Контроль устройств

Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.

Уровни доступа к устройствам

Контроль устройств управляет доступом на следующих уровнях:

• Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.

  Вы можете настроить доступ устройств следующим образом:

  • Разрешать – .
  • Запрещать – .
  • Зависит от шины подключения (кроме Wi-Fi) – .
  • Запрещать с исключениями (только Wi-Fi) – .
• Шина подключения. Шина подключения – интерфейс, с помощью которого устройства подключаются к компьютеру (например, USB, FireWire). Таким образом, вы можете ограничить подключение всех устройств, например, через USB.

  Вы можете настроить доступ устройств следующим образом:

  • Разрешать – .
  • Запрещать – .
• Доверенные устройства. Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

  Вы можете добавить доверенные устройства по следующим данным:

  • Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
  • Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
  • Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
  • Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Контроль устройств регулирует доступ пользователей к устройствам с помощью правил доступа. Также Контроль устройств позволяет сохранять события подключения / отключения устройств. Для сохранения событий вам нужно настроить отправку событий в политике.

Если доступ к устройству зависит от шины подключения (статус ), Kaspersky Endpoint Security не сохраняет события подключения / отключения устройства. Чтобы приложение Kaspersky Endpoint Security сохраняла события подключения / отключения устройства, разрешите доступ к соответствующему типу устройств (статус ) или добавьте устройство в список доверенных.

При подключении к компьютеру устройства, доступ к которому запрещен Контролем устройств, Kaspersky Endpoint Security заблокирует доступ и покажет уведомление (см. рис. ниже).

Уведомление Контроля устройств

Алгоритм работы Контроля устройств

Kaspersky Endpoint Security принимает решение о доступе к устройству после того, как пользователь подключил это устройство к компьютеру (см. рис. ниже).

Алгоритм работы Контроля устройств

Если устройство подключено и доступ разрешен, вы можете изменить правило доступа и запретить доступ. В этом случае при очередном обращении к устройству (просмотр дерева папок, чтение, запись) Kaspersky Endpoint Security блокирует доступ. Блокирование устройства без файловой системы произойдет только при последующем подключении устройства.

Если пользователю компьютера с установленным приложением Kaspersky Endpoint Security требуется запросить доступ к устройству, которое, по его мнению, было заблокировано ошибочно, передайте ему инструкцию по запросу доступа.

Включение и выключение Контроля устройств

По умолчанию Контроль устройств включен.

Чтобы включить или выключить Контроль устройств, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. Используйте переключатель Контроль устройств, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

В результате, если Контроль устройств включен, приложение передает в Kaspersky Security Center информацию о подключенных устройствах. Вы можете просмотреть список подключенных устройств в Kaspersky Security Center в папке Дополнительно → Хранилище → Оборудование.

О правилах доступа

Правила доступа – набор параметров, которые определяют доступ пользователей к установленным или подключенным к компьютеру устройствам. Невозможно добавить устройство, которое выходит за рамки классификации Контроля устройств. Доступ к этим устройствам разрешен для всех пользователей.

Правила доступа к устройствам

Набор параметров правила доступа отличается в зависимости от типа устройств (см. таблицу ниже).

Параметры правила доступа

Правила доступа к мобильным устройствам

Мобильные устройства под управлением Android и iOS относятся к портативным устройствам (MTP). При подключении мобильного устройства к компьютеру операционная система определяет тип устройства. Если на компьютере установлены приложения Android Debug Bridge (ADB), iTunes или их аналоги, операционная система определяет мобильные устройства как ADB- или iTunes-устройства. В остальных случаях операционная система может определить тип мобильного устройства как портативное устройство (MTP) для передачи файлов, PTP-устройство (камера) для передачи изображений или другое устройство. Тип устройства зависит от модели мобильного устройства.

Доступ к ADB- или iTunes-устройствам имеет следующие особенности:

• Настроить расписание доступа к устройству невозможно. То есть, если доступ к устройствам ограничен правилами (статус ), ADB- и iTunes-устройства доступны всегда.
• Настроить доступ к устройству для отдельных пользователей, а также настроить права доступа (чтение / запись) невозможно. То есть, если доступ к устройствам ограничен правилами (статус ), ADB- и iTunes-устройства доступны всем пользователям со всеми правами.
• Настроить доступ к доверенным ADB- или iTunes-устройствам для отдельных пользователей невозможно. Если устройство доверенное, ADB- и iTunes-устройства доступны всем пользователям.
• Если вы установили приложения ADB или iTunes после подключения устройства к компьютеру, уникальный идентификатор устройства может быть сброшен. То есть, Kaspersky Endpoint Security определит это устройство как новое. Если устройство доверенное, добавьте устройство в список доверенных повторно.

