Quản lý quyền truy cập thiết bị di động

Kaspersky Endpoint Security cho phép bạn kiểm soát quyền truy cập dữ liệu trên thiết bị di động chạy Android và iOS. Các thiết bị di động thuộc danh mục thiết bị di động (MTP). Do đó, để cấu hình quyền truy cập dữ liệu vào thiết bị di động, bạn cần chỉnh sửa thiết lập truy cập cho thiết bị di động (MTP).

Khi một thiết bị di động được kết nối với máy tính, hệ điều hành sẽ quyết định loại thiết bị. Nếu Android Debug Bridge (ADB), iTunes hoặc các ứng dụng tương đương của chúng được cài đặt trên máy tính, hệ điều hành sẽ xác định các thiết bị di động là thiết bị ADB hoặc iTunes. Trong mọi trường hợp, hệ điều hành có thể xác định thiết bị di động đó là thiết bị di động (MTP) để truyền tập tin, thiết bị PTP (camera) để truyền hình ảnh hoặt một thiết bị khác. Loại thiết bị sẽ phụ thuộc vào kiểu máy của thiết bị di động và chế độ kết nối USB đã chọn. Kaspersky Endpoint Security cho phép bạn cấu hình các quyền truy cập riêng lẻ cho dữ liệu trên thiết bị di động trong ứng dụng ADB, iTunes hoặc trình quản lý tập tin. Trong tất cả các trường hợp khác, thành phần Kiểm soát thiết bị sẽ cho phép truy cập thiết bị di động theo quy tắc truy cập thiết bị di động (MTP).

Truy cập thiết bị di động

Các thiết bị di động thuộc danh mục thiết bị di động (MTP), do đó, chúng có cùng thiết lập. Bạn có thể chọn một trong các chế độ truy cập thiết bị di động sau đây:

Cho phép . Kaspersky Endpoint Security cho phép truy cập đầy đủ thiết bị di động. Bạn có thể mở, tạo, sửa đổi, sao chép hoặc xóa tập tin trên thiết bị di động bằng trình quản lý tập tin hoặc ứng dụng ADB và iTunes. Bạn cũng có thể sạc pin của thiết bị bằng cách kết nối thiết bị di động với cổng USB của máy tính.
Chặn . Kaspersky Endpoint Security hạn chế quyền truy cập thiết bị di động trong trình quản lý tập tin cũng như các ứng dụng ADB và iTunes. Ứng dụng này chỉ cho phép truy cập thiết bị di động được tin tưởng. Bạn cũng có thể sạc pin của thiết bị bằng cách kết nối thiết bị di động với cổng USB của máy tính.
Tùy thuộc vào bus kết nối . Kaspersky Endpoint Security sẽ cho phép kết nối với thiết bị di động theo Trạng thái kết nối USB (Cho phép hoặc Chặn ).
Bởi quy tắc . Kaspersky Endpoint Security hạn chế quyền truy cập thiết bị di động theo các quy tắc. Trong quy tắc, bạn có thể cấu hình quyền truy cập (đọc/ghi), chọn người dùng hoặc nhóm người dùng có thể có quyền truy cập thiết bị di động và cấu hình lịch truy cập cho thiết bị di động. Bạn cũng có thể hạn chế quyền truy cập các thiết bị bằng ứng dụng ADB và iTunes.

Cấu hình quy tắc truy cập thiết bị di động

Quy tắc truy cập cho thiết bị di động (MTP), thiết bị ADB và thiết bị iTunes được cấu hình khác nhau. Đối với thiết bị di động (MTP) và thiết bị ADB, bạn có thể cấu hình quy tắc cho từng người dùng hoặc nhóm người dùng và tạo lịch áp dụng quy tắc. Đối với các thiết bị iTunes thì bạn không thể làm điều đó. Bạn chỉ có thể cho phép hoặc từ chối quyền truy cập dữ liệu thông qua ứng dụng iTunes cho tất cả người dùng.

Cách cấu hình quy tắc truy cập thiết bị di động trong Bảng điều khiển quản trị (MMC)

