¿Cómo coloca los controles para evitar que el personal que usa su teléfono móvil para conectar la conexión 3G / 4G y descargar archivos no autorizados en la PC de la oficina? Por supuesto, como mínimo, debe haber un AV en su lugar para detectar virus y otras cosas. Pero, ¿cómo detener el tethering en primer lugar? ¿Alguna recomendación? gracias
Hay posibles opciones técnicas que puede seguir, y varias de ellas se han mencionado en otras respuestas, como políticas globales o configuraciones de BIOS para deshabilitar los puertos USB o deshabilitar físicamente los puertos USB.
Sin embargo ...
Mi sugerencia es que si tiene un problema sistémico con este tipo de cosas, no lo es, en realidad es un problema técnico, sino una política o un problema de la gente, y debería buscar formas de lidiar con ellos. El problema subyacente, y no el síntoma del tethering móvil.
La causa más probable es, de hecho, usted. (Usted incluye el departamento de TI, la administración y las políticas vigentes). Si sus políticas son demasiado restrictivas y la gente tiene dificultades para hacer su trabajo porque eliminó o desactivó las herramientas que necesitan, buenos empleados se se sentirá frustrado y encontrarán maneras de evitar sus restricciones para cumplir con sus deberes. Con buenos empleados, la productividad siempre gana el día, no importa cuánto lo intente y prevenga con políticas y tecnología. Como dice el dicho, la seguridad a expensas de la usabilidad viene a expensas de la seguridad.
Entonces, si ese es el problema en juego aquí (y para descubrirlo, ¡tendrá que hablar con los empleados!), entonces necesita descubrir cómo cambiar. sus políticas para habilitarlas y al mismo tiempo administrar eficazmente el riesgo para el negocio. Tendrá que haber compensaciones, pero así es la vida.
Hay otras posibilidades menos probables, como es posible que este comportamiento se limite a los usuarios que no saben que no está permitido, o que prefieren quedarse en el trabajo con cosas que no tienen un propósito comercial que hacer su trabajo. . Si ese es el caso, sigue siendo un problema de recursos humanos, no un problema de tecnología, y la solución no es acabar con el anclaje, sino atacar a esos empleados y educarlos o mostrarles la puerta.
En cualquier caso, no salte directamente a una solución técnica para un problema de comportamiento. Es probable que no resuelva el problema, pero de hecho puede empeorarlo.
El problema con esto es la disponibilidad de los puertos USB ... si los puertos USB ya no funcionan, entonces dejarán de intentarlo.
Sé que hay políticas grupales que no permiten el uso de puertos USB a través del sistema operativo, pero no estoy muy familiarizado con si existe una política que los inhabilite por completo. Si no es así, entonces podrías A: desactivar el USB en BIOS o B) pegarlos y cerrarlos (arruinando las computadoras, lo que a la empresa no le va a gustar).
Aquí es donde las políticas de seguridad y de la empresa pueden ser útiles si no quieres ser demasiado técnico. Sin embargo, si no necesita escribir en dispositivos de almacenamiento masivo a través de USB, simplemente puede editar el registro para permitir que solo los dispositivos lean a través de USB. Aunque, si su personal necesita la capacidad de leer / escribir, existen otras opciones relacionadas con el registro, pero si está usando una política de grupo; Puede usar el 'Editor de objetos de directiva de grupo' para controlar lo que un usuario puede y no puede hacer a través de USB. incluyendo la de evitar la posibilidad de instalar cualquier controlador de dispositivo. ... Lo siento, esto es un poco vago, actualmente estoy en el trabajo esperando a que termine una compilación :)
Supongo que la política está ahí para prevenir infecciones de virus porque las computadoras son un recurso del Grupo y no un recurso personal (por ejemplo, los empleados pueden tomar cualquier PC que esté disponible, el empleado no tiene una PC "propia" asignada para el período de empleo completo).
En este caso, recomendaría ejecutar algún tipo de solución de kiosco / solo lectura. Un ejemplo es arrancar las PC a través de iSCSI con iPXE, donde el destino iSCSI es de solo lectura. Hay una configuración un poco complicada en la que debe hacer que los primeros megabytes de la partición de solo lectura sean de lectura y escritura y luego restablezca esta parte en cada inicio, de lo contrario, los BSoD de Windows 7 en el inicio.
Si puedes vivir con un sistema operativo Linux - EXCELENTE, puedes alojar una distribución en vivo en un servidor HTTP y luego hacer que iPXE los inicie.
Si desea mantener las unidades en las computadoras, otra solución es usar una de todas las tarjetas de protección de disco duro que existen, que garantiza que la computadora se reinicie a un "estado prístino" cada vez que se reinicie.
Cuando haya implementado una solución de solo lectura / "en vivo", entonces puede otorgar a los empleados derechos de administrador. No importa, pueden descargar los peores troyanos de todos los tiempos: reinicio, troyanos desaparecidos. Si llega una infección de troyano grande, apague todas las PC de trabajo y vuelva a iniciar todas las PC. infección garantizada desaparecida.
En cambio, si la política se debe a material sensible en las PC que puede filtrarse, recomendaría mover ese material sensible a "terminales seguros", por ejemplo, PC endurecidas en las que la máquina de la PC está bloqueada en un gabinete, no hay nada accesible Excepto pantalla, teclado y ratón. Y luego los empleados que desean acceder a materiales confidenciales tienen que ir a un terminal seguro. En este caso, los terminales seguros también se pueden bloquear físicamente y requieren un pase de tarjeta de acceso, donde este pase también desbloquea el terminal, para máxima seguridad.
Si las PC son "personales", por ejemplo, el empleado obtiene una PC "asignada" propia que es suya durante todo el período de empleo, y luego esa PC se devuelve o queda vacante para el próximo empleado, entonces sugeriría una política Donde "eres responsable de tu propia PC". Permítales hacer lo que quieran, si su PC ya no arranca, es su culpa. Para el cambio de formato usted podría tener una tarifa de servicio por digamos 50 $. Cuando el empleado se va, usted reformatea la PC para el siguiente empleado sin cargo.
Por supuesto, en TODOS estos casos, asumo que hay un aislamiento del usuario en el conmutador de red activado para que las PC no puedan "hablar" entre sí.
Bien, en última instancia, la respuesta sensata es proporcionar puntos de recarga para todos en el escritorio, para que nadie se sienta tentado.
Y, estoy seguro de que tienes una política de grupo que te impide hacer algo, ¿no? En Linux, probablemente podrías implementar esto como una de las reglas de udev.
Lea otras preguntas en las etiquetas mobile smartphone phone