По умолчанию правила доступа к устройствам разрешают полный доступ к устройствам всем пользователям в любое время, если разрешен доступ к шинам подключения для соответствующих типов устройств (статус ).

Правило доступа к сетям Wi-Fi

Правило доступа к сетям Wi-Fi определяет разрешение (статус ) или запрет (статус ) на использование сетей Wi-Fi. Вы можете добавить в правило доверенную сеть Wi-Fi (статус ). Использование доверенной сети Wi-Fi разрешено без ограничений. По умолчанию правило доступа к сетям Wi-Fi разрешает доступ к любым сетям Wi-Fi.

Правила доступа к шинам подключения

Правила доступа к шинам определяют только разрешение (статус ) или запрет (статус ) на подключение устройств. Для всех шин подключения из классификации компонента Контроль устройств по умолчанию созданы правила, разрешающие доступ к шинам.

Изменение правила доступа к устройствам

Правило доступа к устройствам – набор параметров, которые определяют доступ пользователей к установленным или подключенным к компьютеру устройствам: доступ к устройству, расписание доступа, разрешение на чтение или запись.

Чтобы изменить правило доступа к устройствам, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

   В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. В блоке Доступ к запоминающим устройствам выберите правило доступа, которое хотите изменить. В блоке находятся устройства с файловой системой, для которых вы можете настроить дополнительные параметры доступа. По умолчанию правило доступа к устройствам разрешает полный доступ к типу устройств всем пользователям в любое время.
   1. В графе Доступ выберите доступ к устройству:
      • Разрешать.
      • Запрещать.
      • Зависит от шины подключения.

        Чтобы запретить или разрешить доступ к устройству, настройте доступ к шине подключения.

      • Ограничивать правилами.

        Этот вариант позволяет настроить права пользователей, разрешения, расписание для доступа к устройствам.

   2. В блоке Права пользователей нажмите на кнопку Добавить.

      Откроется окно добавления нового правила доступа к устройствам.

   3. Назначьте приоритет записи правила. Запись правила включает в себя следующие атрибуты: учетная запись, расписание, разрешения (чтения / запись) и приоритет.

      Запись правила имеют приоритет. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Kaspersky Endpoint Security позволяет назначить приоритет от 0 до 10 000. Чем больше значение, тем выше приоритет. То есть, запись со значением 0 имеет наименьший приоритет.

      Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 1, а группе "Все" приоритет 0.

      Приоритет запрещающей записи правила выше приоритета разрешающей записи. То есть, если пользователь добавлен в несколько групп и приоритет записей правила одинаковый, Kaspersky Endpoint Security регулирует доступ по записи запрещающей доступ к устройству.

   4. Установите статус правила доступа к устройствам Включено.
   5. Настройте разрешения пользователей для доступа к устройствам: чтение, запись.
   6. Выберите пользователей или группы пользователей, к которым вы хотите применить правило доступа к устройству.
   7. Настройте расписание доступа к устройствам для пользователей.
   8. Нажмите на кнопку Добавить.
5. В блоке Доступ к внешним устройствам выберите правило и настройте доступ: Разрешать, Запрещать, Зависит от шины подключения. Если требуется, настройте доступ к шине подключения.
6. В блоке Доступ к сетям Wi-Fi перейдите по ссылке Wi-Fi и настройте доступ: Разрешать, Запрещать, Запрещать с исключениями. Если требуется, добавьте сети Wi-Fi в список доверенных.
7. Сохраните внесенные изменения.

Изменение правила доступа к шине подключения

Чтобы изменить правило доступа к шине подключения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Шины подключения.

   В открывшемся окне находятся правила доступа для всех шин подключения, которые есть в классификации компонента Контроль устройств.

