¿Cómo detectar si un usuario está utilizando la conexión USB?

38

Recientemente, un usuario desconectó la PC de su empresa de la red y usó la conexión USB con su teléfono Android para evitar la red de la empresa por completo y acceder a Internet. No creo que necesite explicar por qué esto es malo. ¿Cuál sería la mejor manera, desde un punto de vista de costo cero (es decir, código abierto, usando scripting y política de grupo, etc.) y técnico (es decir, RRHH ya ha sido notificado, no creo que esto sea un síntoma de algún tipo de un problema de cultura corporativa subyacente más profundo, etc.), para detectar y / o evitar que algo como esto vuelva a suceder? Sería bueno tener una solución para todo el sistema (por ejemplo, mediante el uso de la política de grupo), pero si eso no es posible, hacer algo específico para la PC de esta persona también podría ser una respuesta.

Algunos detalles: la PC es Windows 7 unida a un dominio de Active Directory, el usuario tiene privilegios de usuario normales (no administrador), no hay capacidades inalámbricas en la PC, deshabilitar los puertos USB no es una opción

NOTA: Gracias por los excelentes comentarios. Agregué algunos detalles adicionales.

Creo que hay muchas razones por las que uno desearía no permitir la inmovilización, pero para mi entorno particular, puedo pensar en lo siguiente: (1) Actualizaciones de antivirus. Tenemos un servidor antivirus local que entrega actualizaciones a las computadoras conectadas a la red. Si no está conectado a la red, no puede recibir las actualizaciones. (2) Actualizaciones de software. Tenemos un servidor WSUS y revisamos cada actualización para aprobar / rechazar. También entregamos actualizaciones a otros programas de software de uso común como Adobe Reader y Flash a través de la política de grupo. Las computadoras no pueden recibir actualizaciones si no están conectadas a la red local (no se permite la actualización desde servidores de actualización externos). (3) filtrado de Internet. Filtramos sitios maliciosos y traviesos (?).

Más información de antecedentes: RRHH ya fue notificado. La persona en cuestión es una persona de alto nivel, por lo que es un poco complicado. "Hacer un ejemplo" de este empleado aunque tentador no sería una buena idea. Nuestro filtrado no es severo, supongo que la persona puede haber estado mirando sitios traviesos, aunque no hay evidencia directa (se borró el caché). Dice que solo estaba cargando su teléfono, pero que la PC estaba desconectada de la red local. No estoy buscando meter a esta persona en problemas, solo posiblemente evite que algo similar vuelva a suceder.

windows android

— wrieedx
fuente

22

No se puede hacer a costo cero. Tu tiempo es costoso.

— user9517 es compatible con GoFundMonica el

32

Si no es un sistema completamente bloqueado, entonces este no es un problema técnico. Prohibir la vinculación por política y confiar en sus empleados para seguir la política. Dedique su tiempo a comprender / solucionar por qué necesitaban evitar la red de la empresa para realizar su trabajo, de modo que no necesiten conectarse en el futuro.

— JamesRyan

16

No creo que necesite explicar por qué esto es malo. En realidad, por favor explícalo. No puedo pensar en una razón por la cual esto es un problema.

— stommestack

9

@JopV. Los departamentos de TI (especialmente para las grandes empresas) generalmente trabajan alrededor de la capacidad informática más baja e intentan asegurarse de que no puedan romper accidentalmente la red haciendo algo estúpido en Internet. El resultado es que si estás en la mitad tecnológica de dicha compañía, generalmente tienes una batalla constante con TI para poder hacer algo útil en tu trabajo. Sí, estoy amargado por varias de estas batallas :-)

— Kevin Shea

8

@ AndréBorie el usuario pudo conectar un dispositivo USB. Si se permite la conexión, el almacenamiento masivo USB probablemente también esté autorizado. En esas condiciones, creo que es seguro decir que la máquina no estaba en un entorno de alta seguridad.

— njzk2

16

Hay varias opciones:

En Windows 7 puede controlar qué dispositivos USB pueden conectarse. Ver este artículo por ejemplo.
Puede controlar que la PC esté conectada a la red, por ejemplo, monitoreando el estado del puerto del conmutador al que está conectada la máquina. (las computadoras modernas mantienen la NIC conectada incluso cuando la máquina está apagada, por lo que apagar la computadora no debería activar una alarma). Esto se puede hacer a bajo costo utilizando soluciones gratuitas de código abierto (¡de todos modos, debe tener un monitoreo en su red!)

