Tethering über USB unterbinden

[Halford 10]

Hallo Boardgemeinde,

 

wir setzen Gruppenrichtlinien (2k8) zum unterbinden des USB Wechselmedien und Speicher Einsatzes an Clients (W7) ein. CD FD usw. sind auch gesperrt über die Gruppenrichtlinien.

 

Der Internet Explorer hat seinen Pacserver der auf einen squid-verbund zielt.

 

Alles schön und gut, dachte ich zumindest.

 

Ich bin als Normalsterblicher Benutzer ohne Adminrechte angemeldet.

Wenn ich mein Samsung S3 über USB zum laden anstöpsel kommt die das Explorerfenster und vermeldet das das Gerät verbunden wurde.

Zugriff klappt natürlich nicht (Zugriff verweigert). Soweit alles gut.

 

Wenn ich jetzt aber im S3 unter Einstellungen, Weitere Einstellungen, USB-Tethering anstelle habe ich ein weiteres verbundenes Netz und kann z.b. mit Firefox oder Avantbrowser ohne Änderungen vorzunehmen direkt auf die Webseiten zugreifen die ich dank Proxy nie erreichen würde. Krass ist auch das wenn ich im Avantbrowser als User wohlgemerkt, unter Extras "Kein Proxy" auswähle komme ich sogar mit dem Internet Explorer am Proxy vorbei ...

 

Erkannt wird das USB Modem als "ndis based internet sharing device" hat jemand eine Idee wie ich das für alle meine User dicht machen kann?

(Class ID anyone? Ich hab nichts gefunden bei Google...)

Am liebsten wäre es mir natürlich über Gruppenrichtlinie ohne Veränderungen an den ganzen Clients vorzunehmen.

Ich hab mir mit Procmon und Procexp und co. von Mark Russinovich den Verbindungsaufbau etc. angeschaut, man sieht die Verbindungen zu 1.1.1.1- 1.1.1.5 das hängt mit dem Socketaufbau zum UMTS Provider zusammen.

Beim anstecken tauchen kurz die "DeviceDisplayObjectFunction" fürs HinweisFenster auf und die WUDFHOST.exe

Über Applocker die aussperren ist glaub ich keine Gute Idee... Es gibt ja auch angeschlossene Scanner und PKI Kartenleser ...

 

Was meint ihr dazu und wie löst ihr das Sicherheitsproblem USB Tethering bei euch?

 

Freue mich auf jede Art von Feedback / Ideen :-)

Hal

[NeMiX 76]

Bist du sicher kein lokaler Admin? Ich hab leider kein S3 gerade zur Verfügung. Aber mit iPhone klappt das bei mir nicht per USB Tethering am Laptop der auch per GPO "dicht" ist.

[Halford 10]

Schränkt eure Gruppenrichtlinie die USB Devices auf Computer oder Benutzerebene ein?

 

Hier muss ich leider mit Benutzerebene arbeiten, weil einige spezielle Anwender USB Datenträger zum Transfer von großen CAD Dateien benötigen ...

Ich selbst bin jedoch nicht in der Sicherheitsgruppe.

 

Meine Adminkennung verwende ich an einem separaten Client. Ich bin 100% als eingeschränkter User unterwegs.

 

#Edit

Die Sysinternals-Tools sind natürlich über "ausführen als admin" geöffnet.

In der lokalen Administratorgruppe ist mein User nicht hinterlegt.

 

Ich habe nach einem Neustart das gleich nochmal probiert und Screenshots gemacht.

Facebook ist gesperrt, und man kommt mit dem Avant direkt drauf.

Der IE kommt glaube ich drauf weil er durch das zweite Netz den Pacserver nicht auflösen kann und nach einigen Minuten aufgibt und auf die aktive Netzwerkverbindung (UMTS USB Modem im S3) schwenkt.

 

Ich bin für jede Anregung zu dem Thema dankbar!

 

Viele Grüße

 

Hal

bearbeitet 8. Januar 2013 von Halford

[NeMiX 76]

Ist bei uns auf Computerebene gelöst. Ich bin mal gespannt was bei dir rumkommt. :)

[Halford 10]

Ich kann mir nicht vorstellen das es ein Einzelproblem ist und das Sicherheitsrisiko finde ich schon sehr krass.

S3 dran, USB Tethern an, Portable FTP App ziehen und feuer frei mit den Unternehmensdaten in die Wolke ...

 

# edit

Zu deinem "mit dem iPhone geht es nicht" hab ich gelesen das Apple den ODI statt NDIS verwendet.