4. Выберите правило доступа, которое хотите изменить.
5. В графе Доступ выберите доступ к шине подключения: Разрешать или Запрещать.
6. Сохраните внесенные изменения.

Добавление сети Wi-Fi в список доверенных

Вы можете разрешить пользователям подключаться к сетям Wi-Fi, которые вы считаете безопасными, например, к корпоративной сети Wi-Fi. Для этого нужно добавить эту сеть в список доверенных сетей Wi-Fi. Контроль устройств будет блокировать доступ ко всем сетям Wi-Fi, кроме тех, которые указаны в списке доверенных.

Чтобы добавить сеть Wi-Fi в список доверенных, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

   В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. В блоке Доступ к сетям Wi-Fi перейдите по ссылке Wi-Fi.

   В открывшемся окне находятся правила доступа к сетям Wi-Fi.

5. В блоке Доступ выберите Запрещать с исключениями.
6. В блоке Доверенные сети Wi-Fi нажмите на кнопку Добавить.
7. В открывшемся окне выполните следующие действия:
   1. В поле Имя сети укажите имя сети Wi-Fi, которую вы хотите добавить в список доверенных.
   2. В раскрывающемся списке Тип аутентификации выберите тип аутентификации, используемый при подключении к доверенной сети Wi-Fi.
   3. В раскрывающемся списке Тип шифрования выберите тип шифрования, используемый для защиты трафика доверенной сети Wi-Fi.
   4. В поле Комментарий вы можете указать любую информацию о добавленной сети Wi-Fi.

   Сеть Wi-Fi считается доверенной, если ее параметры соответствуют всем параметрам, указанным в правиле.

8. Сохраните внесенные изменения.

Мониторинг использования съемных дисков

Мониторинг использования съемных дисков включает в себя следующие инструменты:

• Контроль операций с файлами на съемных дисках.
• Контроль подключения и отключения доверенных съемных дисков.

  Kaspersky Endpoint Security позволяет контролировать подключение и отключение всех доверенных устройств, не только съемных дисков. Вы можете включить запись событий в параметрах уведомлений для компонента Контроль устройств. События имеют уровень важности Информационное сообщение.

Чтобы включить мониторинг использования съемных дисков, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.

   В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

4. В блоке Доступ к запоминающим устройствам выберите элемент Съемные диски.
5. В открывшемся окне перейдите на закладку Запись событий в журнал.
6. Включите переключатель Запись событий в журнал.
7. В блоке Операции c файлами выберите операции, которые вы хотите контролировать: Запись, Удаление.
8. В блоке Фильтр по форматам файлов выберите форматы файлов, информацию об операциях с которыми Контроль устройств должен записывать в журнал.
9. Выберите пользователей или группы пользователей, использование съемных дисков которых вы хотите контролировать.
10. Сохраните внесенные изменения.

В результате когда пользователи будут производить запись в файлы, расположенные на съемных дисках, или удалять файлы со съемных дисков, Kaspersky Endpoint Security будет сохранять информацию о совершенной операции в журнал событий и отправлять события в Kaspersky Security Center. Вы можете просмотреть события, связанные с файлами на съемных дисках, в Консоли администрирования Kaspersky Security Center в рабочей области для узла Сервер администрирования на закладке События. Чтобы события отображались в локальном журнале событий Kaspersky Endpoint Security, требуется установить флажок Выполнена операция с файлом в параметрах уведомлений для компонента Контроль устройств.

Изменение периода кеширования

Компонент Контроль устройств регистрирует события, связанные с контролируемыми устройствами, такие как подключение и отключение устройства, чтение файла с устройства, запись файла на устройство и другие события. Далее Контроль устройств разрешает или запрещает выполнение действия в соответствии с параметрами Kaspersky Endpoint Security.

Контроль устройств хранит информацию о событиях в течение определенного времени, которое называется периодом кеширования. Кеширование информации о событии позволяет при повторении этого события не уведомлять Kaspersky Endpoint Security о нем и не запрашивать повторно доступ на выполнение соответствующего действия, например, подключение устройства. Это позволяет ускорить работу с устройством.

Событие считается повторяющимся, если все следующие параметры события совпадают с записью в кеше:

• идентификатор устройства;
• SID пользователя, от имени которого происходит обращение;
• класс устройства;
• действие с устройством;
• разрешение приложения для этого действия: разрешено или запрещено;
• путь к процессу, от имени которого совершается действие;
• файл, к которому происходит обращение.

