Disable USB Tethering With Active Directory Group Policy Object

در بیشتر سازمانها تیم امینت، اینترنت و شبکه داخلی را بوسیله متدهای مثل راه اندازی  VDI Horizon یا جداسازی بصورت فیزیکی (Thin Client) از هم جدا می کنند. ولی دیده شده بعضی از کاربران  (سازمانهای که پورت های  USB را بلاک نکرده اند) بوسیله کابل  USB و یک عدد موبایل و با استفاده از قابلیت USB Tethering این راه ها را دور می زنند.

در این داکیومنت با استفاده از  GPO می توانیم جلوی استفاده از USB Tethering را بگیریم.

در ابتدا باید  Device ID موبایلها را بوسیله روش زیر استخراج کنیم:

من با استفاده از Device ID های زیر قابلیت  USB Tethering بیشتر موبایلهای سازمان را بلاک کرده ام.

USB\Class_e0&SubClass_01

USB\Class_ef

USB\Class_06

USB\Class_e0

 اگر کاربران شما از مدل خواصی استفاده می کنند با مهندسی اجتماعی 🙂 یا …. سعی کنید  Device ID آن را بدست بیارید. (شاید روش های زیادی برای اینکار وجود داشته باشد که خوشحال میشم در قسمت کامندها اعلام کنید)

همچنین مایکروسافت برای هر دیوایسی یک   Class و یک  Class Guid ایجاد کرده است که می توانید از آنها نیز استفاده کنید.

Class and ClassGuid entries for INF Version Section

بعد از بدست آوردن  Device ID ها با استفاده از  GPO زیر آخرین روزنه امید کاربران را از بین ببرید :

Computer Configuration -> Administrative Templates -> System ->

Device Installation -> Device Installation Restrictions -> Prevent installation of devices that match any of these Device IDs

بعد از اعمال GPO، و با فعال سازی USB Tethering کاربران با پیغام زیر مواجه می شوند:

شاید بعضی از شماها راه حل های جامع  DLP را به این روش ترجیح بدید که بهترین ابشن برای این کار می باشد. ولی هستند شرکت های که از  DLP استفاده نمی کنند که این روش می تواند بهترین گذینه آنها باشد.

موفق و پیروز باشید.

نویسنده: احمد جهلولی