以定义可信和本地networking。 因此,您可以将本地networkingconfiguration为可信,并禁止任何其他networking。 如果电脑只在办公室使用,这将起作用。
我有KSC,我可以pipe理集中的所有电脑。
我认为一个select是在目标机器上创build一个脚本来监视PCnetworking设置(例如:IP地址和网关),并在出现变化时通知您(例如:通过电子邮件)。
永远不要忘记,用户可以通过LTEnetworking直接在用户的手机上检查色情,所以没有人会永远不知道它(和一个新的手机已经得到一个大屏幕…)为什么用户使用电脑上的桥梁阴谋我。
那又带来了另外一个重要的问题……你是否用企业规则pipe理手机?
来自BESpipe理员书籍的一个例子:
select此规则可防止设备与除Apple Configurator主机以外的任何计算机配对。 此规则仅适用于使用Apple Configurator进行监督的设备。
要么
select此规则可防止用户使用AirDrop与其他设备共享数据。 此规则仅适用于使用Apple Configurator进行监督的设备。
是的,控制USB是好的,但该设备可以有重要的企业文件/电子邮件,而不是控制它是一个安全风险。
之后,如果你控制所有的手机,你可以要求没有个人手机在员工办公桌/电脑上。
对于任何其他情况,我会像用户DoktorJ一样告诉他们,如果他们试图绕过安全措施,他们将面临被直接解雇的风险。