如何检测用户是否正在使用 USB 网络共享？

Question

最近，一名用户将公司 PC 与网络断开，并使用 USB 网络共享与他们的 Android 手机完全绕过公司网络并访问互联网。我认为我不需要解释为什么这很糟糕。从零成本（即开源、使用脚本和组策略等）和技术角度（即 HR 已经收到通知，我不认为这是某种症状），最好的方法是什么？更深层次的企业文化问题等），以检测和/或防止类似的事情再次发生？有一个系统范围的解决方案（例如通过使用组策略）会很好，但如果这是不可能的，那么对这个人的 PC 做一些特定的事情也可能是一个答案。

一些细节：PC 是 Windows 7 加入了 Active Directory 域，用户具有普通用户权限（不是管理员），PC 上没有无线功能，禁用 USB 端口不是一个选项

注意：感谢您的精彩评论。我添加了一些额外的细节。

我认为禁止网络共享的原因有很多，但对于我的特定环境，我可以想到以下几点： (1) 防病毒更新。我们有一个本地防病毒服务器，可为联网的计算机提供更新。如果您未连接到网络，则无法接收更新。(2) 软件更新。我们有一个 WSUS 服务器并审查每个更新以批准/禁止。我们还通过组策略向其他常用软件程序（例如 Adob​​e Reader 和 Flash）提供更新。如果计算机未连接到本地网络，则它们无法接收更新（不允许从外部更新服务器进行更新）。(3)互联网过滤。我们过滤掉恶意的，呃，顽皮（？）的网站。

更多背景信息：已经通知了 HR。说的人是高层次的人，所以有点棘手。尽管诱人不是一个好主意，但该员工的“树立榜样”。我们的过滤并不严格，我猜虽然没有直接证据（缓存已清除），但该人可能一直在查看淘气站点。他说他只是在给他的手机充电，但 PC 已经从本地网络上拔掉了。我不想让这个人陷入困境，只是可能防止类似的事情再次发生。

Answer 1

您可以使用组策略来阻止安装新的网络设备。

您将在管理模板 \ 系统 \ 设备安装 \ 设备安装限制 \ 防止使用与这些驱动程序设置类匹配的驱动程序安装设备中找到一个选项。

从它的描述来看：

此策略设置允许您为阻止 Windows 安装的设备驱动程序指定设备安装程序类全局唯一标识符 (GUID) 的列表。此策略设置优先于允许 Windows 安装设备的任何其他策略设置。

如果启用此策略设置，Windows 将无法安装或更新其设备安装程序类 GUID 出现在您创建的列表中的设备驱动程序。如果在远程桌面服务器上启用此策略设置，则该策略设置会影响指定设备从远程桌面客户端到远程桌面服务器的重定向。

使用此处的策略设置，您可以创建白名单（您似乎不想要）或黑名单，无论是单个设备还是整类设备（例如网络适配器）。这些在移除并重新插入设备时生效，因此它不会影响机器内置的 NIC，前提是您不将设置应用于已安装的设备。

您需要参考设备设置类列表来查找网络适配器的类，即{4d36e972-e325-11ce-bfc1-08002be10318}. 把这个类加入黑名单，很快就没有人可以使用USB网卡了。

Answer 2

有几种选择：

• 在 Windows 7 上，您可以控制可以连接哪些 USB 设备。例如，请参阅这篇文章。

• 您可以监控 PC 是否连接到网络，例如通过监控机器所连接的交换机端口的状态。（现代计算机即使在机器关闭时也保持 NIC 连接，因此关闭计算机不应触发警报）。这可以使用免费的开源解决方案以低成本完成（无论如何你应该在你的网络中进行监控！）

EDIT 回应评论：
如果用户添加无线适配器，这个新接口的度量将高于有线接口的度量，因此 Windows 将继续使用有线接口。由于用户没有管理权限，他无法克服这一点。

• 您可以使用代理访问 Internet 并通过 GPO 强制进行代理设置。因此，如果机器与网络断开连接并且无法访问代理，则它无法访问任何内容。这种解决方案在小型网络中可能很容易，但在大型网络中很难实现。

正如@Hangin在评论中绝望地指出的那样，总是有代价的。您的时间对公司来说是花钱的，您必须考虑实施安全措施的实际成本与不良行为的潜在成本。

Answer 3

您使用的是什么类型的防病毒软件？在卡巴斯基反病毒软件中，您可以定义可信网络和本地网络。因此，您可以将本地网络配置为受信任并禁止任何其他网络。如果计算机仅用于办公室，则此方法有效。

我有 KSC，我可以集中管理所有计算机。