EDITAR en respuesta al comentario:
si el usuario agrega un adaptador inalámbrico, la métrica de esta nueva interfaz será más alta que la métrica de la interfaz cableada, por lo que Windows continuará utilizando la interfaz cableada. Como el usuario no tiene privilegios administrativos, no puede superar esto.

Puede usar un proxy para acceder a Internet y forzar la configuración del proxy a través de GPO. Entonces, si la máquina está desconectada de la red y no puede acceder al proxy, no puede acceder a nada. Esta solución podría ser fácil en una red pequeña, pero muy difícil de implementar en una red grande.

Como señaló @Hangin en una silenciosa desesperación en los comentarios, siempre hay un costo. Su tiempo le cuesta dinero a la empresa, y debe considerar el costo real de implementar la seguridad frente al costo potencial del mal comportamiento.

— JFL
fuente

Para la segunda solución, el usuario aún podría agregar una nueva NIC / SIM en lugar de reemplazar la conexión normal. Si luego monitorea el sistema operativo, él podría hacerlo en una máquina virtual. La tercera solución no lograría nada, ya que el usuario aún podría conectarse a Internet (simplemente no a los recursos de la empresa, lo que presumiblemente no le importa de todos modos.

— User121391

2

Para la segunda solución, vea mi edición en mi respuesta. Para la solución proxy, no se debe realizar la configuración, por lo que el acceso a Internet a través del proxy y el proxy no disponible significa que no hay Internet. Esta es una configuración empresarial común.

— JFL

En realidad, tenemos un servidor proxy, pero por alguna razón aún no lo hemos implementado por completo. Como dice JFL, si implementamos completamente el proxy usando la política de grupo, los usuarios no podrán conectarse a Internet fuera de la red corporativa porque no tienen los permisos necesarios para cambiar la configuración del proxy. Esencialmente, todas nuestras PC son estaciones de trabajo, por lo que no se pueden mover y conectar fácilmente a redes externas.

— wrieedx

1

El servidor proxy, a menos que se verifique a través de un certificado, se puede imitar fácilmente incluso en un teléfono; con la aplicación correcta, creo que ni siquiera tienes que ser root. Forzar la validación de proxy también resuelve el problema de usar un puente ETH. Finalmente, hacer ping periódicamente a todos los usuarios de la máquina daría un sistema de alerta para encontrar personas jugando con cables

— Lesto

Realmente no hay una respuesta 100% "correcta" para esta pregunta, y se han publicado muchas respuestas realmente fantásticas. Sin embargo, estoy marcando esta respuesta como la correcta porque la sugerencia del servidor proxy funcionará con un esfuerzo mínimo dado mi entorno actual (tenemos un servidor proxy pero aún no se ha implementado por completo). Para otras personas que enfrentan un problema similar, otras soluciones pueden funcionar mejor.

— wrieedx

55

Puede usar la Política de grupo para evitar la instalación de nuevos dispositivos de red.

Encontrará una opción en Plantillas administrativas \ Sistema \ Instalación de dispositivos \ Restricciones de instalación de dispositivos \ Prevenga la instalación de dispositivos usando controladores que coincidan con estas clases de configuración de controladores.

De su descripción:

Esta configuración de directiva le permite especificar una lista de identificadores únicos (GUID) de clase de configuración de dispositivo para controladores de dispositivo que Windows no puede instalar. Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar un dispositivo.

Si habilita esta configuración de directiva, se impide que Windows instale o actualice los controladores de dispositivo cuyos GUID de clase de configuración de dispositivo aparecen en la lista que crea. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta la redirección de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.

Con la configuración de políticas aquí, puede crear una lista blanca (que parece no querer) o una lista negra, ya sea de dispositivos individuales o de clases enteras de dispositivos (como adaptadores de red). Estos surten efecto cuando un dispositivo se retira y se vuelve a insertar , por lo que no afectará a la NIC integrada en la máquina, siempre que no aplique la configuración a los dispositivos que ya están instalados.

Deberá hacer referencia a la lista de clases de configuración de dispositivos para encontrar la clase de adaptadores de red, que es {4d36e972-e325-11ce-bfc1-08002be10318}. Agregue esta clase a la lista negra y, poco después, nadie podrá usar adaptadores de red USB.

— Michael Hampton
fuente

77

Por supuesto, esto no impide simplemente desenchufar el cable de ethernet y enchufarlo a un dispositivo puente mediante la conexión del teléfono.

— R ..

2

@R .. Es cierto, no es perfecto . Pero está proponiendo a alguien con un conocimiento técnico superior al promedio, y eso no parece ser lo que está tratando el OP.

