사용자가 USB 테 더링을 사용 중인지 감지하는 방법


38

최근 사용자가 회사 PC를 네트워크에서 분리하고 Android 전화와 USB 테 더링을 사용하여 회사 네트워크를 완전히 우회하고 인터넷에 액세스했습니다. 왜 이것이 나쁜지 설명 할 필요는 없다고 생각합니다. 제로 비용 (예 : 오픈 소스, 스크립팅 및 그룹 정책 사용 등) 및 기술적 인 관점 (예 : HR에 이미 통보 된 경우)에서 가장 좋은 방법은 무엇입니까? 이와 같은 일이 다시 발생하는 것을 감지 및 / 또는 방지하기 위해보다 근본적인 기업 문화 문제 등)? 그룹 정책을 사용하여 시스템 전체 솔루션을 사용하는 것이 좋지만, 이것이 불가능한 경우이 사람의 PC에 특정한 작업을 수행하는 것도 대답이 될 수 있습니다.

몇 가지 세부 정보 : PC는 Windows 7이 Active Directory 도메인에 가입되어 있으며 사용자에게는 일반 사용자 권한 (관리자 아님)이 있으며 PC에는 무선 기능이 없으며 USB 포트를 비활성화 할 수 없습니다.

참고 : 좋은 의견에 감사드립니다. 추가 정보를 추가했습니다.

테 더링을 허용하지 않는 데는 여러 가지 이유가 있다고 생각하지만 특정 환경에서는 다음을 생각할 수 있습니다. (1) 안티 바이러스 업데이트. 네트워크에 연결된 컴퓨터에 업데이트를 제공하는 로컬 안티 바이러스 서버가 있습니다. 네트워크에 연결되어 있지 않으면 업데이트를받을 수 없습니다. (2) 소프트웨어 업데이트. WSUS 서버가 있으며 각 업데이트를 검토하여 승인 / 금지합니다. 또한 그룹 정책을 통해 Adobe Reader 및 Flash와 같이 일반적으로 사용되는 다른 소프트웨어 프로그램에 대한 업데이트도 제공합니다. 컴퓨터가 로컬 네트워크에 연결되어 있지 않으면 업데이트를받을 수 없습니다 (외부 업데이트 서버에서 업데이트 할 수 없음). (3) 인터넷 필터링. 악의적 인 사이트 나 음란 한 사이트를 걸러냅니다.

추가 배경 정보 : HR에 이미 통보되었습니다. 문제의 사람은 높은 수준의 사람이므로 조금 까다 롭습니다. 유혹하는 것은 좋지 않지만이 직원의 "모범을 만드는 것"입니다. 우리의 필터링은 심각하지 않습니다. 직접적인 증거는 없지만 (캐시가 지워 졌음) 그 사람이 나쁜 사이트를보고 있었을 것입니다. 그는 방금 휴대 전화를 충전하고 있지만 PC가 로컬 네트워크에서 분리되어 있다고 말합니다. 나는이 사람을 곤경에 빠뜨리지 않고, 비슷한 일이 다시 발생하지 않도록 막을 수 있습니다.


22
비용이 전혀 들지 않습니다. 당신의 시간은 비용입니다.
user9517은 GoFundMonica 지원

32
시스템이 완전히 잠겨 있지 않은 경우 기술적 인 문제가 아닙니다. 정책으로 테 더링을 금지하고 직원이 정책을 준수하도록 신뢰하십시오. 업무를 수행하기 위해 회사 네트워크를 피해야하는 이유를 이해하고 수정하는 데 시간을 투자하여 향후 테 더링을하지 않아도됩니다.
JamesRyan

16
왜 이것이 나쁜지 설명 할 필요는 없다고 생각합니다. 실제로 설명해주세요. 이것이 왜 문제인지는 생각할 수 없습니다.
stommestack

9
@JopV. IT 부서 (특히 대기업의 경우)는 일반적으로 가장 낮은 컴퓨팅 능력을 사용하여 인터넷에서 바보 같은 일을함으로써 실수로 네트워크를 중단 할 수 없도록 노력합니다. 결과적으로 회사의 절반에 해당하는 기술을 보유하고 있다면 일반적으로 IT 부서와 경쟁하여 업무에 유용한 무언가를 수행 할 수 있습니다. 그렇습니다, 나는이 몇 가지 전투
Kevin Shea

