Come si inseriscono i comandi per impedire a uno staff che usa il proprio telefono cellulare di legare la connessione 3G / 4G e scaricare file non autorizzati sul PC dell'ufficio? Ovviamente, in minima parte deve esserci un AV per verificare la presenza di virus e cose. Ma come fermare il tethering in primo luogo? Qualche raccomandazione? grazie
Ci sono potenziali opzioni tecniche che puoi perseguire, e molte di queste sono state menzionate in altre risposte, come le politiche globali o le impostazioni del BIOS per disabilitare le porte USB o disabilitare fisicamente le porte USB.
Tuttavia ...
Il mio suggerimento è che se hai un problema sistemico con questo genere di cose, non è, in effetti, un problema tecnico, ma piuttosto un problema di politica o di persone, e dovresti cercare modi per affrontare il problema di fondo, e non il sintomo del tethering mobile.
La causa più probabile, in effetti, sei tu. (Stai includendo il reparto IT, la gestione e le politiche in atto.) Se le tue politiche sono troppo restrittive e le persone hanno difficoltà a svolgere il loro lavoro perché hai rimosso o disabilitato gli strumenti di cui hanno bisogno, buoni dipendenti sarà frustrato e cercherà modi per aggirare le tue restrizioni al fine di adempiere ai loro doveri. Con buoni dipendenti, la produttività vince sempre il giorno, indipendentemente da quanto tu provi a impedirlo con la politica e la tecnologia. Come si suol dire, la sicurezza a scapito dell'usabilità è a scapito della sicurezza.
Quindi, se questo è in effetti il problema in gioco qui (e per scoprire dovrai effettivamente parlare ai dipendenti!) allora devi capire come cambiare le vostre politiche al fine di consentire loro mentre ancora efficacemente gestiscono i rischi per l'azienda. Dovranno esserci trade-off, ma tale è la vita.
Ci sono altre possibilità meno probabili, come forse questo comportamento è limitato agli utenti che non sanno che non è permesso o che preferirebbero scappare al lavoro con cose che non hanno uno scopo di lavoro piuttosto che fare il loro lavoro . Se questo è il caso, è ancora un problema di risorse umane, non un problema di tecnologia, e la soluzione non è quella di reprimere il tethering, ma di reprimere quei dipendenti ed educarli o mostrare loro la porta.
In ogni caso, non passare direttamente a una soluzione tecnica per un problema comportamentale. Probabilmente non risolverai il problema, ma potrebbe in effetti peggiorarlo.
Il problema con questo è la disponibilità di porte USB ... se le porte USB non funzionano più, allora smetteranno di provarlo.
So che esistono policy di gruppo che impediscono l'uso delle porte USB attraverso il sistema operativo, ma non ho molta familiarità con la politica che le disabiliterà del tutto. In caso contrario, potrebbe essere possibile A) disabilitare USB nel BIOS o B) incollarli (rovinando in modo efficace i computer, a cui la società non piacerà).
È qui che le politiche aziendali e di sicurezza possono rivelarsi utili se non vuoi essere troppo tecnico. Tuttavia, se non si richiede la necessità di scrivere su dispositivi di archiviazione di massa tramite USB, è sufficiente modificare il registro per consentire solo la lettura dei dispositivi tramite USB. Sebbene, se il tuo personale ha bisogno della capacità di leggere / scrivere, ci sono altre opzioni correlate al registro, ma se stai usando un criterio di gruppo; È possibile utilizzare l''Editor oggetti Criteri di gruppo' per controllare cosa può o non può fare un utente tramite USB. incluso quello di impedire la possibilità di installare qualsiasi driver di periferica. ... Scusa È un po 'vago, al momento sono al lavoro in attesa che una build finisca:)
Immagino che la politica sia lì per prevenire le infezioni virali perché i computer sono una risorsa di gruppo e non una risorsa personale (ad esempio, i dipendenti possono prendere qualsiasi PC disponibile, al dipendente non è assegnato un PC "proprio" per intero periodo di occupazione).
In questo caso, consiglierei di eseguire una sorta di soluzione kiosk / readonly. Un esempio è l'avvio dei PC su iSCSI con iPXE, in cui la destinazione iSCSI è di sola lettura. C'è un setup un po 'complicato in cui devi fare i primi pochi megabyte della partizione di sola lettura read-write e quindi resettare questa parte in originale ogni avvio, altrimenti Windows 7 BSoD all'avvio.
Se riesci a vivere con un SO Linux - ECCELLENTE, puoi ospitare una distribuzione live su un server HTTP e poi farli avviare da iPXE.
Se vuoi attaccare le unità nei computer, un'altra soluzione è utilizzare una di queste schede di protezione HDD esistenti, che garantisce il ripristino di un computer in uno "stato pristine" ogni riavvio.
Quando hai implementato una soluzione di sola lettura / "live", puoi concederti i diritti di amministratore dei dipendenti. Non importa, possono scaricare i peggiori trojan di sempre - riavviare - i trojan sono spariti. Se capita una grande infezione da trojan, spegni tutti i PC di lavoro, quindi riavvia tutti i PC. infezione persa.
Se la politica invece è dovuta a materiale sensibile sui PC che può essere trapelato, consiglierei di spostare quel materiale sensibile su "terminali sicuri", ad esempio PC temprati dove la macchina PC è bloccata in un armadio, niente è accessibile tranne schermo, tastiera e mouse. E poi i dipendenti che vogliono accedere a materiali sensibili devono recarsi su un terminale sicuro. In questo caso, i terminali di sicurezza possono anche essere fisicamente bloccati e richiedono uno swipe della tessera di accesso - dove questo sfioramento sblocca anche il terminale, per la massima sicurezza.
Se i PC sono "personali", ad esempio il dipendente riceve un PC "assegnato" che è il suo per l'intero periodo di lavoro, e quindi quel PC viene restituito o diventa vacante per il prossimo dipendente, quindi vorrei suggerire una politica dove "sei responsabile per il tuo PC". Lascia che facciano quello che vogliono, se il loro PC non si avvia più, è colpa loro. Per la riformattazione potresti avere un costo di servizio per diciamo 50 $. Quando il dipendente lascia, quindi riformattare PC per il prossimo dipendente gratuitamente.
Naturalmente, in TUTTI questi casi, presumo che l'isolamento dell'utente sia attivato dall'interruttore di rete in modo che i PC non possano "parlare" tra loro.
Chiudi il connettore USB. Nessun BYOD. Scrivilo per iscritto e organizza un seminario.
Bene, alla fine la risposta sensata è di fornire punti di ricarica per tutti alla scrivania, così nessuno viene tentato.
E sono sicuro che hai una politica di gruppo in atto che ti impedisce di fare qualcosa giusto? In Linux, potresti probabilmente implementarlo come una delle regole di udev.
Leggi altre domande sui tag mobile smartphone phone