Как определить, использует ли пользователь USB-модем?
Недавно пользователь отключил свой корпоративный компьютер от сети и использовал USB-модем со своим телефоном Android, чтобы полностью обойти корпоративную сеть и получить доступ к Интернету. Не думаю, что мне нужно объяснять, почему это плохо. Каким будет лучший способ: с нулевой стоимостью (то есть с открытым исходным кодом, с использованием сценариев и групповой политики и т. Д.) И с технической точки зрения (т.е. HR уже уведомлен, я не думаю, что это какой-то симптом более глубоких проблем корпоративной культуры и т. д.), чтобы выявить и / или предотвратить повторение подобного? Было бы неплохо иметь общесистемное решение (например, с помощью групповой политики), но если это невозможно, то решение чего-то особенного для ПК этого человека также может быть ответом.
Несколько деталей: ПК - это Windows 7, подключенная к домену Active Directory, у пользователя есть права обычного пользователя (не администратора), на ПК нет беспроводных возможностей, отключение USB-портов не является вариантом
ПРИМЕЧАНИЕ: Спасибо за отличные комментарии. Я добавил некоторые дополнительные детали.
Я думаю, что существует множество причин, по которым можно было бы запретить модем, но для моей конкретной среды я могу думать о следующем: (1) Обновления антивируса. У нас есть локальный антивирусный сервер, который доставляет обновления на компьютеры, подключенные к сети. Если вы не подключены к сети, вы не сможете получать обновления. (2) Обновления программного обеспечения. У нас есть сервер WSUS, и мы проверяем каждое обновление, чтобы одобрить / запретить. Мы также доставляем обновления для других часто используемых программ, таких как Adobe Reader и Flash, через групповую политику. Компьютеры не могут получать обновления, если они не подключены к локальной сети (обновление с внешних серверов обновлений запрещено). (3) Интернет-фильтрация. Мы отфильтровываем вредоносные и непристойные (?) Сайты. Используя привязку, вы можете обойти фильтр и получить доступ к этим сайтам и, возможно, поставить под угрозу безопасность вашего компьютера.
Дополнительная справочная информация: HR уже был уведомлен. Рассматриваемый человек - человек высокого уровня, поэтому это немного сложно. «Подавать пример» этому сотруднику, хотя и заманчиво, было бы не очень хорошей идеей. Наша фильтрация не является строгой, я предполагаю, что человек мог просматривать непристойные сайты, хотя прямых доказательств нет (кеш был очищен). Он говорит, что просто заряжал свой телефон, но компьютер был отключен от локальной сети. Я не хочу доставить этому человеку неприятности, просто, возможно, предотвратите повторение чего-то подобного.
Вы можете использовать групповую политику, чтобы предотвратить установку новых сетевых устройств.
Вы найдете опцию в административных шаблонах \ Система \ Установка устройства \ Ограничения установки устройств \ Запретить установку устройств с использованием драйверов, соответствующих этим классам установки драйверов.
Из его описания:
Этот параметр политики позволяет указать список глобальных уникальных идентификаторов (GUID) класса настройки устройства для драйверов устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, позволяющим Windows установить устройство.
Если вы включите этот параметр политики, Windows не сможет устанавливать или обновлять драйверы устройств, идентификаторы GUID классов установки устройств которых отображаются в созданном вами списке. Если вы включите этот параметр политики на сервере удаленного рабочего стола, этот параметр политики влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленного рабочего стола.
Используя здесь параметры политики, вы можете создать белый список (который вам кажется не нужен) или черный список для отдельных устройств или целых классов устройств (например, сетевых адаптеров). Они вступают в силу при удалении и повторной установке устройства., поэтому это не повлияет на сетевой адаптер, встроенный в машину, если вы не примените настройку к уже установленным устройствам.
Вам нужно будет указать список классов настройки устройства найти класс сетевых адаптеров, который {4d36e972-e325-11ce-bfc1-08002be10318}. Добавьте этот класс в черный список, и вскоре после этого никто не сможет использовать сетевые USB-адаптеры.
Есть несколько вариантов:
В Windows 7 вы можете контролировать, какие USB-устройства можно подключать. Видеть Эта статья например.
Вы можете отслеживать, что ПК подключен к сети, например, отслеживая состояние порта коммутатора, к которому подключено устройство. (в современных компьютерах сетевая карта остается подключенной, даже когда машина выключена, поэтому выключение компьютера не должно вызывать тревогу). Это можно сделать с небольшими затратами, используя бесплатные решения с открытым исходным кодом (в любом случае у вас должен быть мониторинг в вашей сети!)
ИЗМЕНИТЬ в ответ на комментарий:
Если пользователь добавляет беспроводной адаптер, метрика этого нового интерфейса будет выше, чем метрика проводного интерфейса, поэтому Windows продолжит использовать проводной интерфейс. Поскольку у пользователя нет прав администратора, он не может этого избежать.
- Вы можете использовать прокси-сервер для доступа к Интернету и принудительно настроить прокси-сервер через GPO. Таким образом, если машина отключена от сети и не может получить доступ к прокси-серверу, она не сможет получить доступ ни к чему. Это решение может быть простым в небольшой сети, но очень трудным для реализации в большой сети.
Как указал @ Хангин в тихом отчаянии в комментариях всегда есть цена. Ваше время стоит денег компании, и вы должны учитывать фактические затраты на обеспечение безопасности и потенциальные затраты на плохое поведение.
Какой антивирус вы используете? В Антивирусе Касперского вы можете определять доверенные и локальные сети. Таким образом, вы можете настроить свою локальную сеть как надежную и запретить любые другие сети. Это работает, если компьютер используется только в офисе.
У меня есть KSC, и я могу централизованно управлять всем компьютером. 
Я думаю, что можно создать на целевой машине сценарий для мониторинга сетевых настроек ПК (например, IP-адреса и шлюза) и для предупреждения вас (например, по электронной почте), когда что-то изменится.
Никогда не забывайте о том, что пользователь может проверить порно прямо на мобильный телефон пользователя через LTE сети, поэтому никто никогда не узнает об этом (а у нового сотового телефона есть большой экран ...) Меня заинтриговало, почему пользователь использовал мост на компьютере.
Это вызывает еще один важный вопрос ... управляете ли вы мобильным телефоном по корпоративным правилам?
Пример из BES книга администратора:
Выбор этого правила запрещает сопряжение устройства с любым компьютером, кроме хоста Apple Configurator. Это правило применяется только к устройствам, которые контролируются с помощью Apple Configurator.
или
Выбор этого правила запрещает пользователям использовать AirDrop для обмена данными с другими устройствами. Это правило применяется только к устройствам, которые контролируются с помощью Apple Configurator.
И да, управление USB - это хорошо, но на этом устройстве могут быть важные корпоративные документы / электронные письма, и отсутствие контроля над ним представляет собой угрозу безопасности.
После этого, если вы контролируете все мобильные телефоны, вы можете попросить, чтобы на рабочем столе / компьютере сотрудника не было никаких личных сотовых.
В любом другом случае я скажу как пользователь DoktorJ, что, если они попытаются создать серьезную настройку для обхода вашей безопасности, они рискуют быть уволенными напрямую.
Для привязки
Вы можете установить, что окна не могут найти файл драйверов RNDIS c: \ windows \ inf \ wceisvista.inf файл.
Для вашего теста просто переименуйте расширение в «.inf_disable», ваша ОС не сможет найти подходящие драйверы для модема.