8
@ AndréBorie 사용자는 USB 장치를 연결할 수있었습니다. 테 더링이 허용되면 USB 대용량 저장 장치도 승인 된 것입니다. 이러한 상황에서는 머신이 보안 수준이 높지 않은 시스템이라고 말하는 것이 안전하다고 생각합니다.
njzk2

답변:


16

몇 가지 옵션이 있습니다 :

  • Windows 7에서는 연결할 수있는 USB 장치를 제어 할 수 있습니다. 예를 들어이 기사 를 참조하십시오 .

  • 예를 들어 기기가 연결된 스위치 포트의 상태를 모니터링하여 PC가 네트워크에 연결되어 있는지 모니터링 할 수 있습니다. (현대 컴퓨터는 컴퓨터가 꺼져 있어도 NIC가 연결된 상태를 유지하므로 컴퓨터를 종료해도 경보가 발생하지 않아야합니다). 무료 오픈 소스 솔루션을 사용하여 저렴한 비용으로이 작업을 수행 할 수 있습니다 (어쨌든 네트워크에서 모니터링해야합니다!).

주석에 대한 편집 :
사용자가 무선 어댑터를 추가하면이 새 인터페이스의 메트릭이 유선 인터페이스의 메트릭보다 높아 지므로 Windows는 유선 인터페이스를 계속 사용합니다. 사용자에게는 관리 권한이 없으므로이를 극복 할 수 없습니다.

  • 프록시를 사용하여 인터넷에 액세스하고 GPO를 통해 프록시 설정을 강제 실행할 수 있습니다. 따라서 컴퓨터와 네트워크의 연결이 끊어지고 프록시에 액세스 할 수 없으면 아무것도 액세스 할 수 없습니다. 이 솔루션은 소규모 네트워크에서는 쉽지만 대규모 네트워크에서는 구현하기가 매우 어렵습니다.

@Hangin이 지적한 것처럼 조용한 절망에서 지적했듯이 항상 비용이 있습니다. 시간이 회사에 돈이 들고, 보안을 설정하는 실제 비용과 나쁜 행동의 잠재적 비용을 고려해야합니다.


두 번째 솔루션의 경우 사용자 는 일반 연결을 바꾸지 않고 새 NIC / SIM을 계속 추가 할 수 있습니다 . 그런 다음 OS를 모니터링하면 VM에서 OS를 수행 할 수 있습니다. 사용자가 여전히 그가 아마 어쨌든 상관하지 않는다 회사 자원에 그냥 (인터넷에 연결할 수 있기 때문에 세 번째 솔루션은 아무것도 얻을 수 없을 것입니다.
user121391

2
두 번째 해결책은 내 답변의 편집 내용을 참조하십시오. 프록시 솔루션의 경우 인터넷 액세스가 프록시를 통해 전달되므로 프록시를 사용할 수 없으므로 프록시를 사용할 수 없으므로 인터넷이 없습니다. 이것은 일반적인 엔터프라이즈 설정입니다.
JFL

실제로 프록시 서버가 있지만 어떤 이유로 든 아직 완전히 배포하지 않았습니다. JFL이 말했듯이 그룹 정책을 사용하여 프록시를 완전히 배포하면 사용자는 프록시 설정을 변경하는 데 필요한 권한이 없기 때문에 회사 네트워크 외부의 인터넷에 연결할 수 없습니다. 기본적으로 모든 PC는 워크 스테이션이므로 쉽게 이동하거나 외부 네트워크에 연결할 수 없습니다.
wrieedx

1
인증서를 통해 확인되지 않는 한 프록시 서버는 전화에서도 쉽게 모방 할 수 있습니다. 올바른 앱을 사용하면 루트가 아니어도됩니다. 프록시 유효성 검사를 강제하면 ETH 브리지 사용 문제도 해결됩니다. 마지막으로 모든 사용자 컴퓨터를 주기적으로 핑 (ping)하면 케이블을 가지고 노는 사람들을 찾는 경고 시스템이
나타납니다.

