सवाल यह पता लगाने के लिए कि कोई उपयोगकर्ता यूएसबी टेदरिंग का उपयोग कर रहा है या नहीं?


हाल ही में एक उपयोगकर्ता ने नेटवर्क से अपने कंपनी पीसी को अनप्लग किया और अपने एंड्रॉइड फोन के साथ यूएसबी टेदरिंग का इस्तेमाल पूरी तरह से कंपनी नेटवर्क को बाईपास करने और इंटरनेट तक पहुंचने के लिए किया। मुझे नहीं लगता कि मुझे यह बताने की जरूरत है कि यह क्यों बुरा है। एक शून्य लागत (यानी ओपन सोर्स, स्क्रिप्टिंग और समूह नीति इत्यादि का उपयोग करके) और तकनीकी दृष्टिकोण (यानी एचआर पहले से ही अधिसूचित किया गया है, मुझे नहीं लगता कि यह किसी प्रकार का लक्षण है) का सबसे अच्छा तरीका क्या होगा गहरी अंतर्निहित कॉर्पोरेट संस्कृति समस्या, इत्यादि), इस तरह से कुछ ऐसा होने से पता लगाने और / या रोकने के लिए? सिस्टम-वाइड समाधान (उदाहरण के लिए समूह नीति का उपयोग करके) होना अच्छा लगेगा, लेकिन यदि यह संभव नहीं है तो इस व्यक्ति के पीसी के लिए कुछ विशिष्ट करना भी एक जवाब हो सकता है।

कुछ विवरण: पीसी विंडोज 7 सक्रिय निर्देशिका डोमेन में शामिल है, उपयोगकर्ता के पास सामान्य उपयोगकर्ता विशेषाधिकार हैं (व्यवस्थापक नहीं), पीसी पर कोई वायरलेस क्षमता नहीं है, यूएसबी पोर्ट को अक्षम करना एक विकल्प नहीं है

नोट: महान टिप्पणियों के लिए धन्यवाद। मैंने कुछ अतिरिक्त विवरण जोड़े।

मुझे लगता है कि कई कारण हैं कि कोई टेदरिंग को अस्वीकार क्यों करना चाहता है, लेकिन मेरे विशेष पर्यावरण के लिए मैं निम्नलिखित के बारे में सोच सकता हूं: (1) एंटी-वायरस अपडेट। हमारे पास एक स्थानीय एंटी-वायरस सर्वर है जो नेटवर्क से जुड़े कंप्यूटरों के अपडेट प्रदान करता है। यदि आप नेटवर्क से कनेक्ट नहीं हैं तो आप अपडेट प्राप्त नहीं कर सकते हैं। (2) सॉफ्टवेयर अद्यतन। हमारे पास एक डब्ल्यूएसयूएस सर्वर है और स्वीकृति / अस्वीकार करने के लिए प्रत्येक अपडेट की समीक्षा करें। हम समूह नीति के माध्यम से अन्य सामान्य रूप से प्रयुक्त सॉफ्टवेयर प्रोग्राम जैसे एडोब रीडर और फ्लैश के अपडेट भी प्रदान करते हैं। कंप्यूटर अपडेट प्राप्त नहीं कर सकते हैं अगर वे स्थानीय नेटवर्क से कनेक्ट नहीं हैं (बाहरी अद्यतन सर्वर से अद्यतन करने की अनुमति नहीं है)। (3) इंटरनेट फ़िल्टरिंग। हम दुर्भावनापूर्ण और, ओह, शरारती (?) साइटों को फ़िल्टर करते हैं। एक टेदर का उपयोग करके आप फ़िल्टर को बाईपास कर सकते हैं और इन साइटों तक पहुंच सकते हैं और संभवतः अपने कंप्यूटर की सुरक्षा समझौता कर सकते हैं।

