最近,一位用户将他们的公司PC从网络中拔出,并使用USB网络共享与他们的
Android手机完全绕过公司网络并访问互联网.我认为我不需要解释为什么这很糟糕.什么是最好的方式,从零成本(即开源,使用脚本和组策略等)和技术角度(即HR已经被通知,我不认为这是某种形式的症状更深层次的企业文化问题等),检测和/或防止这样的事情再次发生?拥有一个系统范围的解决方案(例如通过使用组策略)会很好,但如果不可能,那么对这个人的PC做一些特定的事情也可能是一个答案.
一些细节:
PC是Windows 7加入Active Directory域,用户具有普通用户权限(不是管理员),PC上没有无线功能,禁用USB端口不是一种选择
注意:感谢您的好评.我添加了一些额外的细节.
我认为有很多原因可以让人们想要禁止网络共享,但对于我的特定环境,我可以想到以下几点:(1)防病毒更新.我们有一个本地防病毒服务器,可以为网络连接的计算机提供更新.如果未连接到网络,则无法接收更新.
(2)软件更新.我们有一个WSUS服务器,并审查每个更新以批准/禁止.我们还通过组策略向其他常用软件程序(如Adobe Reader和Flash)提供更新.如果计算机未连接到本地网络,则无法接收更新(不允许从外部更新服务器进行更新).
(3)互联网过滤.我们过滤掉恶意的,呃顽皮的(?)网站.通过使用系绳,您可以绕过过滤器并访问这些站点,并可能危及计算机的安全性.
更多背景信息:已通知人力资源.有问题的人是一个高级别的人,所以这有点棘手.这个员工的“做一个例子”虽然诱人但不是一个好主意.我们的过滤并不严重,我猜这个人可能一直在看顽皮的网站,虽然没有直接的证据(缓存被清除).他说他只是给自己的手机充电,但PC已从本地网络上拔掉了.我不打算让这个人遇到麻烦,只是可能会阻止类似的事情再次发生.
有几种选择:
>在Windows 7上,您可以控制可以连接的USB设备.例如,请参见this article.
>您可以监控PC是否已连接到网络,例如通过监控机器所连接的交换机端口的状态. (现代计算机即使在机器关闭时也能保持NIC连接,因此关闭计算机不应触发警报).这可以使用免费的开源解决方案以低成本完成(无论如何,您应该在网络中进行监控!)
编辑回应评论:
如果用户添加无线适配器,则此新接口的度量标准将高于有线接口的度量标准,因此Windows将继续使用有线接口.由于用户没有管理权限,他无法克服这一点.
>您可以使用代理访问Internet并通过GPO强制执行代理设置.因此,如果计算机与网络断开连接且无法访问代理,则无法访问任何内容.这种解决方案在小型网络中很容易实现,但在大型网络中很难实现.
正如@Hangin on in quiet desperation在评论中指出的那样,总是有成本.您的时间花费给公司,并且您必须考虑实施安全的实际成本与不良行为的潜在成本.