最近,一位用户将公司 PC 从网络中拔出,并使用 USB 网络共享与他们的 Android 手机完全绕过公司网络并访问互联网。我认为我不需要解释为什么这很糟糕。从零成本(即开源,使用脚本和组策略等)和技术角度(即已经通知 HR,我不认为这是某种症状)最好的方法是什么更深层次的企业文化问题等),以检测和/或防止此类事情再次发生?拥有一个系统范围的解决方案(例如,通过使用组策略)会很好,但如果这不可能,那么针对这个人的 PC 做一些特定的事情也可能是一个答案。
一些细节:PC 是 Windows 7,加入了 Active Directory 域,用户具有普通用户权限(不是管理员),PC 上没有无线功能,禁用 USB 端口不是一个选项
注意:感谢您的精彩评论。我添加了一些额外的细节。
我认为人们想要禁止网络共享的原因有很多,但对于我的特定环境,我可以想到以下几点:(1)防病毒更新。我们有一个本地防病毒服务器,可以为网络连接的计算机提供更新。如果您未连接到网络,则无法接收更新。(2) 软件更新。我们有一个 WSUS 服务器并审查每个更新以批准/禁止。我们还通过组策略为其他常用软件程序(例如 Adobe Reader 和 Flash)提供更新。如果计算机未连接到本地网络,则计算机无法接收更新(不允许从外部更新服务器进行更新)。(3) 互联网过滤。我们过滤掉恶意网站,呃,淘气(?)网站。
更多背景信息:HR 已收到通知。有问题的人是高水平的人,所以有点棘手。为这名员工“树立榜样”虽然很诱人,但并不是一个好主意。我们的过滤并不严格,我猜这个人可能一直在看顽皮的网站,尽管没有直接的证据(缓存已被清除)。他说他只是在给手机充电,但 PC 已从本地网络中拔出。我不想让这个人陷入困境,只是可能会阻止类似的事情再次发生。
您可以使用组策略来阻止安装新的网络设备。
您将在管理模板\系统\设备安装\设备安装限制\阻止使用与这些驱动程序安装类匹配的驱动程序安装设备中找到一个选项。
从它的描述来看:
使用此处的策略设置,您可以创建单个设备或整个设备类别(例如网络适配器)的白名单(您似乎不想要)或黑名单。这些在移除并重新插入设备时生效,因此它不会影响机器内置的 NIC,前提是您不将设置应用于已安装的设备。
您需要参考设备设置类列表来查找网络适配器的类,即
{4d36e972-e325-11ce-bfc1-08002be10318}. 把这个类加入黑名单,很快就没人可以使用USB网卡了。有几种选择:
在 Windows 7 上,您可以控制可以连接哪些 USB 设备。例如,请参阅这篇文章。
您可以监控 PC 是否连接到网络,例如通过监控机器连接的交换机端口的状态。(现代计算机即使在机器关闭时也会保持 NIC 连接,因此关闭计算机不应触发警报)。这可以使用免费的开源解决方案以低成本完成(无论如何,您应该在网络中进行监控!)
编辑回应评论:
如果用户添加无线适配器,这个新接口的度量将高于有线接口的度量,因此 Windows 将继续使用有线接口。由于用户没有管理权限,他无法克服这一点。
正如@Hangin 在评论中安静绝望地指出的那样,总是有代价的。您的时间对公司来说是要花钱的,而且您必须考虑实施安全措施的实际成本与不良行为的潜在成本。
您使用的是什么类型的防病毒软件?在卡巴斯基防病毒软件中,您可以定义受信任的本地网络。因此,您可以将本地网络配置为受信任并禁止任何其他网络。如果计算机仅用于办公室,则此方法有效。
我有 KSC,我可以集中管理所有计算机。
我认为一个选项是在目标机器上创建一个脚本来监控 PC 网络设置(例如:IP 地址和网关)并在发生变化时提醒您(例如:通过电子邮件)。
永远不要忘记,用户可以通过LTE网络直接在用户的手机上查看色情内容,所以没有人永远不会知道(而且新手机有一个大屏幕......)为什么用户在电脑上使用桥接器很有趣我。
这带来了另一个重要的问题……你用企业规则管理手机吗?
BES管理员手册中的一个示例:
或者
是的,控制 USB 很好,但该设备上可能有重要的企业文档/电子邮件,不控制它是一种安全风险。
之后,如果您控制所有手机,您可以要求员工办公桌/电脑上不要有个人手机。
对于任何其他情况,我会像用户DoktorJ一样告诉他们,如果他们试图带来一个大型设置来绕过您的安全性,他们将面临被直接解雇的风险。
用于网络共享
可以设置windows找不到RNDIS驱动文件c:\windows\inf\wceisvista.inf文件。
对于您的测试,只需将扩展名重命名为“.inf_disable”,您的操作系统将无法找到合适的网络共享驱动程序。