Перед изменением периода кеширования выключите самозащиту Kaspersky Endpoint Security. После изменения периода кеширования включите самозащиту.

Чтобы изменить период кеширования, выполните следующие действия:

1. Откройте редактор реестра на компьютере.
2. В редакторе реестра перейдите в раздел:
   • для 64-битных операционных систем: [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\protected\KES\environment];
   • для 32-битных операционных систем: [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\KES\environment].
3. Откройте параметр DeviceControlEventsCachePeriod на редактирование.
4. Укажите количество минут, по истечении которых информация о событии в Контроле устройств должна удаляться.

Действия с доверенными устройствами

Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

Для работы с доверенными устройствами вы можете предоставить доступ отдельному пользователю, группе пользователей или всем пользователям организации.

Например, если в вашей организации запрещено использование съемных дисков, но администраторы используют съемные диски в своей работе, вы можете разрешить использование съемных дисков только для группы администраторов. Для этого необходимо добавить съемные диски в список доверенных и настроить права доступа пользователей.

Не рекомендуется добавлять более 1000 доверенных устройств, поскольку это может привести к нестабильности системы.

Kaspersky Endpoint Security позволяет добавить устройство в список доверенных следующими способами:

• Если в вашей организации не развернуто решение Kaspersky Security Center, вы можете подключить устройство к компьютеру и добавить его в список доверенных в параметрах приложения. Чтобы распространить список доверенных устройств на все компьютеры организации, вы можете включить функцию объединения списков доверенных устройств в политике или использовать процедуру экспорта / импорта.
• Если в вашей организации развернуто решение Kaspersky Security Center, вы можете обнаружить все подключенные устройства удаленно и создать список доверенных устройств в политике. Список доверенных устройств будет доступен на всех компьютерах, к которым применена политика.

Kaspersky Endpoint Security позволяет контролировать использование доверенных устройств (подключение и отключение). Вы можете включить запись событий в параметрах уведомлений для компонента Контроль устройств. События имеют уровень важности Информационное.

Kaspersky Endpoint Security имеет следующие ограничения при работе с доверенными устройствами:

• Плагин управления Kaspersky Endpoint Security версий 11.0.0–11.2.0 не поддерживает работу со списком доверенных устройств приложения Kaspersky Endpoint Security версии 11.3.0 и 11.4.0. Для работы со списком доверенных устройств обновить плагин управления до версии 11.3.0 и 11.4.0.
• Плагин управления Kaspersky Endpoint Security версий 11.3.0 и 11.4.0 не поддерживает работу со списком доверенных устройств приложения Kaspersky Endpoint Security версии 11.2.0 и ниже. Для работы со списком доверенных устройств обновите приложение до версии 11.3.0 или 11.4.0. Также вы можете отправить запрос с описанием ситуации в Службу технической поддержки через Kaspersky CompanyAccount.
• Для переноса списка доверенных устройств из Kaspersky Endpoint Security версии 11.2.0 в 11.3.0 отправьте запрос с описанием ситуации в Службу технической поддержки через Kaspersky CompanyAccount.

Добавление устройства в список доверенных из интерфейса приложения

По умолчанию при добавлении устройства в список доверенных устройств доступ к устройству разрешается всем пользователям (группе пользователей "Все").

Чтобы добавить устройство в список доверенных из интерфейса приложения, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Доверенные устройства.

   Откроется список доверенных устройств.

4. Нажмите на кнопку Выбрать.

   Откроется список подключенных устройств. Список устройств зависит от того, какое значение выбрано в раскрывающемся списке Отображать подключенные устройства.

5. В списке устройств выберите устройство, которое вы хотите добавить в список доверенных.
6. В поле Комментарий вы можете указать любую информацию о доверенном устройстве.
7. Выберите пользователей или группы пользователей, для которых вы хотите разрешить доступ к доверенным устройствам.
8. Сохраните внесенные изменения.

Добавление устройства в список доверенных из Kaspersky Security Center

Kaspersky Security Center получает информацию об устройствах, если на компьютерах установлено приложение Kaspersky Endpoint Security и включен Контроль устройств. Добавить устройство в список доверенных, информации о котором в Kaspersky Security Center нет, невозможно.