अधिक पृष्ठभूमि जानकारी: एचआर पहले ही अधिसूचित किया गया था। प्रश्न में व्यक्ति एक उच्च स्तरीय व्यक्ति है, इसलिए यह थोड़ा मुश्किल है। इस कर्मचारी का "उदाहरण बनाना" हालांकि मोहक एक अच्छा विचार नहीं होगा। हमारा फ़िल्टरिंग गंभीर नहीं है, मुझे लगता है कि व्यक्ति शरारती साइटों को देख रहा है हालांकि कोई प्रत्यक्ष प्रमाण नहीं है (कैश साफ़ कर दिया गया था)। वह कहता है कि वह सिर्फ अपना फोन चार्ज कर रहा था, लेकिन पीसी को स्थानीय नेटवर्क से अनप्लग किया गया था। मैं इस व्यक्ति को परेशानी में नहीं ढूंढ रहा हूं, बस संभवतः कुछ ऐसा होने से रोकता हूं।


36
2017-10-05 05:56


मूल


यह शून्य लागत पर नहीं किया जा सकता है। आपका समय लागत है। - Iain
यदि यह पूरी तरह से लॉक डाउन सिस्टम नहीं है तो यह तकनीकी समस्या नहीं है। नीति द्वारा टेदरिंग पर प्रतिबंध लगाएं और अपने कर्मचारियों को नीति का पालन करने पर भरोसा करें। अपना समय समझने / ठीक करने के लिए खर्च करें ताकि उन्हें अपना काम पूरा करने के लिए कंपनी नेटवर्क से बचने की आवश्यकता क्यों न हो, ताकि उन्हें भविष्य में टेदर करने की आवश्यकता न हो। - JamesRyan
मुझे नहीं लगता कि मुझे यह बताने की जरूरत है कि यह क्यों बुरा है। असल में, कृपया इसे समझाएं। मैं एक कारण नहीं सोच सकता कि यह एक समस्या क्यों है। - Jop V.
@JopV। आईटी विभाग (विशेष रूप से बड़ी कंपनियों के लिए) आम तौर पर निम्नतम कंप्यूटिंग क्षमता के आसपास काम करते हैं और यह सुनिश्चित करने का प्रयास करते हैं कि वे इंटरनेट पर बेवकूफ कुछ कर कर नेटवर्क को तोड़ नहीं सकते। नतीजा यह है कि यदि आप उस कंपनी के तकनीकी आधे हिस्से में हैं, तो आम तौर पर आपके काम में कुछ उपयोगी करने में सक्षम होने के लिए आईटी के साथ चलने वाली लड़ाई होती है। हां, मैं इनमें से कई लड़ाई से कड़वा हूं :-) - Kevin Shea
@ AndréBorie उपयोगकर्ता एक यूएसबी डिवाइस प्लग करने में सक्षम था। यदि टेदरिंग की अनुमति है, तो यूएसबी मास स्टोरेज शायद भी अधिकृत है। उन स्थितियों में, मुझे लगता है कि यह कहना सुरक्षित है कि मशीन उच्च सुरक्षा वाले वातावरण में नहीं थी। - njzk2


जवाब:


कई विकल्प हैं:

  • विंडोज 7 पर आप नियंत्रित कर सकते हैं कि कौन से यूएसबी डिवाइस कनेक्ट किए जा सकते हैं। देख यह लेख उदाहरण के लिए।

  • आप निगरानी कर सकते हैं कि पीसी नेटवर्क से जुड़ा हुआ है, उदाहरण के लिए स्विच पोर्ट की स्थिति की निगरानी करके मशीन से जुड़ा हुआ है। (आधुनिक कंप्यूटर एनआईसी को मशीन बंद होने पर भी जुड़े रहते हैं, इसलिए कंप्यूटर को बंद करना अलार्म ट्रिगर नहीं करना चाहिए)। यह मुफ्त ओपन सोर्स समाधान का उपयोग करके कम लागत पर किया जा सकता है (वैसे भी आपको अपने नेटवर्क में निगरानी रखना चाहिए!)