Mở Bảng điều khiển quản trị Kaspersky Security Center.
Trong cây bảng điều khiển, hãy chọn Policies.
Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
Trong cửa sổ chính sách, hãy chọn Kiểm soát bảo mật → Kiểm soát thiết bị.
Trong mục Thiết lập Kiểm soát thiết bị, hãy chọn thẻ Các loại thiết bị.
Bảng này liệt kê các quy tắc truy cập cho tất cả các thiết bị có trong phân loại của thành phần Kiểm soát thiết bị.
Trong menu ngữ cảnh cho loại thiết bị Thiết bị di động (MTP), hãy cấu hình chế độ truy cập thiết bị di động: Cho phép , Chặn hoặc Tùy thuộc vào bus kết nối .
Để cấu hình quy tắc truy cập thiết bị di động, hãy nhấn đúp để mở danh sách quy tắc.
Cấu hình quy tắc truy cập thiết bị di động:
1. Trong mục Quy tắc truy cập, hãy nhấn nút Thêm.
  Thao tác này sẽ mở ra một cửa sổ để thêm quy tắc truy cập thiết bị di động mới.
2. Trong trường Ưu tiên, hãy đặt mức độ ưu tiên ghi quy tắc. Một quy tắc bao gồm các thuộc tính sau: tài khoản người dùng, lịch, quyền (đọc/ghi/ADB) và mức ưu tiên.
  Một quy tắc có một mức ưu tiên cụ thể. Nếu một người dùng đã được thêm vào nhiều nhóm, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên quy tắc có mức ưu tiên cao nhất. Kaspersky Endpoint Security cho phép gán mức độ ưu tiên từ 0 đến 10.000. Giá trị này càng cao thì mức độ ưu tiên càng cao. Nói cách khác, nhập giá trị 0 có nghĩa là mức độ ưu tiên thấp nhất.
  
  Ví dụ: bạn có thể cấp quyền chỉ đọc cho nhóm Mọi người và cấp quyền đọc/ghi cho nhóm quản trị viên. Để làm như vậy, hãy gán mức ưu tiên bằng 1 cho nhóm quản trị viên và gán mức ưu tiên bằng 0 cho nhóm Mọi người.
  
  Một quy tắc chặn được ưu tiên hơn một quy tắc cho phép. Nói cách khác, nếu một người dùng đã được thêm vào nhiều nhóm và mức ưu tiên của tất cả các quy tắc đều bằng nhau, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên bất kỳ quy tắc chặn nào hiện có.
3. Trong mục Quy tắc dành cho người dùng và nhóm, hãy chọn người dùng hoặc nhóm người dùng.
4. Nhấn vào OK.
Trong mục Lịch dành cho quy tắc truy cập được chọn, hãy cấu hình một lịch truy cập thiết bị di động dành cho người dùng.
Không thể cấu hình lịch truy cập riêng cho các thiết bị ADB. Bạn có thể cấu hình lịch truy cập chung cho thiết bị ADB và thiết bị di động (MTP).
Cấu hình quyền truy cập của người dùng đối với thiết bị di động trong trình quản lý tập tin (Đọc / Ghi).
Cấu hình quyền truy cập dữ liệu trên thiết bị di động thông qua ứng dụng ADB bằng cách sử dụng hộp kiểm Truy cập qua ADB.
Nếu hộp kiểm này bị xóa, khi thiết bị di động được kết nối, ứng dụng ADB sẽ không thể phát hiện thiết bị.
Trong Truy cập qua iTunes, cấu hình quyền truy cập dữ liệu trên thiết bị di động thông qua ứng dụng iTunes.
Kaspersky Endpoint Security sẽ áp dụng thiết lập truy cập thiết bị di động thông qua ứng dụng iTunes cho tất cả người dùng. Không thể cấu hình lịch truy cập riêng cho các thiết bị iTunes.
Lưu các thay đổi của bạn.

Cách cấu hình quy tắc truy cập thiết bị trong Bảng điều khiển web và Bảng điều khiển đám mây

Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & Profiles.
Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
Chọn thẻ Application settings.
Vào Security Controls → Device Control.
Trong mục Device Control Settings, hãy nhấn liên kết Access rules for devices and Wi-Fi networks.
Bảng này liệt kê các quy tắc truy cập cho tất cả các thiết bị có trong phân loại của thành phần Kiểm soát thiết bị.
Chọn loại thiết bị Portable devices (MTP).
Thao tác này sẽ mở quyền truy cập thiết bị di động (MTP).
Trong mục Configuring device access rules, hãy cấu hình chế độ truy cập thiết bị di động: Allow, Block, Depends on connection bus hoặc By rules.
Nếu chọn chế độ By rules, bạn phải thêm quy tắc truy cập cho thiết bị. Để thực hiện, trong mục Users, hãy nhấn vào Add và cấu hình quy tắc truy cập thiết bị di động:
1. Trong trường Rule of access to devices, hãy đặt mức độ ưu tiên ghi quy tắc. Một quy tắc bao gồm các thuộc tính sau: tài khoản người dùng, lịch, quyền (đọc/ghi/ADB) và mức ưu tiên.
  Một quy tắc có một mức ưu tiên cụ thể. Nếu một người dùng đã được thêm vào nhiều nhóm, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên quy tắc có mức ưu tiên cao nhất. Kaspersky Endpoint Security cho phép gán mức độ ưu tiên từ 0 đến 10.000. Giá trị này càng cao thì mức độ ưu tiên càng cao. Nói cách khác, nhập giá trị 0 có nghĩa là mức độ ưu tiên thấp nhất.
  
