Контроль устройств

Компонент Контроль устройств позволяет управлять доступом пользователей к устройствам, которые установлены на клиентском устройстве или подключены к нему (например, к жестким дискам, камерам или модулям Wi-Fi). Управление доступом позволяет защитить клиентское устройство от заражения при подключении внешних устройств и предотвратить потерю или утечку данных.

Компонент Контроль устройств включается автоматически с параметрами по умолчанию при запуске приложения Kaspersky Endpoint Security.

Контроль устройств управляет доступом на следующих уровнях:

• Тип устройства по классификации компонента Контроль устройств (например, принтеры, съемные диски, CD/DVD-приводы). Для каждого типа устройств может применяться один из следующих режимов доступа:
  • Разрешать – предоставлять доступ к устройствам этого типа.
  • Блокировать – запрещать доступ к устройствам этого типа.
  • В зависимости от шины подключения – разрешать или запрещать доступ к устройствам в зависимости от режима доступа для шины, по которой подключено устройство.
  • По правилам – разрешать или запрещать доступ к устройствам в зависимости от правил доступа к устройствам. Этот режим доступа можно указать только для устройств хранения данных (Жесткие диски, Съемные диски, Дискеты, CD/DVD-приводы). Правило доступа к устройству – это набор параметров, которые определяют, какие пользователи и в какое время могут получить доступ к устройствам, установленным на клиентском устройстве или подключенным к нему. При подключении устройства, доступ к которому запрещен, приложение запрещает указанным в правиле пользователям доступ к этому устройству и выводит уведомление. При попытке чтения и записи на этом устройстве приложение запрещает чтение/запись указанным в правиле пользователям без вывода уведомления.

    Если при попытке совершить операцию с устройством, для которого установлен режим доступа По правилам, не нашлось правила, активного на момент доступа, операция с устройством будет запрещена.

  • Только чтение – разрешать доступ к устройствам выбранного типа только на чтение, при этом запись будет запрещена. Этот режим доступа можно указать только для устройств хранения данных (жесткие диски, съемные диски, дискеты, CD/DVD-приводы). Если для устройства назначен тип доступа "только чтение", при назначении доверенного устройства на определенного пользователя, назначенный пользователь игнорируется и устройство становится доступным для записи всем пользователям.
• Шина подключения. Шина подключения – это интерфейс, с помощью которого устройства подключаются к клиентскому устройству (например, USB, FireWire). Для шин подключения может применяться один из следующих режимов доступа:
  • Разрешать – предоставлять доступ к устройствам, подключенным по этой шине подключения.
  • Блокировать – запрещать доступ к устройствам, подключенным по этой шине подключения.

  Например, может быть запрещен доступ ко всем устройствам, подключенным по шине USB.

По умолчанию для всех типов устройств выбран режим доступа В зависимости от шины подключения, для шин подключения выбран режим доступа Разрешать. В соответствии с этими параметрами Контроль устройств предоставляет пользователям полный доступ ко всем устройствам.

При первом включении компонента Контроль устройств для всех обнаруженных устройств с известным типом устройства или шины формируется событие Доступ к устройству разрешен, а при следующих запусках повторные события для этих устройств не формируются, если не было изменений в параметрах контроля для этих устройств.

При выключении компонента Контроль устройств приложение разблокирует доступ к заблокированным устройствам.

Контроль устройств не блокирует системные диски. Если приложению не удалось автоматически определить системный диск, работа компонента Контроль устройств завершается с ошибкой.

Блокировка устройств по типу устройства и по шине подключения через системный драйвер устройства не поддерживается на ядрах ОС Linux: 3.10, 5.14, 5.15, 5.17, 6.1, 6.8. На этих ядрах, а также при режиме доступа По правилам блокируются только открытие файлов и чтение директорий (то есть получение имен файлов и директорий). На системах, не поддерживающих технологию fanotify, не поддерживается блокировка чтения директорий.

Вы можете включать и выключать Контроль устройств, а также настраивать параметры работы компонента:

• Выбирать режим работы приложения при попытке доступа к устройству, к которому запрещен доступ в соответствии с параметрами Контроля устройств: блокировать или только информировать о попытке доступа к устройству.
• Выбирать режим доступа к устройствам в зависимости от их типа.
• Выбирать режим доступа к устройствам в зависимости от шины, по которой подключаются устройства.
• Исключать отдельные устройства из области действия Контроля устройств, добавляя их в список доверенных устройств. Доверенные устройства – это устройства, к которым у пользователей есть полный доступ. Например, вы можете разрешить доступ к конкретным USB-устройствам или только к USB-накопителям, при этом доступ к остальным USB-устройства будет запрещен. Кроме того, вы можете указать пользователей или группы пользователей, для которых устройства будут доверенными.

  Вы можете управлять списком доверенных устройств через командную строку или с помощью Kaspersky Security Center.

  Вы можете добавлять устройства в список доверенных по идентификатору или маске идентификатора устройства. Вы можете получить информацию об устройствах, установленных на клиентских устройствах или подключенных к ним, с помощью командной строки на клиентском устройстве или с помощью Kaspersky Security Center. Передача информации на Сервер администрирования Kaspersky Security Center включена по умолчанию.

  Информация об устройствах передается, если клиентское устройство находится под управлением активной политики и выполнена синхронизация с Агентом администрирования (выполняется с частотой, указанной в свойствах политики Агента администрирования, по умолчанию – каждые 15 минут).

  Если вы управляете приложением с помощью Kaspersky Security Center, для добавления устройств в список доверенных вы также можете использовать список устройств, обнаруженных на управляемых клиентских устройствах. Список отображается в свойствах политики в Web Console или в Консоли администрирования.

  Вы можете экспортировать настроенный список доверенных устройств в файл и импортировать список устройств из файла.

• Настраивать расписание доступа для устройств хранения данных (жесткие диски, съемные диски, дискеты, CD/DVD-приводы).

  Если в общих параметрах приложения выключена блокировка доступа к файлам во время проверки, то заблокировать доступ к устройствам с помощью расписания доступа для устройств невозможно.

• Настраивать правила доступа к устройствам в зависимости от их типа. Вы можете разрешать или запрещать доступ для указанных пользователей в указанное время.

Контроль устройств игнорирует исключение точек монтирования. Доступ к устройству, смонтированному в исключенной точке монтирования, может быть ограничен в соответствии с настроенными параметрами Контроля устройств.

В этом разделе справки Настройка контроля устройств в Web Console Настройка контроля устройств в Консоли администрирования Настройка Контроля устройств в командной строке

В начало