Comment détecter si un utilisateur utilise le partage de connexion USB?

38

Récemment, un utilisateur a débranché son PC d’entreprise du réseau et utilisé le partage de connexion USB avec son téléphone Android pour contourner entièrement le réseau de l’entreprise et accéder à Internet. Je ne pense pas avoir besoin d'expliquer pourquoi c'est mauvais. Quelle serait la meilleure façon, d'un point de vue coût zéro (open source, utilisation de scripts et de stratégie de groupe, etc.) et technique (ie, les ressources humaines ont déjà été notifiées, je ne pense pas que ce soit un symptôme quelconque problème de culture d’entreprise sous-jacent, etc.), afin de détecter et / ou d’empêcher que de tels événements ne se reproduisent? Il serait bien d’avoir une solution à l’échelle du système (par exemple, en utilisant une stratégie de groupe), mais si cela n’est pas possible, faire quelque chose de spécifique pour le PC de cette personne pourrait également être une réponse.

Quelques détails: le PC est Windows 7 associé à un domaine Active Directory, l'utilisateur dispose de privilèges d'utilisateur ordinaires (pas d'administrateur), il n'y a pas de capacités sans fil sur le PC, la désactivation des ports USB n'est pas une option

NOTE: Merci pour les bons commentaires. J'ai ajouté quelques détails supplémentaires.

Je pense qu'il y a beaucoup de raisons pour lesquelles on voudrait interdire le partage de connexion, mais pour mon environnement particulier, je peux penser à ce qui suit: (1) Mises à jour antivirus. Nous avons un serveur anti-virus local qui fournit des mises à jour aux ordinateurs connectés au réseau. Si vous n'êtes pas connecté au réseau, vous ne pouvez pas recevoir les mises à jour. (2) Mises à jour du logiciel. Nous avons un serveur WSUS et examinons chaque mise à jour pour approuver / interdire. Nous fournissons également des mises à jour des logiciels utilisés couramment, tels que Adobe Reader et Flash via une stratégie de groupe. Les ordinateurs ne peuvent pas recevoir de mises à jour s'ils ne sont pas connectés au réseau local (la mise à jour à partir de serveurs de mises à jour externes n'est pas autorisée). (3) filtrage Internet. Nous filtrons les sites malveillants et, euh, vilains (?).

Plus d'informations de base: HR a déjà été notifié. La personne en question est une personne de haut niveau, donc c'est un peu délicat. "Faire un exemple" de cet employé bien que tentant ne serait pas une bonne idée. Notre filtrage n’est pas sévère, je suppose que la personne a peut-être consulté des sites coquins bien qu’il n’y ait pas de preuve directe (la mémoire cache a été effacée). Il dit qu'il était en train de charger son téléphone, mais que l'ordinateur était débranché du réseau local. Je ne cherche pas à mettre cette personne en difficulté, mais peut-être empêcher que quelque chose de similaire ne se reproduise.

windows android Wrieedx
la source
22
Cela ne peut pas être fait à coût zéro. Votre temps est un coût.
user9517 prend en charge GoFundMonica
32
S'il ne s'agit pas d'un système entièrement verrouillé, il ne s'agit pas d'un problème technique. Interdire la connexion par politique et faites confiance à vos employés pour la suivre. Passez votre temps à comprendre / à déterminer pourquoi ils devaient éviter le réseau de la société pour pouvoir faire leur travail de manière à ne plus avoir à s’attacher à l’avenir.
JamesRyan
16
Je ne pense pas avoir besoin d'expliquer pourquoi c'est mauvais. En fait, merci de l'expliquer. Je ne peux pas penser à une raison pour laquelle c'est un problème.
Stommestack
9
@JopV. Les services informatiques (en particulier ceux des grandes entreprises) travaillent généralement autour des capacités informatiques les plus faibles et tentent de s’assurer qu’ils ne peuvent pas casser accidentellement le réseau en faisant quelque chose de stupide sur Internet. Le résultat est que si vous êtes dans la moitié technologique de ladite entreprise, vous devez généralement vous battre avec l'informatique pour pouvoir faire quelque chose d'utile dans votre travail. Oui, je suis amer de plusieurs de ces batailles :-)
Kevin Shea
8
@ AndréBorie l'utilisateur a pu brancher un périphérique USB. Si le partage de connexion est autorisé, le stockage de masse USB est probablement également autorisé. Dans ces conditions, je pense qu'il est prudent de dire que la machine ne se trouvait pas dans un environnement hautement sécurisé.
njzk2