टिप्पणी के जवाब में संपादित करें:
यदि उपयोगकर्ता वायरलेस एडाप्टर जोड़ता है, तो इस नए इंटरफ़ेस का मीट्रिक वायर्ड इंटरफ़ेस की मीट्रिक से अधिक होगा, इसलिए विंडोज वायर्ड इंटरफ़ेस का उपयोग जारी रखेगा। चूंकि उपयोगकर्ता के पास प्रशासनिक विशेषाधिकार नहीं हैं, इसलिए वह इसे दूर नहीं कर सकता है।

  • आप इंटरनेट का उपयोग करने के लिए प्रॉक्सी का उपयोग कर सकते हैं और प्रॉक्सी सेटिंग्स को ट्रिप जीपीओ को मजबूर कर सकते हैं। तो अगर मशीन नेटवर्क से डिस्कनेक्ट हो जाती है और प्रॉक्सी तक नहीं पहुंच पाती है, तो यह किसी भी चीज़ तक नहीं पहुंच सकती है। यह समाधान एक छोटे से नेटवर्क में आसान हो सकता है, लेकिन बड़े नेटवर्क में लागू करना बहुत मुश्किल है।

जैसा कि द्वारा इंगित किया गया है @ हांगिन शांत निराशा में टिप्पणी में, हमेशा एक लागत है। आपका समय कंपनी को पैसा खर्च करता है, और आपको खराब व्यवहार की संभावित लागत बनाम जगह सुरक्षा में डालने की वास्तविक लागत पर विचार करना होगा।


15
2017-10-05 06:39



दूसरे समाधान के लिए, उपयोगकर्ता अभी भी कर सकता है जोड़ना सामान्य कनेक्शन बदलने की बजाय एक नया एनआईसी / सिम। यदि आप ओएस की निगरानी करते हैं, तो वह इसे वीएम में कर सकता है। तीसरा समाधान कुछ हासिल नहीं करेगा, क्योंकि उपयोगकर्ता अभी भी इंटरनेट से कनेक्ट हो सकता है (केवल कंपनी संसाधनों के लिए नहीं, जिसे वह संभवतः परवाह नहीं करता है। - user121391
दूसरे समाधान के लिए, मेरे उत्तर में मेरा संपादन देखें। प्रॉक्सी समाधान के लिए, कोई कॉन्फ़िगरेशन नहीं किया जाना चाहिए ताकि इंटरनेट एक्सेस पास ट्रॉक्सी प्रॉक्सी और प्रॉक्सी उपलब्ध न हो, जिसका मतलब इंटरनेट नहीं है। यह एक आम उद्यम सेटअप है। - JFL
असल में, हमारे पास प्रॉक्सी सर्वर है, लेकिन किसी भी कारण से इसे अभी तक पूरी तरह से तैनात नहीं किया गया है। जैसा कि जेएफएल कहते हैं, अगर हम समूह नीति का उपयोग कर प्रॉक्सी को पूरी तरह से तैनात करते हैं तो उपयोगकर्ता कॉर्पोरेट नेटवर्क के बाहर इंटरनेट से कनेक्ट नहीं हो पाएंगे क्योंकि उनके पास प्रॉक्सी सेटिंग्स को बदलने के लिए आवश्यक अनुमतियां नहीं हैं। अनिवार्य रूप से हमारे सभी पीसी वर्कस्टेशन हैं ताकि उन्हें आसानी से स्थानांतरित नहीं किया जा सके और बाहरी नेटवर्क से कनेक्ट नहीं किया जा सके। - wrieedx
प्रॉक्सी सर्वर, जब तक एक प्रमाणपत्र के माध्यम से सत्यापित नहीं किया जाता है, आसानी से एक फोन पर भी नकल किया जा सकता है; सही ऐप के साथ, मुझे लगता है कि आपको रूट भी नहीं होना चाहिए। प्रॉक्सी सत्यापन को मजबूर करना ईटीएच पुल का उपयोग करने की समस्या को भी हल करता है। आखिर में सभी उपयोगकर्ता मशीनों को पिंग करने से केबलों के साथ खेलने वाले लोगों को ढूंढने के लिए एक चेतावनी प्रणाली मिल जाएगी - Lesto
इस प्रश्न के लिए वास्तव में 100% "सही" उत्तर नहीं है, और वास्तव में बहुत सारे शानदार उत्तर पोस्ट किए गए हैं। हालांकि, मैं इस उत्तर को सही के रूप में चिह्नित कर रहा हूं क्योंकि प्रॉक्सी सर्वर सुझाव मेरे वर्तमान वातावरण को देखते हुए न्यूनतम प्रयास के साथ काम करेगा (हमारे पास प्रॉक्सी सर्वर है लेकिन यह अभी तक पूरी तरह से तैनात नहीं हुआ है)। इसी तरह की समस्या का सामना करने वाले अन्य लोगों के लिए अन्य समाधान बेहतर काम कर सकते हैं। - wrieedx