Вы можете добавить устройство в список доверенных по следующим данным:

• Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID – HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств.
• Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID: VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.
• Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, WDC_C*.
• Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ * заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ ? при вводе маски. Например, VID_05AC&PID_*.

Чтобы добавить устройства в список доверенных, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Контроль безопасности → Контроль устройств.
6. В правой части окна выберите закладку Доверенные устройства.
7. Установите флажок Объединять значения при наследовании, если вы хотите создать общий список доверенных устройств для всех компьютеров организации.

   Списки доверенных устройств родительских и дочерних политик будут объединены. Для объединения списков должно быть включено наследование параметров родительской политики. Доверенные устройства родительской политики отображаются в дочерних политиках и доступны только для просмотра. Изменение или удаление доверенных устройств родительской политики невозможно.

8. Нажмите на кнопку Добавить и выберите способ добавления устройства в список доверенных.
9. Для фильтрации устройств в раскрывающемся списке Тип устройств выберите тип устройств (например, Съемные диски).
10. В поле Название / Модель введите идентификатор устройства, модель (VID и PID) или маску в зависимости от выбранного способа добавления.

    Способ добавления устройств по маске модели (VID и PID) имеет особенность. Если вы ввели маску модели, которая не соответствует ни одной модели, Kaspersky Endpoint Security проверяет идентификатор устройства (HWID) на соответствие маске. Kaspersky Endpoint Security проверяет на соответствие только часть идентификатора устройства, определяющую поставщика и тип устройства (SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000). Если маска модели соответствует этой части идентификатора устройства, на компьютере в список доверенных устройств будут добавлены устройства удовлетворяющие маске. При этом в Kaspersky Security Center по кнопке Обновить отобразится пустой список устройств. Для корректного отображения списка устройств вы можете использовать способ добавления по маске идентификатора устройства.

11. Для фильтрации устройств в поле Компьютер введите имя компьютера или маску имени компьютера, к которому подключено устройство.

    Символ * заменяет любой набор символов. Символ ? заменяет любой один символ.

12. Нажмите на кнопку Обновить.

    В таблице отобразится список устройств, которые удовлетворяют заданным параметрам фильтрации.

13. Установите флажки напротив названий устройств, которые вы хотите добавить в список доверенных.
14. В поле Комментарий введите описание причины добавления устройств в список доверенных.
15. Справа от поля Разрешать пользователям и / или группам пользователей нажмите на кнопку Выбрать.
16. Выберите пользователя или группу в Active Directory и подтвердите свой выбор.

    По умолчанию доступ к доверенным устройствам разрешен для группы "Все".

17. Сохраните внесенные изменения.

При подключении устройства Kaspersky Endpoint Security проверяет список доверенных устройств для авторизованного пользователя. Если устройство доверенное, Kaspersky Endpoint Security разрешает доступ к устройству со всеми правами, даже если доступ к типу устройств или шине подключения запрещен. Если устройство недоверенное и доступ запрещен, вы можете запросить доступ к заблокированному устройству.

Экспорт и импорт списка доверенных устройств

Для распространения список доверенных устройств на всех компьютеры организации вы можете использовать процедуру экспорта / импорта.

Например, если вам нужно распространить список доверенных съемных дисков, нужно выполнить следующие действия:

1. Последовательно подключите съемные диски к компьютеру.
2. В параметрах Kaspersky Endpoint Security добавьте съемные диски в список доверенных. Если требуется, настройте права доступа пользователей. Например, разрешите доступ к съемным дискам только администраторам.
3. Экспортируйте список доверенных устройств в параметрах Kaspersky Endpoint Security (см. инструкцию ниже).
4. Распространите файл с списком доверенных устройств на остальные компьютеры организации. Например, разместите файл в общей папке.
5. Импортируйте список доверенных устройств в параметрах Kaspersky Endpoint Security на остальных компьютерах организации (см. инструкцию ниже).

Чтобы импортировать или экспортировать список доверенных устройств, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Доверенные устройства.

   Откроется список доверенных устройств.