Réponses:

16

Il y a plusieurs options:

  • Sous Windows 7, vous pouvez contrôler quels périphériques USB peuvent être connectés. Voir cet article par exemple.

  • Vous pouvez contrôler que le PC est connecté au réseau, par exemple en contrôlant l'état du port du commutateur auquel la machine est connectée. (Les ordinateurs modernes gardent la carte réseau connectée même lorsque la machine est éteinte. L'arrêt de l'ordinateur ne devrait donc pas déclencher une alarme). Cela peut être fait à faible coût en utilisant des solutions open source gratuites (de toute façon, vous devriez avoir une surveillance dans votre réseau!).

EDIT en réponse à un commentaire:
Si l'utilisateur ajoute un adaptateur sans fil, la métrique de cette nouvelle interface sera supérieure à celle de l'interface filaire. Windows continuera donc à utiliser l'interface filaire. Étant donné que l'utilisateur ne dispose pas de privilèges administratifs, il ne peut pas surmonter cela.

  • Vous pouvez utiliser un proxy pour accéder à Internet et forcer les paramètres de proxy via un objet de stratégie de groupe. Ainsi, si la machine est déconnectée du réseau et ne peut pas accéder au proxy, elle ne peut rien accéder. Cette solution pourrait être facile dans un petit réseau, mais très difficile à mettre en œuvre dans un grand réseau.

Comme @Hangin l'a souligné dans un désespoir discret , il y a toujours un coût. Votre temps coûte de l’argent à l’entreprise et vous devez prendre en compte le coût réel de la mise en place de la sécurité par rapport au coût potentiel du mauvais comportement.

JFL
la source
Pour la deuxième solution, l'utilisateur peut toujours ajouter une nouvelle carte réseau / SIM au lieu de remplacer la connexion normale. Si vous surveillez ensuite le système d'exploitation, il pourrait le faire dans une machine virtuelle. La troisième solution n'aboutirait à rien, car l'utilisateur pourrait toujours se connecter à Internet (mais pas aux ressources de l'entreprise, dont il ne se soucie probablement pas de toute façon.)
user121391
2
Pour la deuxième solution, voir ma modification dans ma réponse. Pour la solution proxy, aucune configuration ne doit être effectuée afin que l'accès Internet passe par le proxy et que proxy non disponible ne signifie pas Internet. Ceci est une configuration d'entreprise commune.
JFL
En fait, nous avons un serveur proxy, mais pour une raison quelconque, nous ne l'avons pas encore complètement déployé. Comme le dit JFL, si nous déployons pleinement le proxy en utilisant la stratégie de groupe, les utilisateurs ne pourront pas se connecter à Internet en dehors du réseau de l'entreprise car ils ne disposent pas des autorisations nécessaires pour modifier les paramètres du proxy. Essentiellement, tous nos ordinateurs sont des stations de travail et ne peuvent donc pas être facilement déplacés et connectés à des réseaux externes.
Wrieedx
1
Le serveur proxy, à moins d'être vérifié par un certificat, peut facilement être imité, même sur un téléphone. avec la bonne application, je pense qu'il n'est même pas nécessaire d'être root. Forcer la validation du proxy résout également le problème de l’utilisation d’un pont ETH. Enfin, envoyer régulièrement des ping à tous les utilisateurs de la machine donnerait un système d'alerte pour trouver des personnes jouant avec des câbles
Lesto
Il n’ya pas vraiment de réponse "correcte" à 100% à cette question, et beaucoup de réponses vraiment fantastiques ont été postées. Cependant, je marque cette réponse comme étant la réponse correcte, car la suggestion du serveur proxy fonctionnera avec un minimum d'effort compte tenu de mon environnement actuel (nous avons un serveur proxy mais celui-ci n'a pas encore été complètement déployé). Pour d'autres personnes confrontées à un problème similaire, d'autres solutions peuvent fonctionner mieux.
Wrieedx
55

