Recentemente, um usuário desconectou o PC da empresa da rede e usou o tethering USB com seu telefone Android para ignorar totalmente a rede da empresa e acessar a Internet. Acho que não preciso explicar por que isso é ruim. Qual seria a melhor maneira, de custo zero (ou seja, código aberto, usando scripts e política de grupo, etc.) e do ponto de vista técnico (ou seja, o RH já foi notificado, não acho que isso seja um sintoma de algum tipo de um problema de cultura corporativa subjacente mais profundo, etc.), para detectar e/ou impedir que algo assim aconteça novamente? Seria bom ter uma solução para todo o sistema (por exemplo, usando a política de grupo), mas se isso não for possível, fazer algo específico para o PC dessa pessoa também pode ser uma resposta.
Alguns detalhes: o PC é o Windows 7 associado a um domínio do Active Directory, o usuário tem privilégios de usuário comum (não administrador), não há recursos sem fio no PC, desabilitar as portas USB não é uma opção
NOTA: Obrigado pelos ótimos comentários. Eu adicionei alguns detalhes adicionais.
Acho que há muitos motivos para não permitir o tethering, mas, para meu ambiente específico, posso pensar no seguinte: (1) Atualizações de antivírus. Temos um servidor antivírus local que fornece atualizações para computadores conectados à rede. Se você não estiver conectado à rede, não poderá receber as atualizações. (2) Atualizações de software. Temos um servidor WSUS e revisamos cada atualização para aprovar/proibir. Também fornecemos atualizações para outros programas de software comumente usados, como Adobe Reader e Flash, por meio da política de grupo. Os computadores não podem receber atualizações se não estiverem conectados à rede local (a atualização de servidores de atualização externos não é permitida). (3) Filtragem da Internet. Filtramos sites maliciosos e, uh, impertinentes (?).
Mais informações básicas: o RH já foi notificado. A pessoa em questão é uma pessoa de alto nível, então é um pouco complicado. "Dar um exemplo" desse funcionário, embora tentador, não seria uma boa ideia. Nossa filtragem não é severa, acho que a pessoa pode ter procurado sites maliciosos, embora não haja evidência direta (o cache foi limpo). Ele diz que estava apenas carregando o telefone, mas o PC estava desconectado da rede local. Não estou querendo colocar essa pessoa em apuros, apenas possivelmente evitar que algo semelhante aconteça novamente.
Você pode usar a Diretiva de Grupo para impedir a instalação de novos dispositivos de rede.
Você encontrará uma opção em Modelos administrativos \ Sistema \ Instalação de dispositivos \ Restrições de instalação de dispositivos \ Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de configuração de driver.
De sua descrição:
Usando as configurações de política aqui, você pode criar uma lista branca (que você parece não querer) ou uma lista negra, seja de dispositivos individuais ou classes inteiras de dispositivos (como adaptadores de rede). Eles entram em vigor quando um dispositivo é removido e reinserido , portanto, não afetará a NIC integrada à máquina, desde que você não aplique a configuração a dispositivos já instalados.
Você precisará fazer referência à lista de classes de configuração de dispositivo para encontrar a classe para adaptadores de rede, que é
{4d36e972-e325-11ce-bfc1-08002be10318}. Adicione esta classe à lista negra e, logo depois, ninguém poderá usar adaptadores de rede USB.Há várias opções:
No Windows 7, você pode controlar quais dispositivos USB podem ser conectados. Veja este artigo, por exemplo.
Você pode monitorar se o PC está conectado à rede, por exemplo, monitorando o status da porta do switch à qual a máquina está conectada. (computadores modernos mantêm a NIC conectada mesmo quando a máquina está desligada, portanto desligar o computador não deve disparar um alarme). Isso pode ser feito a baixo custo usando soluções gratuitas de código aberto (de qualquer forma, você deve ter um monitoramento em sua rede!)
EDIT em resposta ao comentário:
Se o usuário adicionar um adaptador sem fio, a métrica dessa nova interface será maior que a métrica da interface com fio, portanto, o Windows continuará a usar a interface com fio. Como o usuário não possui privilégios administrativos, ele não pode superar isso.
Conforme apontado por @Hangin em desespero silencioso no comentário, sempre há um custo. Seu tempo custa dinheiro para a empresa, e você deve considerar o custo real de implementar a segurança versus o custo potencial do mau comportamento.
Que tipo de antivírus você está usando? No antivírus Kaspersky, você pode definir redes confiáveis e locais. Assim, você pode configurar sua rede local como confiável e proibir qualquer outra rede. Isso funciona se o computador for usado apenas no escritório.
Eu tenho KSC e posso gerenciar todo o computador centralizado.
Acho que uma opção é criar, na máquina de destino, um script para monitorar as configurações de rede do PC (ex: endereço IP e gateway) e alertá-lo (ex: via e-mail) quando algo mudar.
Nunca se esqueça que o usuário pode checar pornografia diretamente no celular do usuário através da rede LTE , então ninguém nunca saberá (e um celular novo tem uma tela grande...) Por que o usuário usou a ponte no computador intriga Eu.
Isso traz outra questão importante... você gerencia o celular com uma regra empresarial?
Um exemplo do livro do administrador do BES :
ou
E sim, controlar o USB é bom, mas esse dispositivo pode conter documentos/e-mails importantes da empresa e não controlá-lo é um risco de segurança.
Depois disso, se você controlar todos os celulares, poderá solicitar que nenhum celular pessoal esteja presente na mesa/computador do funcionário.
Para qualquer outro caso, direi como o usuário DoktorJ , que se eles tentarem trazer uma grande configuração para burlar sua segurança, correrão o risco de serem demitidos diretamente.
Para tethering
Você pode definir o Windows incapaz de encontrar o arquivo de drivers RNDIS c:\windows\inf\wceisvista.inf.
Para o seu teste, apenas renomeie a extensão para ".inf_disable", seu sistema operacional não conseguirá encontrar os drivers apropriados para tethering.