— Michael Hampton

44

Bueno, una opción aún más simple que también evitaría muchos otros problemas de seguridad es simplemente llenar todos los puertos USB con epoxi.

— R ..

1

@R .. Por favor regrese y lea la publicación original. El usuario declaró explícitamente que no estaba dispuesto a hacer eso.

— Michael Hampton

55

Si bien no evita el puente, eleva las barras técnicas y físicas para la conexión telefónica. Por ejemplo, tengo el conocimiento técnico para establecer puentes y podría hacerlo mientras duermo, pero no tengo un puente de repuesto simplemente tendido. Como mínimo, necesitaría invertir $ 15-20 en un enrutador barato y poner OpenWRT o similar en él (luego usar la conexión WiFi). Además, es mucho más fácil explicar que su teléfono esté conectado al puerto USB de su computadora que una extraña caja parpadeante que cuelga de la parte posterior.

— Doktor J

9

¿Qué tipo de antivirus estás usando? En Kaspersky antivirus puede definir redes locales y de confianza. Por lo tanto, puede configurar su red local como confiable y prohibir cualquier otra red. Esto funciona si la computadora solo se usa en la oficina.

Tengo KSC y puedo administrar centralizada toda la computadora.

— Guntis
fuente

Esto es realmente bueno saberlo. Estamos usando TrendMicro, y creo que la versión particular que estamos usando no nos permite hacer esto.

— wrieedx

4

Creo que una opción es crear, en la máquina de destino, un script para monitorear la configuración de red de la PC (por ejemplo: dirección IP y puerta de enlace) y alertarlo (por ejemplo: por correo electrónico) cuando algo cambie.

— shodanshok
fuente

Para que esto funcione, ¿cómo se podría monitorear la configuración de red de la PC? ¿Hay algún tipo de opción de activación disponible en algún lugar que pueda iniciar un script cuando la configuración de la red cambia?

— wrieedx

1

@wrieedx Tal vez una tarea programada con un disparador basado en eventos para el Hardware Events, Microsoft-Windows-Network*, o Systemlos troncos puedan trabajar. Si tiene un dispositivo de conexión USB para probar, puede ver qué eventos aparecen en el Visor de eventos cuando está conectado / configurado e intente crear un activador basado en ellos. Por supuesto, cualquier proceso / script que se inicie para alertarlo sobre este evento necesitaría manejar el caso en el que la máquina está (al menos en ese momento) desconectada de su red interna.

— BACON

Alertar a la PC del usuario es solo parcialmente efectivo, el teléfono del usuario podría filtrar el tráfico o usar algún proxy. Como las reglas de enrutamiento podrían configurarse para enviar todo a ETH sin importar qué, lo mejor sería hacer ping a todas las máquinas de los usuarios cada vez y verificar si alguien lo desconecta. Aún así, es posible usar un puente ETH.

— Lesto

1

Nunca olvides que el usuario puede ver pornografía directamente en el teléfono celular del usuario a través de la red LTE , por lo que nadie lo sabrá (y un nuevo teléfono celular tiene una pantalla grande ...) ¿Por qué el usuario usó el puente en las intrigas de la computadora? yo.

Eso provoca otra pregunta importante ... ¿administra el teléfono celular con una regla empresarial?

Un ejemplo del libro de administrador de BES :

Al seleccionar esta regla, se evita que el dispositivo se empareje con cualquier computadora que no sea el host del Configurador de Apple. Esta regla solo se aplica a dispositivos supervisados con Apple Configurator.

o

Seleccionar esta regla evita que los usuarios usen AirDrop para compartir datos con otros dispositivos. Esta regla solo se aplica a dispositivos supervisados con Apple Configurator.

Y sí, controlar el USB es bueno, pero ese dispositivo puede tener importantes documentos / correos electrónicos empresariales y no controlarlo es un riesgo de seguridad.

Después de eso, si controla todos los teléfonos celulares, puede solicitar que no haya ninguna célula personal en el escritorio / computadora del empleado.

Para cualquier otro caso, le diré, como el usuario DoktorJ , que si intentan realizar una configuración grande para eludir su seguridad, correrán el riesgo de ser despedidos directamente.

— yagmoth555 - GoFundMe Monica
fuente

0

Para atar

Puede configurar Windows que no puede encontrar el archivo de controladores RNDIS c: \ windows \ inf \ wceisvista.inf.

Para su prueba, simplemente cambie el nombre de la extensión a ".inf_disable", su sistema operativo no podrá encontrar los controladores apropiados para la conexión.

— Ylogaf
fuente