Vous pouvez utiliser la stratégie de groupe pour empêcher l'installation de nouveaux périphériques réseau.

Vous trouverez une option dans Modèles d'administration \ Système \ Installation de périphériques \ Restrictions relatives à l'installation de périphériques \ Empêcher l'installation de périphériques à l'aide de pilotes correspondant à ces classes d'installation.

De sa description:

Ce paramètre de stratégie vous permet de spécifier une liste d'identificateurs globaux uniques (GUID) de classe d'installation de périphérique pour les pilotes de périphérique que Windows ne peut pas installer. Ce paramètre de stratégie a priorité sur tout autre paramètre de stratégie permettant à Windows d'installer un périphérique.

Si vous activez ce paramètre de stratégie, Windows ne peut ni installer ni mettre à jour les pilotes de périphérique dont les GUID de classe de configuration de périphérique apparaissent dans la liste que vous créez. Si vous activez ce paramètre de stratégie sur un serveur de bureau distant, il affecte la redirection des périphériques spécifiés d'un client de bureau distant vers le serveur de bureau distant.

En utilisant les paramètres de stratégie ici, vous pouvez créer une liste blanche (ce que vous semblez ne pas vouloir) ou une liste noire, de périphériques individuels ou de classes entières de périphériques (tels que des adaptateurs réseau). Celles-ci prennent effet lorsqu'un périphérique est retiré et réinséré . Ainsi, la carte réseau intégrée à l' ordinateur ne sera pas affectée, à condition que vous n'appliquiez pas le paramètre aux périphériques déjà installés.

Vous devrez vous reporter à la liste des classes de configuration du périphérique pour trouver la classe des adaptateurs réseau, à savoir {4d36e972-e325-11ce-bfc1-08002be10318}. Ajoutez cette classe à la liste noire et, peu après, personne ne pourra utiliser les adaptateurs réseau USB.

Michael Hampton
la source
7
Bien entendu, cela n’empêche pas simplement de débrancher le câble Ethernet et de le brancher sur un périphérique pont à l'aide de la fonction modem du téléphone.
R ..
2
@R .. C'est vrai que ce n'est pas parfait . Mais vous proposez une personne ayant des connaissances techniques supérieures à la moyenne, et cela ne semble pas être le cas avec le PO.
Michael Hampton
4
Eh bien, une option encore plus simple qui permettrait également d'éviter de nombreux autres problèmes de sécurité consiste simplement à remplir tous les ports USB avec de l'époxy.
R ..
1
@R .. S'il vous plaît revenir en arrière et lire le post original. L'utilisateur a explicitement déclaré qu'il n'était pas disposé à le faire.
Michael Hampton
5
Bien que cela n’empêche pas la création de ponts, il soulève les obstacles techniques ET physiques à l’attachement téléphonique. Par exemple, j'ai les connaissances techniques nécessaires pour installer un pont et je pourrais le faire pendant mon sommeil - mais je n'ai pas de pont de rechange en cours de route. Au minimum, il me faudrait investir entre 15 et 20 dollars dans un routeur bon marché et y placer OpenWRT ou similaire (puis utiliser le partage de connexion WiFi). En outre, il est beaucoup plus facile d’expliquer que votre téléphone est branché sur le port USB de votre ordinateur qu’une étrange boîte clignotante qui pend à l’arrière.
Doktor J
9

Quel type d'antivirus vous utilisez? Dans Kaspersky Antivirus, vous pouvez définir des réseaux sécurisés et locaux. Ainsi, vous pouvez configurer votre réseau local comme sécurisé et interdire tout autre réseau. Cela fonctionne si l’ordinateur n’est utilisé que dans le bureau.