So steht kein vorgehaltener Treiber für das UMTS-NIC parat.

bearbeitet 8. Januar 2013 von Halford

[NeMiX 76]

Ah ok, danke für den Tipp. Hab bei mir auch kein iTunes drauf, das installiert glaube ich auch 1-2 Treiber für das iPhone. Evtl. liegt es auch daran.

[NorbertFe 1.805]

Auch wenns dir nicht gefällt, aber die Lösung per GPO irgendwelche USB Devices zu verbieten wird immer wieder zu solchen Effekten führen. Ich sage den Kunden sowas vorab, damit hinterher nicht verwundert geschaut wird, wenn wieder ein neues Telefon/Kamera oder sonstwas eine Möglichkeit findet an den Einschränkungen vorbei zu gehen. Nimm dir eine Lösung die sich auf Device Prevention spezialisiert hat und gut. <img title=";)" class="bbc_emoticon" src="http://www.mcseboard.de/public/style_emoticons/default/wink.gif" data-cke-saved-src="http://www.mcseboard.de/public/style_emoticons/default/wink.gif" /> Kostet halt Geld. http://www.lumension.com/device-control-software/usb-security-protection.aspx wäre mal einen Blick wert.<br /><br />HTH<br />Norbert

[Weingeist 157]

Habe diesbezüglich vor einiger Zeit mal nachgeforscht und Windows bezüglich USB komplett abzuschotten ist gar nicht so einfach bis nahezu unmöglich. Solange die User aber eh auf irgend eine Weise Internetzugang bekommen können, ist es eh fragwürdig ob sinnvoll.

 

Je nach dem wie gross die Firma und wie stark der Abschottungswunsch ist, könntest mit Teradici PCoIP das Problem erschlagen. Hier lassen sich auf Wunsch alle Geräte welche an den Client gestöpselt werden dürfen genau definieren, einzelne USB-Klassen ganz sperren etc. Im Extremfall darfst genau eine bestimmte Maus + Tastatur anstöpseln. Die PC's selbst stehen dann im Serverraum. Das ganze in einem vom LAN getrennten Netzwerk. Sprich alle zugänglichen Netzwerkbuchsen bieten nur eine Verbindungsmöglichkeit zu den oder sogar nur einem einzigen PCoIP-Host, nicht jedoch zum produktiven LAN.

ABER: Günstig ist das mit ca. 600 Euro pro Arbeitsplatz mit physischer Maschine und bei Virtuellen via VmWare View ca. 300 + View + Windows VDA Lizenz nicht wirklich. ;)

 

Nachteile: USB-Transfer ist grottenlahm, zumindest alles was auf Tera1 basiert. Tera2 verspricht hier Verbesserung, konnte ich aber noch nicht selbst testen in Ermangelung von Tera2 Hostkarten. Die 'einzelnen' User welche USB-Speed benötigen, bräuchten unter Umständen einen zusätzlichen USB-to-Lan Converter.

[Halford 10]

Die Device Pro - Lösung von cynaps bekommt es auch nicht ausgesperrt.

 

@'NorbertFe: setzt du die verlinkte Software ein und weist ob sie das USB Tethering auch unterbinden kann?

[Sunny61 773]

wir setzen Gruppenrichtlinien (2k8) zum unterbinden des USB Wechselmedien und Speicher Einsatzes an Clients (W7) ein. CD FD usw. sind auch gesperrt über die Gruppenrichtlinien.

Was meint ihr dazu und wie löst ihr das Sicherheitsproblem USB Tethering bei euch?

 

 

Bei uns ist bei den alten Clients im Gerätemanager jeder USB-Controller, bzw. die Einträge darunter deaktiviert. Mit Hilfe der Devcon.exe von MS lässt sich das per Script regeln. http://blogs.technet.com/b/deploymentguys/archive/2009/12/16/where-to-find-devcon-exe.aspx

[NorbertFe 1.805]

 

@'NorbertFe: setzt du die verlinkte Software ein und weist ob sie das USB Tethering auch unterbinden kann?

Nein, hatte diverse Kunden, die sowas eingesetzt haben, aber ob das genau auf dieses von dir geschilderte Szenario paßt. Könnte man ja mal testen.

[Halford 10]

Danke schon mal für die ganzen Anregungen, derzeit friemel ich mit Devcon rum.

 

@NorbertFE: die Sales Truppe hat ne Mail von mir bekommen, wenn die Antworten und bestätigen das USB Tethering da geblockt wird, werd ich mir ein Angebot schicken lassen und die Infos mit euch teilen.

 

Wenn jemand noch eine Idee hat, nur raus damit :-)

 

Cheers

 

Hal