Как определить, что ноутбук использовался вне обычной сети?

1516
Kip

Итак, вот ситуация:

У нас есть несколько ноутбуков в нашей организации. Мы считаем, что процент пользователей этих ноутбуков никогда не выносит их из здания или даже из док-станции. Из-за разницы в цене между ноутбуками и настольными компьютерами мы хотим выпустить эти пользователи с настольными компьютерами и забрать и переиздать их ноутбуки. Из-за политической нестабильности, в которую это превратилось, мне нужен способ доказать, используются ли машины вне сети.

У кого-нибудь есть предложения?

Я думаю, что мог бы написать что-то для поиска четной записи или записи в реестре, но не знал, что искать. Я надеялся, что было что-то, что говорит - Попытался войти в обычный сетевой домен, не удалось, вошел локально.

Кто-нибудь может помочь?

койка

3
А как насчет ноутбуков, которые используются вне офиса, но никогда не подключены к другим сетям? У нас есть ряд пользователей, которые долгое время добираются до работы и обратно в поездах, некоторые из них используют ноутбуки для написания длинных документов, чтения длинных документов или для отслеживания (ранее загруженных) электронных писем. Все они широко используются вне офиса, но не будут обнаружены никаким инструментом, проверяющим беспроводные соединения и т. Д. GAThrawn 15 лет назад 1
Хуже всего то, что, если пользователи узнают, что вы делаете это, они изменят свое поведение, чтобы они выглядели так, как будто они идут домой с ноутбуками. Michael Kohne 15 лет назад 0
опечатка: заменить "выкл" на "выкл" davr 15 лет назад 0

7 ответов на вопрос

4
Traveling Tech Guy

Я предполагаю, что, поскольку ваша организация предоставляет ноутбуки людям, которые работают из дома / дороги, они входят в вашу сеть, используя своего рода VPN-приложение. В этом случае, просто посмотрите журнал сервера VPN и выясните, кто никогда не входил в систему.

это хороший ответ. Исключением для поиска будут пользователи роуминга, которые переходят с одного удаленного сайта на другой и фактически заходят на сайты (подумайте, региональный менеджер). EBGreen 15 лет назад 0
Предположение неверное. Программное обеспечение VPN не используется. Kip 15 лет назад 0
Как насчет получения журнала с другого сервера, доступ к которому осуществляется удаленно? CRM, ERP, Exchange / другой почтовый сервер - все они имеют компонент ведения журнала / аудита, который позволит вам получить ID пользователя + IP. И только побочный совет: если информация, к которой осуществляется удаленный доступ, представляет ценность для компании, я предлагаю получить VPN;) Traveling Tech Guy 15 лет назад 0
1
EBGreen

Машины запускают сценарии запуска или входа в систему? Как выглядит ваша корпоративная инфраструктура? Если бы это была моя проблема, я мог бы сделать несколько вещей. Я бы начал со сравнения времени выполнения сценария входа с событиями входа в журнал событий безопасности.

Они запускают сценарии входа в систему при входе в сеть, поэтому я могу (и могу) записать это, но сравнивать журналы событий каждой машины - было бы сложно - если вы не можете предложить какой-либо способ? Kip 15 лет назад 0
Ну, я думаю, что мне нужно, чтобы скрипт входа смотрел в последний раз, когда он запускался, затем просматривал журнал событий, ища события входа в систему с этого момента до последнего запуска скрипта входа. Если он обнаружил, что это означает, что машина использовалась от провода. Затем попросите его сообщить, что вы хотите. EBGreen 15 лет назад 0
0
moshen

Вы могли бы, вероятно, объединить добычу со сценарием или сделать это.

0
caliban

Это может звучать как глупый, упрощенный подход, но он определенно работает, если вы просто пытаетесь доказать, что машины использовались в корпоративных сетях (и, по ассоциации, были удалены из офиса) ...

Перейдите к настройкам беспроводной связи различных ноутбуков и выясните, подключены ли они к другим беспроводным сетям (что не должно быть в случае, если ноутбуки никогда не покидали офис). Большинство пользователей забывают удалить настройки сети Wi-Fi с автоматическим подключением.

Клиент уже проводил аудит - мы обнаружили, что почти 40% их корпоративных ноутбуков подключены к какой-то странной беспроводной сети, а в некоторых есть несколько незнакомых сетей в настройках автоматического подключения. Излишне говорить, что с тех пор мы с Кенсингтоном заблокировали все машины.