J'ai KSC et je peux gérer centralisé tous les ordinateurs. Règle KSC

Guntis
la source
C'est vraiment agréable à savoir. Nous utilisons TrendMicro, et je pense que la version particulière que nous utilisons ne nous permet pas de le faire.
Wrieedx
4

Je pense qu’une option est de créer, sur la machine cible, un script pour contrôler les paramètres réseau du PC (par exemple: adresse IP et passerelle) et pour vous alerter (par exemple: par courrier électronique) lorsque quelque chose change.

Shodanshok
la source
Pour que cela fonctionne, comment surveiller les paramètres réseau du PC? Existe-t-il une option de déclenchement disponible quelque part qui peut initier un script lorsque les paramètres réseau sont modifiés?
Wrieedx
1
Peut-être @wrieedx une tâche planifiée avec un déclencheur basé sur un événement pour le Hardware Events, Microsoft-Windows-Network*ou les Systemjournaux pourraient fonctionner. Si vous devez tester un périphérique de partage de connexion USB, vous pouvez voir quels événements apparaissent dans l'observateur d'événements lorsqu'il est connecté / configuré et essayer de créer un déclencheur basé sur ceux-ci. Bien sûr, quel que soit le processus / script lancé pour vous alerter de cet événement, il serait nécessaire de gérer le cas où la machine est (à ce moment du moins) déconnectée de votre réseau interne.
BACON
Alerte utilisateur PC est partiellement efficace, téléphone utilisateur peut filtrer le trafic, ou utiliser un proxy. Comme les règles de routage pourraient être configurées pour tout envoyer à ETH, quoi qu'il en soit, le mieux serait d'envoyer une requête ping à toutes les machines des utilisateurs et de vérifier si quelqu'un le débranche. Toujours possible d'utiliser un pont ETH.
Lesto
1

N'oubliez jamais que l'utilisateur peut vérifier le porno directement sur son téléphone portable via le réseau LTE , ainsi personne ne le saura jamais (et un nouveau téléphone portable a un grand écran ...) Pourquoi l'utilisateur a-t-il utilisé le pont sur l'ordinateur moi.

Cela soulève une autre question importante ... gérez-vous le téléphone portable avec une règle d'entreprise?

Un exemple tiré du livre de l'administrateur BES :

La sélection de cette règle empêche le périphérique de s'associer à un ordinateur autre que l'hôte Apple Configurator. Cette règle ne s'applique qu'aux périphériques supervisés à l'aide de Apple Configurator.

ou

La sélection de cette règle empêche les utilisateurs d'utiliser AirDrop pour partager des données avec d'autres appareils. Cette règle ne s'applique qu'aux périphériques supervisés à l'aide de Apple Configurator.

Et oui, le contrôle de l'USB est bon, mais cet appareil peut contenir d'importants documents / courriels d'entreprise et ne pas le contrôler constitue un risque pour la sécurité.

Après cela, si vous contrôlez tous les téléphones portables, vous pouvez demander qu’aucune cellule personnelle ne soit présente au bureau / ordinateur des employés.

Pour tout autre cas, je dirai à l'utilisateur DoktorJ que s'il essaye de créer une configuration volumineuse pour contourner votre sécurité, il risque d'être renvoyé directement.

yagmoth555 - GoFundMe Monica
la source
0

Pour attacher

Vous pouvez définir Windows incapable de trouver le fichier de pilotes RNDIS c: \ windows \ inf \ wceisvista.inf.

Pour votre test, renommez simplement l'extension ".inf_disable", votre système d'exploitation ne sera pas en mesure de trouver les pilotes appropriés pour le partage de connexion.

Ylogaf
la source