  Ví dụ: bạn có thể cấp quyền chỉ đọc cho nhóm Mọi người và cấp quyền đọc/ghi cho nhóm quản trị viên. Để làm như vậy, hãy gán mức ưu tiên bằng 1 cho nhóm quản trị viên và gán mức ưu tiên bằng 0 cho nhóm Mọi người.
  
  Một quy tắc chặn được ưu tiên hơn một quy tắc cho phép. Nói cách khác, nếu một người dùng đã được thêm vào nhiều nhóm và mức ưu tiên của tất cả các quy tắc đều bằng nhau, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên bất kỳ quy tắc chặn nào hiện có.
2. Trong mục Users, hãy chọn người dùng hoặc nhóm người dùng để truy cập thiết bị di động.
3. Trong mục Schedule for access to devices, hãy cấu hình một lịch truy cập thiết bị di động dành cho người dùng.
  Không thể cấu hình lịch truy cập riêng cho các thiết bị ADB. Bạn có thể cấu hình lịch truy cập chung cho thiết bị ADB và thiết bị di động (MTP).
4. Cấu hình quyền truy cập của người dùng đối với thiết bị di động trong trình quản lý tập tin (Read / Write).
5. Cấu hình quyền truy cập dữ liệu trên thiết bị di động thông qua ứng dụng ADB bằng cách sử dụng hộp kiểm Access via ADB.
  Nếu hộp kiểm này bị xóa, khi thiết bị di động được kết nối, ứng dụng ADB sẽ không thể phát hiện thiết bị.
6. Trong Access via iTunes, cấu hình quyền truy cập dữ liệu trên thiết bị di động thông qua ứng dụng iTunes.
  Kaspersky Endpoint Security sẽ áp dụng thiết lập truy cập thiết bị di động thông qua ứng dụng iTunes cho tất cả người dùng. Không thể cấu hình lịch truy cập riêng cho các thiết bị iTunes.
Lưu các thay đổi của bạn.

Cách cấu hình quy tắc truy cập thiết bị di động trong giao diện của ứng dụng

Trong cửa sổ chính của ứng dụng, hãy nhấn nút .
Trong cửa sổ thiết lập ứng dụng, hãy chọn Kiểm soát bảo mật → Kiểm soát thiết bị.
Trong mục Thiết lập truy cập, hãy nhấn nút Các thiết bị và mạng Wi-Fi.
Cửa sổ được mở sẽ hiển thị các quy tắc truy cập cho tất cả các thiết bị được thêm vào danh mục thành phần Kiểm soát thiết bị.

Các loại thiết bị trong thành phần Kiểm soát thiết bị
Trong mục Truy cập đến các Thiết bị lưu trữ, hãy nhấn liên kết Thiết bị di động (MTP).
Thao tác này sẽ mở ra một cửa sổ chứa các quy tắc truy cập thiết bị di động (MTP).
Trong mục Truy cập, hãy cấu hình chế độ truy cập thiết bị di động: Cho phép, Chặn, Tùy thuộc vào bus kết nối hoặc Bởi quy tắc.
Nếu chọn chế độ Bởi quy tắc, bạn phải thêm quy tắc truy cập cho thiết bị.
1. Trong mục Các quyền của người dùng, hãy nhấn nút Thêm.
  Thao tác này sẽ mở ra một cửa sổ để thêm quy tắc truy cập thiết bị di động mới.
2. Trong trường Ưu tiên, hãy đặt mức độ ưu tiên ghi quy tắc. Một quy tắc bao gồm các thuộc tính sau: tài khoản người dùng, lịch, quyền (đọc/ghi/ADB) và mức ưu tiên.
  Một quy tắc có một mức ưu tiên cụ thể. Nếu một người dùng đã được thêm vào nhiều nhóm, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên quy tắc có mức ưu tiên cao nhất. Kaspersky Endpoint Security cho phép gán mức độ ưu tiên từ 0 đến 10.000. Giá trị này càng cao thì mức độ ưu tiên càng cao. Nói cách khác, nhập giá trị 0 có nghĩa là mức độ ưu tiên thấp nhất.
  
  Ví dụ: bạn có thể cấp quyền chỉ đọc cho nhóm Mọi người và cấp quyền đọc/ghi cho nhóm quản trị viên. Để làm như vậy, hãy gán mức ưu tiên bằng 1 cho nhóm quản trị viên và gán mức ưu tiên bằng 0 cho nhóm Mọi người.
  