आप नए नेटवर्क उपकरणों की स्थापना को रोकने के लिए समूह नीति का उपयोग कर सकते हैं।

आपको इन ड्राइवर सेटअप वर्गों से मेल खाने वाले ड्राइवरों का उपयोग करके डिवाइसों की स्थापना को रोकें \ व्यवस्थापकीय टेम्पलेट \ सिस्टम \ डिवाइस स्थापना \ डिवाइस स्थापना प्रतिबंध \ विकल्प में एक विकल्प मिलेगा।

इसके विवरण से:

यह नीति सेटिंग आपको उन डिवाइस ड्राइवरों के लिए डिवाइस सेटअप क्लास की वैश्विक रूप से अद्वितीय पहचानकर्ता (GUIDs) की एक सूची निर्दिष्ट करने की अनुमति देती है जिन्हें Windows को स्थापित करने से रोका जाता है। यह नीति सेटिंग किसी भी अन्य नीति सेटिंग पर प्राथमिकता लेती है जो विंडोज को डिवाइस स्थापित करने की अनुमति देती है।

यदि आप इस नीति सेटिंग को सक्षम करते हैं, तो Windows को डिवाइस ड्राइवरों को स्थापित या अद्यतन करने से रोका जाता है जिनके डिवाइस सेटअप क्लास GUID आपके द्वारा बनाई गई सूची में दिखाई देते हैं। यदि आप दूरस्थ डेस्कटॉप सर्वर पर इस नीति सेटिंग को सक्षम करते हैं, तो नीति सेटिंग दूरस्थ डेस्कटॉप क्लाइंट से दूरस्थ डेस्कटॉप क्लाइंट से निर्दिष्ट डिवाइसों के पुनर्निर्देशन को प्रभावित करती है।

यहां नीति सेटिंग्स का उपयोग करके, आप या तो एक श्वेतसूची (जिसे आप नहीं चाहते हैं) या एक ब्लैकलिस्ट बना सकते हैं, या तो व्यक्तिगत डिवाइस या डिवाइस के पूरे वर्ग (जैसे नेटवर्क एडेप्टर)। ये तब प्रभावी होते हैं जब डिवाइस हटा दिया जाता है और फिर से सम्मिलित किया जाता है, इसलिए यह आपको प्रदान की गई मशीन में निर्मित एनआईसी को प्रभावित नहीं करेगा नहीं पहले से स्थापित डिवाइस पर सेटिंग लागू करें।

आपको संदर्भित करने की आवश्यकता होगी डिवाइस सेटअप कक्षाओं की सूची नेटवर्क एडाप्टर के लिए कक्षा को खोजने के लिए, जो है {4d36e972-e325-11ce-bfc1-08002be10318}। इस वर्ग को ब्लैकलिस्ट में जोड़ें, और जल्द ही बाद में, कोई भी यूएसबी नेटवर्क एडाप्टर का उपयोग करने में सक्षम नहीं होगा।