4. Для экспорта списка доверенных устройств выполните следующие действия:
   1. Выберите доверенные устройства, которые вы хотите экспортировать.
   2. Нажмите на кнопку Экспорт.
   3. В открывшемся окне введите имя файла формата XML, в который вы хотите экспортировать список доверенных устройств, а также выберите папку, в которой вы хотите сохранить этот файл.
   4. Сохраните файл.

      Kaspersky Endpoint Security экспортирует весь список доверенных устройств в XML-файл.

5. Для импорта списка доверенных устройств, выполните следующие действия:
   1. В раскрывающемся списке Импорт выберите нужное действие: Импортировать и добавить к существующему или Импортировать и заменить существующий.
   2. В открывшемся окне выберите XML-файл, из которого вы хотите импортировать список доверенных устройств.
   3. Откройте файл.

      Если на компьютере уже есть список доверенных устройств, Kaspersky Endpoint Security предложит удалить действующий список или добавить в него новые записи из XML-файла.

6. Сохраните внесенные изменения.

При подключении устройства Kaspersky Endpoint Security проверяет список доверенных устройств для авторизованного пользователя. Если устройство доверенное, Kaspersky Endpoint Security разрешает доступ к устройству со всеми правами, даже если доступ к типу устройств или шине подключения запрещен.

Получение доступа к заблокированному устройству

При настройке Контроля устройств вы можете случайно запретить доступ к необходимому для работы устройству.

Если в вашей организации не развернуто решение Kaspersky Security Center, то вы можете предоставить доступ к устройству в параметрах Kaspersky Endpoint Security. Например, вы можете добавить устройство в список доверенных или временно выключить Контроль устройств.

Если в вашей организации развернуто решение Kaspersky Security Center и к компьютерам применена политика, вы можете предоставить доступ к устройству в Консоли администрирования.

Онлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в онлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. Компьютер должен иметь возможность установить связь с Сервером администрирования.

Предоставление доступа в онлайн-режиме состоит из следующих этапов:

1. Пользователь отправляет администратору сообщение с запросом на предоставление доступа.
2. Администратор добавляет устройство в список доверенных.

   Вы можете добавить доверенное устройство в политике для группы администрирования или в локальных параметрах приложения для отдельного компьютера.

3. Администратор обновляет параметры Kaspersky Endpoint Security на компьютере пользователя.

   

   Схема предоставления доступа к устройству в онлайн-режиме

Офлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в офлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. В параметрах политики в разделе Контроль устройств должен быть установлен флажок Разрешить запрашивать временный доступ.

Если вам необходимо предоставить временный доступ к заблокированному устройству, а добавить устройство в список доверенных невозможно, вы можете предоставить доступ к устройству в офлайн-режиме. Таким образом, вы можете предоставить доступ к заблокированному устройству, если у компьютера отсутствует доступ к сети или компьютер находится за пределами сети организации.

Предоставление доступа в офлайн-режиме состоит из следующих этапов:

1. Пользователь создает файл запроса и передает его администратору.
2. Администратор создает из файла запроса ключ доступа и передает его пользователю.
3. Пользователь активирует ключ доступа.

   

   Схема предоставления доступа к устройству в офлайн-режиме

Онлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в онлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. Компьютер должен иметь возможность установить связь с Сервером администрирования.

Чтобы пользователю запросить доступ к заблокированному устройству, выполните следующие действия:

1. Подключите устройство к компьютеру.

   Kaspersky Endpoint Security покажет уведомление блокировки доступа к устройству (см. рис. ниже).

2. Нажмите на ссылку Запросить доступ.

   Откроется окно с сообщением для администратора. В сообщении содержится информация о заблокированном устройстве.

3. Нажмите на кнопку Отправить.

Администратор получит сообщение c запросом на предоставление доступа, например, по электронной почте. Подробнее об обработке запросов пользователей см. в справке Kaspersky Security Center. После добавления устройства в список доверенных и обновления параметров Kaspersky Endpoint Security на компьютере пользователь получит доступ к устройству.

Уведомление Контроля устройств

Офлайн-режим предоставления доступа

Предоставление доступа к заблокированному устройству в офлайн-режиме доступно только в том случае, если в организации развернуто решение Kaspersky Security Center и к компьютеру применена политика. В параметрах политики в разделе Контроль устройств должен быть установлен флажок Разрешать запрашивать временный доступ.

