Disable USB Tethering With Active Directory Group Policy Object
در بیشتر سازمانها تیم امینت، اینترنت و شبکه داخلی را بوسیله متدهای مثل راه اندازی VDI Horizon یا جداسازی بصورت فیزیکی (Thin Client) از هم جدا می کنند. ولی دیده شده بعضی از کاربران (سازمانهای که پورت های USB را بلاک نکرده اند) بوسیله کابل USB و یک عدد موبایل و با استفاده از قابلیت USB Tethering این راه ها را دور می زنند.
در این داکیومنت با استفاده از GPO می توانیم جلوی استفاده از USB Tethering را بگیریم.
در ابتدا باید Device ID موبایلها را بوسیله روش زیر استخراج کنیم:
من با استفاده از Device ID های زیر قابلیت USB Tethering بیشتر موبایلهای سازمان را بلاک کرده ام.
USB\Class_e0&SubClass_01
USB\Class_ef
USB\Class_06
USB\Class_e0
اگر کاربران شما از مدل خواصی استفاده می کنند با مهندسی اجتماعی 🙂 یا …. سعی کنید Device ID آن را بدست بیارید. (شاید روش های زیادی برای اینکار وجود داشته باشد که خوشحال میشم در قسمت کامندها اعلام کنید)
همچنین مایکروسافت برای هر دیوایسی یک Class و یک Class Guid ایجاد کرده است که می توانید از آنها نیز استفاده کنید.
Class and ClassGuid entries for INF Version Section
بعد از بدست آوردن Device ID ها با استفاده از GPO زیر آخرین روزنه امید کاربران را از بین ببرید :
Computer Configuration -> Administrative Templates -> System ->
Device Installation -> Device Installation Restrictions -> Prevent installation of devices that match any of these Device IDs
بعد از اعمال GPO، و با فعال سازی USB Tethering کاربران با پیغام زیر مواجه می شوند:
شاید بعضی از شماها راه حل های جامع DLP را به این روش ترجیح بدید که بهترین ابشن برای این کار می باشد. ولی هستند شرکت های که از DLP استفاده نمی کنند که این روش می تواند بهترین گذینه آنها باشد.
موفق و پیروز باشید.
نویسنده: احمد جهلولی
عالی بود مهندس ، بسیار کاربردی ممنون از به اشتراک گذاری
ما هم دقیقا سیاست بلاک کردن USB ها پیروی کردیم و به قول معروف گربه رو دم حجله کشتیم 🙂 البته بعضی از مدیران رده بالا دیگه کارشون از گربه گذشته و در حد ببر و پلنگ هستن که زور ما بهشون نمیرسه ! 🙂 اونوقته که این راهکار کمک زیادی میکنه
البته من تجربه یک Third-party جالب هم توی این زمینه دارم و اون چیزی نیست بجز GFI End point security که به شدت قوی و با جزئیات فراوان میتونه کنترل ها رو انجام بده ، اونرو هم در کنار پالیسی ها و ساختار های DLP و برای شرایط خاص پیشنهاد میکنم
ممنونم از توجه شما مهندس. GFI با روش بالا به هیچ وجه قابل قیاس نیست و بصورت اصولی جوابگو نیاز بالا هستش
ممنونم مهندس از شما ، یعنی مهندس با GFI نمیتونیم این قابلیت داشته باشیم؟ تجربتون با از استفاده از GFI در مورد کنترل دیوایس ها و گزارشات مربوطه مناسب نبوده یا توی بحث Tethering که توضیح دادین جواب گو نبوده ؟