55
2017-10-05 09:21



बेशक यह ईथरनेट केबल को अनप्लग करने और फ़ोन के टेदरिंग का उपयोग करके इसे पुल डिवाइस में प्लग करने से नहीं रोकता है। - R..
@ आर .. सच है, यह नहीं है उत्तम। लेकिन आप उपरोक्त औसत तकनीकी ज्ञान वाले किसी को प्रस्तावित कर रहे हैं, और ऐसा लगता है कि ओपी क्या कर रहा है। - Michael Hampton♦
खैर एक भी आसान विकल्प जो कई अन्य सुरक्षा समस्याओं को भी रोक देगा, बस सभी यूएसबी पोर्टों को epoxy के साथ भर रहा है। - R..
@ आर .. कृपया वापस जाएं और मूल पोस्ट पढ़ें। उपयोगकर्ता ने स्पष्ट रूप से कहा कि वह ऐसा करने को तैयार नहीं था। - Michael Hampton♦
हालांकि यह ब्रिजिंग को रोकता नहीं है, यह तकनीकी और भौतिक सलाखों को फोन टेदरिंग में बढ़ाता है। उदाहरण के लिए, मेरे पास ब्रिजिंग स्थापित करने के लिए तकनीकी ज्ञान है और यह मेरी नींद में कर सकता है - लेकिन मेरे पास बस एक अतिरिक्त पुल नहीं है। कम से कम मुझे सस्ते राउटर में $ 15-20 निवेश करना होगा और ओपनडब्लूआरटी या उस पर डालना होगा (फिर वाईफाई टेदरिंग का उपयोग करें)। साथ ही, यह आपके कंप्यूटर के यूएसबी पोर्ट में प्लग किए जाने वाले अजीब ब्लिंकी बॉक्स की तुलना में आपके फोन को प्लग करने के बारे में बताने में बहुत आसान है। - Doktor J


आप किस प्रकार का एंटीवायरस उपयोग कर रहे हैं? कास्पर्स्की एंटीवायरस में आप भरोसेमंद और स्थानीय नेटवर्क को परिभाषित कर सकते हैं। इसलिए, आप अपने स्थानीय नेटवर्क को विश्वसनीय के रूप में कॉन्फ़िगर कर सकते हैं और किसी भी अन्य नेटवर्क को प्रतिबंधित कर सकते हैं। यह काम करता है अगर कंप्यूटर केवल कार्यालय में उपयोग किया जाता है।

मेरे पास केएससी है और मैं सभी कंप्यूटर को केंद्रीकृत कर सकता हूं। KSC rule 


8
2017-10-06 19:56



यह जानना वाकई अच्छा है। हम ट्रेंडमिक्रो का उपयोग कर रहे हैं, और मैं सोच कि हम जिस विशेष संस्करण का उपयोग कर रहे हैं वह हमें ऐसा करने की अनुमति नहीं देता है। - wrieedx


मुझे लगता है कि लक्ष्य मशीन पर, पीसी नेटवर्क सेटिंग्स (जैसे: आईपी एड्रेस और गेटवे) की निगरानी करने के लिए एक स्क्रिप्ट बनाना है और आपको कुछ चेतावनी देने के लिए आपको सूचित करना है (उदाहरण के लिए: ईमेल के माध्यम से)।