이 질문에 대한 100 % "정확한"답변은 없으며, 정말 환상적인 답변이 많이 게시되었습니다. 그러나 프록시 서버 제안은 현재 환경 (프록시 서버는 있지만 아직 완전히 배포되지는 않았 음)에서 최소한의 노력으로 작동하기 때문에이 답변을 올바른 답변으로 표시하고 있습니다. 비슷한 문제에 직면 한 다른 사람들에게는 다른 솔루션이 더 잘 작동 할 수 있습니다.
wrieedx

55

그룹 정책을 사용하여 새 네트워크 장치가 설치되지 않도록 할 수 있습니다.

관리 템플릿 \ 시스템 \ 장치 설치 \ 장치 설치 제한 사항 \이 드라이버 설정 클래스와 일치하는 드라이버를 사용하는 장치 설치 금지에 옵션이 있습니다.

설명에서 :

이 정책 설정을 통해 Windows 설치가 금지 된 장치 드라이버에 대한 장치 설치 클래스 GUID (Globally Unique Identifier) ​​목록을 지정할 수 있습니다. 이 정책 설정은 Windows가 장치를 설치할 수 있도록하는 다른 정책 설정보다 우선합니다.

이 정책 설정을 사용하면 Windows에서 장치 설정 클래스 GUID가 나타나는 장치 드라이버를 설치하거나 업데이트 할 수 없습니다. 원격 데스크톱 서버에서이 정책 설정을 사용하면 정책 설정이 원격 데스크톱 클라이언트에서 원격 데스크톱 서버로 지정된 장치의 리디렉션에 영향을줍니다.

여기에서 정책 설정을 사용하여 화이트리스트 (원치 않는 것) 또는 블랙리스트 (개별 장치 또는 전체 장치 클래스 (예 : 네트워크 어댑터))를 만들 수 있습니다. 이는 장치를 제거 했다가 다시 삽입 할 때 적용되므로 이미 설치된 장치에 설정을 적용 하지 않으면 시스템에 내장 된 NIC에 영향을 미치지 않습니다 .

네트워크 어댑터의 클래스를 찾으려면 장치 설정 클래스 목록 을 참조해야합니다 {4d36e972-e325-11ce-bfc1-08002be10318}. 이 클래스를 블랙리스트에 추가하면 곧 USB 네트워크 어댑터를 사용할 수 없게됩니다.


7
물론 이것은 단순히 이더넷 케이블을 뽑고 전화 테 더링을 사용하여 브리지 장치에 연결하는 것을 막지는 않습니다.
R ..

2
@R .. 사실 완벽 하지 않습니다 . 그러나 평균 이상의 기술 지식을 가진 사람을 제안하고 있으며 OP가 다루고있는 것처럼 보이지 않습니다.
Michael Hampton

4
다른 많은 보안 문제를 방지하는 훨씬 간단한 옵션은 모든 USB 포트를 에폭시로 채우는 것입니다.
R ..

1
@R .. 돌아가서 원래 게시물을 읽으십시오. 사용자는 자신이 그렇게하지 않겠다고 명시 적으로 언급했습니다.
Michael Hampton

5
브리징을 막지는 않지만 전화 테 더링에 대한 기술적 및 물리적 막대를 높입니다. 예를 들어, 브리징을 설정하는 기술 지식이 있으며 수면 중에도 가능하지만 여분의 다리가 없습니다. 최소한 저렴한 라우터에 15-20 달러를 투자하고 OpenWRT 등을 (WiFi 테 더링 사용)해야합니다. 또한 전화가 컴퓨터의 USB 포트에 연결되어 있다는 사실을 설명하는 것이 훨씬 쉽습니다.
Doktor J

9

어떤 종류의 바이러스 백신을 사용하고 있습니까? 카스퍼 스키 안티 바이러스에서는 신뢰할 수있는 로컬 네트워크를 정의 할 수 있습니다. 따라서 로컬 네트워크를 신뢰할 수있는 것으로 구성하고 다른 네트워크를 금지 할 수 있습니다. 컴퓨터가 사무실에서만 사용되는 경우에 작동합니다.

