Как определить, использует ли пользователь USB-модем?

Недавно пользователь отключил ПК своей компании от сети и использовал USB-модем со своим телефоном Android, чтобы полностью обойти сеть компании и получить доступ к Интернету. Я не думаю, что мне нужно объяснять, почему это плохо. Что было бы лучше всего, с нулевой стоимостью (то есть с открытым исходным кодом, с использованием сценариев и групповой политики и т. Д.) И технической точки зрения (т. Е. HR уже был уведомлен, я не думаю, что это какой-то симптом более глубокой проблемы корпоративной культуры и т. д.), чтобы обнаружить и / или предотвратить повторение чего-то подобного? Было бы неплохо иметь общесистемное решение (например, с помощью групповой политики), но если это невозможно, то сделать что-то конкретное для ПК этого человека также может быть ответом.

Несколько подробностей: ПК с Windows 7 присоединен к домену Active Directory, пользователь имеет обычные права пользователя (не администратор), на ПК нет возможностей беспроводной связи, отключение USB-портов не является опцией

ПРИМЕЧАНИЕ: спасибо за отличные комментарии. Я добавил некоторые дополнительные детали.

Я думаю, что есть много причин, по которым можно запретить привязку, но для моей конкретной среды я могу подумать о следующем: (1) Обновления антивируса. У нас есть локальный антивирусный сервер, который доставляет обновления на компьютеры, подключенные к сети. Если вы не подключены к сети, вы не можете получать обновления. (2) Обновления программного обеспечения. У нас есть сервер WSUS, и мы проверяем каждое обновление, чтобы утвердить / запретить. Мы также поставляем обновления для других часто используемых программ, таких как Adobe Reader и Flash, через групповую политику. Компьютеры не могут получать обновления, если они не подключены к локальной сети (обновление с внешних серверов обновлений не допускается). (3) Интернет-фильтрация. Мы отфильтровываем вредоносные и непослушные (?) Сайты.

Дополнительная справочная информация: HR уже был уведомлен. Человек, о котором идет речь, - человек высокого уровня, так что это немного сложно. «Подавать пример» этому сотруднику, хотя заманчиво не будет хорошей идеей. Наша фильтрация не является серьезной, я предполагаю, что человек, возможно, просматривал непослушные сайты, хотя прямых доказательств нет (кэш был очищен). Он говорит, что просто заряжал свой телефон, но компьютер был отключен от локальной сети. Я не хочу, чтобы у этого человека были проблемы, просто возможно, чтобы что-то подобное не повторилось.

Есть несколько вариантов:

• На Windows 7 вы можете контролировать, какие устройства USB могут быть подключены. Смотрите эту статью для примера.

• Вы можете отслеживать, подключен ли ПК к сети, например, отслеживая состояние порта коммутатора, к которому подключен аппарат. (современные компьютеры поддерживают сетевой адаптер даже при выключенном компьютере, поэтому выключение компьютера не должно вызывать тревогу). Это может быть сделано по низкой цене с использованием бесплатных решений с открытым исходным кодом (в любом случае, в вашей сети должен быть мониторинг!)

РЕДАКТИРОВАТЬ в ответ на комментарий:
Если пользователь добавит беспроводной адаптер, метрика этого нового интерфейса будет выше, чем метрика проводного интерфейса, поэтому Windows продолжит использовать проводной интерфейс. Поскольку пользователь не имеет административных привилегий, он не может преодолеть это.

• Вы можете использовать прокси-сервер для доступа в Интернет и принудительно настроить параметры прокси через GPO. Поэтому, если машина отключена от сети и не может получить доступ к прокси, она не может получить доступ к чему-либо. Это решение может быть простым в небольшой сети, но очень сложным для реализации в большой сети.

Как отметил @Hangin в тихом отчаянии в комментарии, всегда есть цена. Ваше время стоит компании денег, и вы должны учитывать реальную стоимость установки безопасности против потенциальной стоимости плохого поведения.

Вы можете использовать групповую политику для предотвращения установки новых сетевых устройств.

Вы найдете параметр в разделе Административные шаблоны \ Система \ Установка устройства \ Ограничения на установку устройства \ Запретить установку устройств с использованием драйверов, соответствующих этим классам установки драйверов.

Из его описания:

Этот параметр политики позволяет указать список глобально уникальных идентификаторов (GUID) класса установки устройства для драйверов устройств, которые Windows не может установить. Этот параметр политики имеет приоритет над любым другим параметром политики, который позволяет Windows устанавливать устройство.

Если вы включите этот параметр политики, Windows не сможет устанавливать или обновлять драйверы устройств, чьи GUID класса настройки устройства отображаются в списке, который вы создаете. Если этот параметр политики включен на сервере удаленного рабочего стола, этот параметр политики влияет на перенаправление указанных устройств с клиента удаленного рабочего стола на сервер удаленного рабочего стола.

Используя здесь параметры политики, вы можете создать белый список (который, как вам кажется, вам не нужен) или черный список, либо для отдельных устройств, либо для целых классов устройств (таких как сетевые адаптеры). Они вступают в силу при удалении и повторной установке устройства , поэтому это не повлияет на встроенную в машину сетевую карту, если вы не примените настройку к уже установленным устройствам.

Вам нужно будет обратиться к списку классов настройки устройства, чтобы найти класс для сетевых адаптеров, который есть {4d36e972-e325-11ce-bfc1-08002be10318}. Добавьте этот класс в черный список, и вскоре после этого никто не сможет использовать сетевые адаптеры USB.

Какой тип антивируса вы используете? В антивирусе Касперского вы можете определить доверенные и локальные сети. Таким образом, вы можете настроить свою локальную сеть как доверенную и запретить любые другие сети. Это работает, если компьютер используется только в офисе.

У меня есть KSC, и я могу управлять всем компьютером.

Я думаю, что вариант заключается в том, чтобы создать на целевой машине сценарий для мониторинга сетевых настроек ПК (например, IP-адреса и шлюза) и предупреждать вас (например, по электронной почте), когда что-то меняется.

Никогда не забывайте о том , что пользователь может проверить порно прямо на мобильном телефоне пользователя через LTE сеть, поэтому никто никогда не будет знать , что (и новый мобильный телефон имеют большой экран ...) Почему пользователь использовал мост на компьютерных интригах меня.

Это вызывает еще один важный вопрос ... вы управляете мобильным телефоном с помощью корпоративного правила?

Пример из книги администратора BES :

Выбор этого правила предотвращает сопряжение устройства с любым другим компьютером, кроме хоста Apple Configurator. Это правило применяется только к устройствам, которые контролируются с помощью Apple Configurator.

или

Выбор этого правила запрещает пользователям использовать AirDrop для обмена данными с другими устройствами. Это правило применяется только к устройствам, которые контролируются с помощью Apple Configurator.

И да, управление USB - это хорошо, но на этом устройстве могут храниться важные корпоративные документы / электронные письма, и неконтролируемое управление - это угроза безопасности.

После этого, если вы контролируете все мобильные телефоны, вы можете попросить, чтобы на рабочем столе / компьютере сотрудника не было личной ячейки.

В любом другом случае я, как и пользователь DoktorJ , скажу , что если они попытаются принести большую настройку, чтобы обойти вашу безопасность, они рискуют быть уволенными напрямую.

Для модема

Вы можете установить окна, которые не могут найти файл драйверов RNDIS c: \ windows \ inf \ wceisvista.inf.

Для вашего теста просто переименуйте расширение в «.inf_disable», ваша ОС не сможет найти подходящих драйверов для привязки.