裝置控制

裝置控制元件可讓您管理使用者對安裝在或已連線到用戶端裝置的裝置（例如，硬碟、攝影機或 Wi-Fi 模組）的存取。存取管理可讓您在連線外部裝置時防護用戶端裝置免受感染，並防止資料遺失或外洩。

當 Kaspersky Endpoint Security 啟動時，裝置控制元件會使用預設設定自動啟用。

裝置控制在以下層級管理使用者存取：

• 由裝置控制分類的裝置類型，例如印表機、卸除式磁碟機或 CD/DVD 光碟機。下列一種存取模式可套用於每種裝置類型：
  • 允許，允許存取此類型的裝置。
  • 封鎖，阻止存取此類型的裝置。
  • 取決於匯流排：根據裝置所連線匯流排設定的存取模式允許或阻止對裝置的存取。
  • 透過規則：根據存取規則允許或阻止裝置存取。此存取模式僅可針對儲存裝置（硬碟、卸除式磁碟機、軟碟機、CD/DVD 磁碟機）指定。裝置存取規則是一組選項，用於確定哪些使用者可以在何時存取安裝在用戶端裝置上或已連線到客戶端的裝置。當連線禁止的裝置時，應用程式將拒絕規則中指定的使用者存取該裝置並顯示通知。在嘗試在此裝置上進行讀寫期間，應用程式會默默阻止規則中指定的使用者進行讀寫。

    如果您嘗試對存取模式設定為透過規則的裝置執行操作，但在存取時未發現任何有效規則，則該操作將被封鎖。

  • 唯讀：允許對所選類型的裝置進行唯讀存取，同時封鎖寫入存取。此存取模式僅可針對儲存裝置（硬碟、卸除式磁碟機、軟碟機、CD/DVD 磁碟機）指定。如果裝置具有「唯讀」存取類型，即使將受信任裝置指派給特定使用者，系統仍會忽略受指派的使用者，但會對所有使用者開放寫入權限。
• 連線匯流排。連接匯流排是裝置用來連線用戶端裝置的介面，例如 USB 或 FireWire。下列一種存取模式可套用於連線匯流排：
  • 允許：授予對透過此連線匯流排連線的裝置的存取權限。
  • 封鎖：拒絕存取使用此連線匯流排連線的裝置。

  例如，可拒絕所有透過 USB 連線的裝置存取。

預設情況下，為所有裝置類型選擇取決於連線匯流排存取模式。為連線匯流排選擇允許存取模式。相應的，裝置控制授予使用者對所有裝置的完全存取權限。

首次啟用裝置控制時，它會為所有具有已知裝置或匯流排類型的偵測到的裝置產生DeviceAllowed事件。除非這些裝置的控制設定發生變化，否則後續元件執行時不會產生重複事件。

當裝置控制被停用時，應用程式將解除封鎖對被封鎖裝置的存取。

裝置控制不會阻止系統磁碟機。如果應用程式無法自動偵測系統磁碟機，裝置控制元件將因錯誤而終止。

以下 Linux 核心上不支援透過系統裝置驅動程式依照裝置類型或連線匯流排封鎖裝置：3.10、5.14、5.15、5.17、6.1、6.8。在這些核心上，在透過規則存取模式下，僅阻止開啟檔案和讀取目錄（即獲取檔案和目錄的名稱）。在不支援 fanotify 的系統上，也不支援封鎖讀取目錄。

您可以啟用、停用和設定裝置控制：

• 選擇當嘗試存取裝置控制設定禁止存取的裝置時應用程式的操作模式：阻止或僅通知關於存取裝置的嘗試。
• 根據類型選擇裝置存取模式。
• 選擇裝置透過其連線的匯流排的存取模式。
• 透過將單個裝置新增至受信任裝置清單，將其從裝置控制範圍中刪除。受信任裝置是使用者俱有完全存取權限的裝置。您可以透過識別碼或識別碼遮罩將裝置新增至受信任裝置清單。例如，您可以限制對特定 USB 裝置的存取或僅限制對 USB 磁碟機的存取；拒絕存取其他 USB 裝置。此外，您也可以指定要信任其裝置的使用者或群組。

  如果您透過指令列管理應用程式，則可以透過在用戶端裝置上執行kesl-control --get-device-list來檢視已連線裝置的 ID。

  如果您透過卡巴斯基安全管理中心管理應用程式，則關於安裝在用戶端裝置上或連線到客戶端裝置的裝置的資訊可以被傳送到管理伺服器。資訊共用功能預設啟用。

  如果用戶端裝置受活動政策的控制並與網路代理同步（依照網路代理政策屬性中指定的頻次執行，預設每 15 分鐘一次），則會傳送關於裝置的資訊。

• 設定儲存裝置（硬碟、卸除式磁碟機、軟碟機和 CD/DVD 磁碟機）的存取排程。

  在一般應用程式設定中，如果停用在掃描期間封鎖對檔案的存取，則您無法使用裝置存取排程來封鎖對裝置的存取。

• 您可以根據裝置的類型定義存取規則。在指定時間允許或封鎖指定使用者的存取。

裝置控制可忽略安裝點排除項目。對安裝在排除點的裝置的存取可以透過裝置控制設定進行限制。

本說明章節內容 在網頁主控台中設定裝置控制 在管理主控台中設定裝置控制 在指令列上配置裝置控制

頁頂