Disable USB Tethering With Active Directory Group Policy Object

3 129

در بیشتر سازمانها تیم امینت، اینترنت و شبکه داخلی را بوسیله متدهای مثل راه اندازی  VDI Horizon یا جداسازی بصورت فیزیکی (Thin Client) از هم جدا می کنند. ولی دیده شده بعضی از کاربران  (سازمانهای که پورت های  USB را بلاک نکرده اند) بوسیله کابل  USB و یک عدد موبایل و با استفاده از قابلیت USB Tethering این راه ها را دور می زنند.

در این داکیومنت با استفاده از  GPO می توانیم جلوی استفاده از USB Tethering را بگیریم.

در ابتدا باید  Device ID موبایلها را بوسیله روش زیر استخراج کنیم:

من با استفاده از Device ID های زیر قابلیت  USB Tethering بیشتر موبایلهای سازمان را بلاک کرده ام.

USB\Class_e0&SubClass_01

USB\Class_ef

USB\Class_06

USB\Class_e0

 اگر کاربران شما از مدل خواصی استفاده می کنند با مهندسی اجتماعی 🙂 یا …. سعی کنید  Device ID آن را بدست بیارید. (شاید روش های زیادی برای اینکار وجود داشته باشد که خوشحال میشم در قسمت کامندها اعلام کنید)

همچنین مایکروسافت برای هر دیوایسی یک   Class و یک  Class Guid ایجاد کرده است که می توانید از آنها نیز استفاده کنید.

Class and ClassGuid entries for INF Version Section

بعد از بدست آوردن  Device ID ها با استفاده از  GPO زیر آخرین روزنه امید کاربران را از بین ببرید :

Computer Configuration -> Administrative Templates -> System ->

Device Installation -> Device Installation Restrictions -> Prevent installation of devices that match any of these Device IDs

بعد از اعمال GPO، و با فعال سازی USB Tethering کاربران با پیغام زیر مواجه می شوند:

شاید بعضی از شماها راه حل های جامع  DLP را به این روش ترجیح بدید که بهترین ابشن برای این کار می باشد. ولی هستند شرکت های که از  DLP استفاده نمی کنند که این روش می تواند بهترین گذینه آنها باشد.

 

موفق و پیروز باشید.

نویسنده: احمد جهلولی

3 نظرات
  1. میلاد اسحاقی می گوید

    عالی بود مهندس ، بسیار کاربردی ممنون از به اشتراک گذاری
    ما هم دقیقا سیاست بلاک کردن USB ها پیروی کردیم و به قول معروف گربه رو دم حجله کشتیم 🙂 البته بعضی از مدیران رده بالا دیگه کارشون از گربه گذشته و در حد ببر و پلنگ هستن که زور ما بهشون نمیرسه ! 🙂 اونوقته که این راهکار کمک زیادی میکنه
    البته من تجربه یک Third-party جالب هم توی این زمینه دارم و اون چیزی نیست بجز GFI End point security که به شدت قوی و با جزئیات فراوان میتونه کنترل ها رو انجام بده ، اونرو هم در کنار پالیسی ها و ساختار های DLP و برای شرایط خاص پیشنهاد میکنم

    1. Ahmad-JH می گوید

      ممنونم از توجه شما مهندس. GFI با روش بالا به هیچ وجه قابل قیاس نیست و بصورت اصولی جوابگو نیاز بالا هستش

  2. میلاد اسحاقی می گوید

    ممنونم مهندس از شما ، یعنی مهندس با GFI نمیتونیم این قابلیت داشته باشیم؟ تجربتون با از استفاده از GFI در مورد کنترل دیوایس ها و گزارشات مربوطه مناسب نبوده یا توی بحث Tethering که توضیح دادین جواب گو نبوده ؟

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.