  Một quy tắc chặn được ưu tiên hơn một quy tắc cho phép. Nói cách khác, nếu một người dùng đã được thêm vào nhiều nhóm và mức ưu tiên của tất cả các quy tắc đều bằng nhau, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên bất kỳ quy tắc chặn nào hiện có.
3. Trong mục Trạng thái, hãy bật quy tắc truy cập thiết bị di động.
4. Trong mục Quy tắc truy cập, hãy cấu hình quyền truy cập thiết bị di động cho người dùng.
  - Cấu hình quyền truy cập của người dùng đối với thiết bị di động trong trình quản lý tập tin (Đọc / Ghi).
  - Cấu hình quyền truy cập dữ liệu trên thiết bị di động thông qua ứng dụng ADB bằng cách sử dụng hộp kiểm Truy cập qua ADB.
    Nếu hộp kiểm này bị xóa, khi thiết bị di động được kết nối, ứng dụng ADB sẽ không thể phát hiện thiết bị.
5. Trong mục Người dùng, hãy chọn người dùng hoặc nhóm người dùng để truy cập thiết bị di động.
6. Trong mục Lịch để truy cập thiết bị, hãy cấu hình một lịch truy cập thiết bị cho người dùng.
  Không thể cấu hình lịch truy cập riêng cho các thiết bị ADB. Bạn có thể cấu hình lịch truy cập chung cho thiết bị ADB và thiết bị di động (MTP).
7. Trong Truy cập qua iTunes, cấu hình quyền truy cập dữ liệu trên thiết bị di động thông qua ứng dụng iTunes.
  Kaspersky Endpoint Security sẽ áp dụng thiết lập truy cập thiết bị di động thông qua ứng dụng iTunes cho tất cả người dùng. Không thể cấu hình lịch truy cập riêng cho các thiết bị iTunes.
Lưu các thay đổi của bạn.

Kết quả là quyền truy cập của người dùng vào thiết bị di động bị hạn chế theo các quy tắc. Nếu bạn đã cấm truy cập thiết bị di động trong ứng dụng ADB và iTunes thì khi bạn kết nối thiết bị di động, ứng dụng ADB và iTunes sẽ bị ngăn phát hiện thiết bị di động.

Thiết bị di động được tin tưởng

Thiết bị được tin tưởng là các thiết bị mà những người dùng được quy định trong thiết lập thiết bị được tin tưởng có thể truy cập vào bất cứ lúc nào.

Các bước để thêm thiết bị di động được tin tưởng hoàn toàn giống như các bước thêm các loại thiết bị được tin tưởng khác. Bạn có thể thêm thiết bị di động theo ID hoặc mẫu máy của thiết bị.

Để thêm một thiết bị di động được tin tưởng theo ID, bạn cần một ID duy nhất (ID phần cứng – HWID). Bạn có thể tìm ID trong thuộc tính thiết bị bằng cách sử dụng các công cụ của hệ điều hành (xem hình bên dưới). Công cụ Trình quản lý thiết bị cho phép bạn thực hiện việc này. ID của thiết bị di động (MTP) và thiết bị ADB, iTunes sẽ khác nhau ngay cả đối với cùng một thiết bị di động. ID của thiết bị di động (MTP) có thể trông giống như sau: 15131JECB07440. ID của thiết bị ADB có thể trông giống như sau: 6&370DEC2A&0&0001. Thêm thiết bị theo ID là một cách thuận tiện nếu bạn muốn thêm một số thiết bị cụ thể. Bạn cũng có thể sử dụng ký tự đại diện.

Nếu bạn đã cài đặt ứng dụng ADB và iTunes sau khi kết nối thiết bị với máy tính, ID duy nhất của thiết bị có thể bị đặt lại. Điều này có nghĩa là Kaspersky Endpoint Security sẽ xác định thiết bị này là một thiết bị mới. Nếu một thiết bị được tin tưởng, hãy thêm thiết bị đó vào danh sách được tin tưởng lần nữa.

Để thêm một thiết bị di động được tin tưởng theo mẫu máy của thiết bị, bạn sẽ cần ID nhà cung cấp (VID) và ID sản phẩm (PID) của máy in đó. Bạn có thể tìm cá ID trong thuộc tính thiết bị bằng cách sử dụng các công cụ của hệ điều hành (xem hình bên dưới). Mẫu để nhập VID và PID: VID_18D1&PID_4EE5. Thêm thiết bị theo model là cách thuận tiện nếu bạn sử dụng các thiết bị thuộc một model nhất định trong tổ chức của mình. Bằng cách này, bạn có thể thêm tất cả các thiết bị thuộc model này.

Cửa sổ thuộc tính thiết bị di động (MTP) trong Trình quản lý thiết bị. Cửa sổ thuộc tính thiết bị ADB trong Trình quản lý thiết bị.

ID thiết bị trong Trình quản lý thiết bị

Về đầu trang