Jeśli podepnę pod służbowego laptopa adapter WiFi na USB i odpalę na nim Linuxa z pendrive wówczas łącząc się z publiczną siecią firmy dla gości administrator nie będzie wiedział że przeglądam strony z laptopa bo widzi adres mac karty po USB a nie wbudowanej?

Nie potrzebujesz karty na usb, możesz zmienić mac tej wbudowanej

Ale chyba wtedy musiałbym pamiętać o przywróceniu, no chyba że gdy uruchomię Windowsa na tym laptopie wszystko wraca do normy bo emulacja nowego MAC na Linuksie będzie programowa? Generalnie już mam kupioną kartę WiFi na USB więc mogę ją wykorzystać.

Administrator: zablokuję hasłem boot z urządzenia innego niż dysk z OS.

Laptop nie ma zablokowanej możliwości botowania z usb

+1 dla Ciebie

Jeśli to dobry administrator, to szybko Cię wyłapie.

Pamiętaj, że każde podłączenie do sieci może być zapisywane w logach administratora.

Pamiętaj też, że użycie sprzetu firmowego w celach innych, niż służbowe może grozić zwolnieniem. Próba obejścia zabezpieczeń zaś dyscyplinarką, więc zastanów się czy warto kombinować.

Tak ,właśnie.
Są dystrybucje które uruchamiane z pendriva zachowują wszelkie dokonane zmiany i ustawienia więc raz przyporządkowany mac zostanie albo zrobić skrypt uruchamiany po starcie który automagicznie zmieni mac’a , włączy czy wyłączy odpowiednią kartę sieciową i co tam jeszcze chcesz … Może warto by zmieniać te macadresy z każdym logowaniem żeby adminowi nie ułatwiać życia To się też da zautomatyzować…

Wystarczy ping na hosta i można szybko napisać regułkę if linux then block access

Pytanie tylko po co bawić się w kotka i myszkę, każdy admin ma obowiązek zgłaszać takie incydenty. Wtedy to już delikwent przyjmuje wypowiedzenie

Jest sobie na routerze regułka, która blokuje cwaniaków łączych się TeamViewerem do kompa w domu i wysyła maila automatycznie z listą incydentów do prezesa na jego życzenie. Mina cwaniaków bezcenna, gdy dostają naganę

Mikrotik?
Podziel się regułką.

Na TeamViewer? No nie wiem, nie wiem.

Podpowiem tylko jak działa TeamViewer.

1. Puszcza 3 pakiety na swój port (później Ci napiszę jaki, bo nie pamiętam);
2. Jeśli domyślny zablokowany, puszcza 3 pakiety na 80;
3. Jeśli zablokowany, puszcza 3 pakiety na 443.

Piszesz regułę, która wyłapuje ruch na domyślnym porcie, tworzy adres listę. Ja tworzę listę z 20s timeout. Na podstawie adres listy blokujesz ruch dla tych IP na portach 80 i 443.

Gdy ktoś odpali TeamViewer, ma bana na Internet, gdy go wyłączy po 20s znika z listy i Internet wraca.