4
2017-10-05 06:04



यह काम करने के लिए, पीसी नेटवर्क सेटिंग्स की निगरानी कैसे करेगा? क्या वहां कुछ प्रकार का ट्रिगर विकल्प उपलब्ध है जो नेटवर्क सेटिंग्स बदलते समय स्क्रिप्ट शुरू कर सकता है? - wrieedx
@wrieedx शायद एक घटना-आधारित ट्रिगर के साथ एक निर्धारित कार्य है Hardware Events, Microsoft-Windows-Network*, या System लॉग काम कर सकते हैं। यदि आपके पास परीक्षण करने के लिए एक यूएसबी टेदरिंग डिवाइस है, तो आप देख सकते हैं कि ईवेंट व्यूअर में कौन से ईवेंट कनेक्ट होते हैं जब यह कनेक्ट / कॉन्फ़िगर किया जाता है और उन पर आधारित ट्रिगर बनाने का प्रयास करता है। बेशक, इस घटना के बारे में आपको सतर्क करने के लिए जो भी प्रक्रिया / स्क्रिप्ट लॉन्च की जाती है, उसे उस मामले को संभालने की आवश्यकता होगी जहां मशीन (उस पल में, कम से कम) आपके आंतरिक नेटवर्क से डिस्कनेक्ट हो। - BACON
उपयोगकर्ता पीसी को चेतावनी देना आंशिक रूप से प्रभावी है, उपयोगकर्ता फोन यातायात फ़िल्टर कर सकता है, या कुछ प्रॉक्सी का उपयोग कर सकता है। चूंकि सभी नियमों को ईटीएच को भेजने के लिए रूटिंग नियम स्थापित किए जा सकते हैं, इससे कोई फर्क नहीं पड़ता कि सभी उपयोगकर्ता मशीनों को हर पिंग करना सबसे अच्छा होगा और जांचें कि कोई इसे अनप्लग करता है या नहीं। फिर भी, एक ईटीएच पुल का उपयोग करना संभव है। - Lesto


कभी न भूलें कि उपयोगकर्ता सीधे उपयोगकर्ता के सेलफोन पर अश्लील जांच कर सकता है एलटीई नेटवर्क, इसलिए कोई भी इसे कभी नहीं जानता (और एक नए सेल फोन की एक बड़ी स्क्रीन मिली है ...) उपयोगकर्ता ने कंप्यूटर पर पुल का उपयोग क्यों किया है।

इससे एक और महत्वपूर्ण सवाल आ जाता है ... क्या आप एंटरप्राइज़ नियम के साथ सेलफोन का प्रबंधन करते हैं?

से एक उदाहरण BES प्रशासक पुस्तक:

इस नियम का चयन करने से डिवाइस को किसी भी कंप्यूटर से युग्मित करने से रोकता है   ऐप्पल कॉन्फ़िगरेटर होस्ट के अलावा। यह नियम केवल लागू होता है   एप्पल कॉन्फ़िगरेटर का उपयोग कर पर्यवेक्षित डिवाइस।

या

इस नियम का चयन करने से उपयोगकर्ताओं को डेटा साझा करने के लिए एयरड्रॉप का उपयोग करने से रोकता है   अन्य उपकरणों के साथ। यह नियम केवल उन उपकरणों पर लागू होता है जो हैं   ऐप्पल कॉन्फ़िगरेटर का उपयोग करके पर्यवेक्षित।

और हां, यूएसबी को नियंत्रित करना अच्छा है, लेकिन उस डिवाइस पर महत्वपूर्ण एंटरप्राइज़ दस्तावेज़ / ईमेल हो सकते हैं और इसे नियंत्रित नहीं करना एक सुरक्षा जोखिम है।

उसके बाद यदि आप सभी सेलफोन को नियंत्रित करते हैं, तो आप पूछ सकते हैं कि कर्मचारी डेस्क / कंप्यूटर पर कोई व्यक्तिगत सेल मौजूद नहीं है।

किसी भी अन्य मामले के लिए, मैं उपयोगकर्ता की तरह बताऊंगा DoktorJ, अगर वे आपकी सुरक्षा को बाईपास करने के लिए एक बड़ा सेटअप लाने का प्रयास करते हैं, तो उन्हें सीधे निकाल दिया जाएगा।


1
2017-10-07 03:51





टेदरिंग के लिए

आप RNDIS ड्राइवर फ़ाइल c: \ windows \ inf \ wceisvista.inf फ़ाइल को खोजने में असमर्थ विंडो सेट कर सकते हैं।

आपके परीक्षण के लिए बस ".inf_disable" में एक्सटेंशन का नाम बदलें, आपका ओएस टेदरिंग के लिए उपयुक्त ड्राइवर नहीं ढूंढ पाएगा।


0
2017-12-15 11:08