KSC가 있고 모든 컴퓨터를 중앙 집중식으로 관리 할 수 ​​있습니다. KSC 규칙


이것은 정말 반갑습니다. 우리는 트렌드 마이크로를 사용하고, 내가 생각하는 우리가 사용하는 특정 버전은 우리가이 일을 허용하지 않습니다.
wrieedx

4

옵션은 대상 컴퓨터에서 PC 네트워크 설정 (예 : IP 주소 및 게이트웨이)을 모니터링하고 변경 될 때 경고 (예 : 이메일을 통해)하는 스크립트를 작성하는 것입니다.


이 작업을하려면 PC 네트워크 설정을 어떻게 모니터링합니까? 네트워크 설정이 변경 될 때 스크립트를 시작할 수있는 트리거 옵션이 있습니까?
wrieedx

1
에 대한 이벤트 기반 트리거 아마도 예약 된 작업을 @wrieedx Hardware Events, Microsoft-Windows-Network*또는 System로그 일할 수 있습니다. 테스트 할 USB 테 더링 장치가있는 경우 연결 / 구성 될 때 이벤트 뷰어에 어떤 이벤트가 나타나는지 확인할 수 있으며이를 기반으로 트리거를 만들 수 있습니다. 물론이 이벤트를 알리기 위해 시작된 프로세스 / 스크립트는 시스템이 내부 네트워크에서 (최소한) 연결이 끊긴 경우를 처리해야합니다.
BACON

사용자 PC에게 경고하는 것은 부분적으로 효과적이며 사용자 전화는 트래픽을 필터링하거나 프록시를 사용할 수 있습니다. 라우팅 규칙이 무엇이든 상관없이 모든 것을 ETH로 보내도록 설정할 수 있으므로 모든 사용자 시스템을 모든 핑 (ping)하는 것이 가장 좋습니다. 여전히 ETH 브리지를 사용할 수 있습니다.
Lesto

1

사용자가 LTE 네트워크 를 통해 사용자의 휴대폰에서 포르노를 직접 확인할 수 있다는 것을 잊지 마십시오. 아무도 그것을 알 수 없습니다 (그리고 새로운 휴대 전화는 큰 화면을 얻었습니다 ...) 나를.

또 다른 중요한 질문이 생깁니다. 엔터프라이즈 규칙으로 휴대폰을 관리하십니까?

BES 관리자 책 의 예 :

이 규칙을 선택하면 장비가 Apple Configurator 호스트 이외의 다른 컴퓨터와 페어링되지 않습니다. 이 규칙은 Apple Configurator를 사용하여 감독되는 장비에만 적용됩니다.

또는

이 규칙을 선택하면 사용자가 AirDrop을 사용하여 다른 장치와 데이터를 공유 할 수 없습니다. 이 규칙은 Apple Configurator를 사용하여 감독되는 장비에만 적용됩니다.

그렇습니다. USB를 제어하는 ​​것은 좋지만 해당 장치에는 중요한 엔터프라이즈 문서 / 이메일이있을 수 있으며 제어하지 않으면 보안 위험이 따릅니다.

그런 다음 모든 휴대폰을 제어하는 ​​경우 직원 데스크 / 컴퓨터에 개인 휴대 전화가 없도록 요청할 수 있습니다.

다른 경우에는 DoktorJ 사용자와 같이 보안을 우회하기 위해 큰 설정을 가져 오려고하면 직접 해고 될 위험이 있습니다.


0

테 더링

Windows가 RNDIS 드라이버 파일 c : \ windows \ inf \ wceisvista.inf 파일을 찾을 수 없도록 설정할 수 있습니다.

테스트의 경우 확장명을 ".inf_disable"로 바꾸면 OS에서 테 더링에 적합한 드라이버를 찾을 수 없습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.