Windows7のOS設定でUSBテザリングを禁止する方法を探しています。
充電目的で個人持ちのモバイルWiFiルーターを会社PCにUSB接続したところ、
知らぬ間に社内ネットワークからモバイルルータ経由のネットワーク接続に切り替わっていた、という事例が発生し、
セキュリティインシデントとして対応を検討する必要があります。
色々と調査をしたものの解決には至らず、策が思いつかない状態です。
というか、ネット上で見つけたUSBテザリングの情報は、
ほとんどがWiFiテザリングと混同されており、アクセスポイントを非表示にして無効化するなどの内容で、
USBテザリングによる有線ネットワークの確立を禁止する、という内容は見つけることができませんでした。
ほとんどのモバイルWiFiルータ/スマートフォンなどが、USBテザリングにより有線ルーターとして認識される際、
「Remote NDIS based Internet Sharing Device 」というデバイスを登録させているようなので、
このデバイスを無効にするドメインポリシーをテスト環境に展開してみたのですが、まったく反映されませんでした。
ルーターの機種によっては、この「Remote NDIS ~」はUses権限しか持たないユーザー上でもインストールされてしまうので、
Windows標準デバイスだと思うのですが、ドライバーに関する詳細情報が見つからず詳細は不明です。
他には、ローカルエリア接続の追加を禁止する、などの設定が有効だと思い調べてみたのですが、
該当する情報が見つけられず困っている状態です。
USBテザリング無効化としてテストしたこと、思いついたことをまとめます。
1)USBテザリングで使用されるデバイスを無効化し、会社PC環境を構築する(今後の対策)
⇒デバイスの無効設定はSyprep初期化など大量展開用処理を行っても引き継がれたので、これは実現可能と思われます。
2)USBテザリングで使用されるデバイスを無効化をドメインポリシーで展開する(既存環境への対策)
⇒ただしテストしたところ、当該デバイスに関するポリシー設定はクライアントには反映されませんでした。
3)ローカルエリア接続の追加ができないにする。
⇒USBテザリングはつまるところ、USB経由で新しいローカルエリア接続を作ってしまうことなので、
既に社内ネットワークなど使用するローカルエリア接続がある場合、それ以外の追加を許さない設定があれば、
最も根本的な対策になると思いますが、そういった情報を見つけることができません。
以上です。皆さまのお知恵を拝借できればと思います。よろしくお願いいたします。