Я использую свой ноутбук в странной сети дома. EBGreen 15 лет назад 0
Корпоративный ноутбук НИКОГДА не должен подключаться к какой-либо сети, кроме официально разрешенных. Это фактическая политика для машин, работающих всегда в офисе. caliban 15 лет назад 0
В самом деле? У меня есть ноутбук, поставляемый компанией, специально для того, чтобы я мог работать дома (и в других удаленных местах), когда это необходимо. Дома пользуюсь проводной сетью. Поэтому моя машина не будет показывать никаких беспроводных подключений, хотя я часто использую ее вне офиса. EBGreen 15 лет назад 0
Э-э ... вопрос гласит, что компания asker нацелена на те машины, которые никогда не выходили из офиса или вне сети. Я не говорю, что это универсальное решение, я говорю, что вы можете использовать это как метод быстрого устранения. caliban 15 лет назад 0
Ключевые слова - это всегда действующие (или стационарные терминалы, как мы их называем) терминалы. Эти машины в соответствии с требованиями корпоративной политики не должны покидать офис. Ваш терминал - это то, что мы называем терминалом роуминга, короче говоря, корпоративный позволяет вам брать аппарат и использовать его где угодно и когда угодно. caliban 15 лет назад 0
Позвольте мне уточнить. Ноутбуки предназначены для людей, чтобы брать с собой куда угодно. Из-за политики и по причинам, в которые я не буду вдаваться, они могут взять их куда угодно и подключить к чему угодно. Этот аспект вещей не проблема. Я хочу заменить ноутбуки, которые никогда не покидают рабочий стол, рабочими столами. Kip 15 лет назад 0
0
harrymc

Вы можете, в духе старшего брата, установить бесплатное программное обеспечение для отслеживания на всех ноутбуках. Тогда вы бы знали, где все были в последнее время. Вы также можете передать его администрации в качестве меры безопасности.
Смотрите, например, Адеона :

Adeona - это первая система с открытым исходным кодом для отслеживания местоположения вашего утерянного или украденного ноутбука, которая не зависит от проприетарной центральной службы. Это означает, что вы можете установить Adeona на свой ноутбук и начать работу - вам не нужно полагаться на единую стороннюю компанию. Более того, Adeona решает важнейшую задачу конфиденциальности, отличную от существующих коммерческих предложений. Это сохранение конфиденциальности. Это означает, что никто кроме владельца (или агента по выбору владельца) не может использовать Adeona для отслеживания ноутбука. В отличие от других систем, пользователи Adeona могут быть уверены, что никто не может злоупотреблять системой, чтобы отслеживать, где они используют свой ноутбук.

Интересная мысль .... Kip 15 лет назад 0
0
joeqwerty

Вау, здесь довольно много сложных ответов. Как насчет этого:

Вероятно, предполагается, что мобильный пользователь, который забирает свой ноутбук домой, выключает его, когда выходит из офиса, и включает его дома. Посмотрите в журнале событий (Система) на ноутбуках и найдите события запуска системы. Если вы обнаружите события запуска вне рабочего времени, вы можете предположить, что:

  1. В офисе произошло отключение электроэнергии.
  2. Обновления Windows перезагрузили ноутбук.
  3. Пользователь взял ноутбук домой и использовал его оттуда.

Конечно, это не является надежной защитой, но если вы не найдете событий запуска системы вне обычного рабочего времени, то, вероятно, довольно безопасно предположить, что этот пользователь не забирает ноутбук домой.

Я не знаю пользователей, о которых идет речь, но если они похожи на меня, то нет, они не будут. Я выключаю и перезагружаю свой ноутбук как можно реже, поскольку сценарии входа в систему занимают около 10 минут. По крайней мере, ему придется искать приостановку / резюме и гибринг / резюме. Michael Kohne 15 лет назад 0
0
Keck

Аппаратное обеспечение может быть более простым ответом.

Выньте батарейки и посмотрите, кто замечает. И / или удалите карту Wi-Fi PCI.

Другие варианты включают небольшую каплю резинового цемента между ноутбуком и док-станцией, она будет легко сниматься, но вы все равно сможете определить, не повреждена ли она.