Чтобы пользователю запросить доступ к заблокированному устройству, выполните следующие действия:

1. Подключите устройство к компьютеру.

   Kaspersky Endpoint Security покажет уведомление блокировки доступа к устройству (см. рис. ниже).

2. Нажмите на ссылку Запросить временный доступ.

   Откроется окно со списком подключенных устройств.

3. В списке подключенных устройств выберите устройство, к которому вы хотите получить доступ.
4. Нажмите на кнопку Сформировать файл запроса.
5. В поле Длительность доступа к устройству укажите, на какое время вы хотите получить доступ к устройству.
6. Сохраните файл в память компьютера.

В результате в память компьютера будет загружен файл запроса с расширением *.akey. Передайте файл запроса доступа к устройству администратору локальной сети организации любым доступным способом.

Уведомление Контроля устройств

Как администратору создать ключ доступа к заблокированному устройству в Консоли администрирования (MMC)

Как администратору создать ключ доступа к заблокированному устройству в Web Console и Cloud Console

В результате в память компьютера будет загружен ключ доступа к заблокированному устройству. Файл ключа доступа имеет расширение *.acode. Передайте ключ доступа к заблокированному устройству пользователю любым доступным способом.

Чтобы пользователю активировать ключ доступа, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Контроль устройств.
3. В блоке Запрос доступа нажмите на кнопку Запросить доступ к устройству.
4. В открывшемся окне нажмите на кнопку Активировать ключ доступа.
5. В открывшемся окне выберите файл с ключом доступа к устройству, полученный от администратора локальной сети организации.

   Откроется окно с информацией о предоставленном доступе.

6. Нажмите на кнопку OK.

В результате пользователь получит доступ к устройству на срок, установленный администратором. Пользователь получит полный набор прав доступа к устройству (запись и чтение). По истечении срока действия ключа доступ к устройству будет заблокирован. Если пользователю требуется постоянный доступ к устройству, добавьте устройство в список доверенных.

Изменение шаблонов сообщений Контроля устройств

Когда пользователь пытается обратиться к заблокированному устройству, Kaspersky Endpoint Security выводит сообщение о блокировке доступа к устройству или о запрете операции над содержимым устройства. Если блокировка доступа к устройству или запрет операции с содержимым устройства, по мнению пользователя, произошло ошибочно, пользователь может отправить сообщение администратору локальной сети организации по ссылке из текста сообщения о блокировке.

Для сообщения о блокировке доступа к устройству или запрете операции над содержимым устройства, а также для сообщения администратору предусмотрены шаблоны. Вы можете изменять шаблоны сообщений.

Чтобы изменить шаблоны сообщений Контроля устройств, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Шаблоны сообщений настройте шаблоны сообщений Контроля устройств:
   • Сообщение о блокировке. Шаблон сообщения, которое появляется при обращении пользователя к заблокированному устройству. Также сообщение появляется при попытке пользователя совершить операцию над содержимым устройства, которая запрещена для этого пользователя.
   • Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к устройству или запрет операции над содержимым устройства, по мнению пользователя, произошли ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к устройству. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты.
4. Сохраните внесенные изменения.

Анти-Бриджинг

Анти-Бриджинг предотвращает создание сетевых мостов, исключая возможность одновременной установки нескольких сетевых соединений для компьютера. Это позволяет защитить корпоративную сеть от атак через незащищенные, несанкционированные сети.

Анти-Бриджинг регулирует установку сетевых соединений с помощью правил установки соединений.

Правила установки соединений созданы для следующих предустановленных типов устройств:

• сетевые адаптеры;
• адаптеры Wi-Fi;
• модемы.

Если правило установки соединений включено, то Kaspersky Endpoint Security выполняет следующие действия:

• блокирует активное соединение при установке нового соединения, если для обоих соединений используется указанный в правиле тип устройств;
• блокирует соединения, установленные или устанавливаемые с помощью тех типов устройств, для которых используются правила с более низким приоритетом.

Включение Анти-Бриджинга

По умолчанию функция Анти-Бриджинг выключена.

Чтобы включить функцию Анти-Бриджинг, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
4. Используйте переключатель Включить Анти-Бриджинг, чтобы включить или выключить функцию.
5. Сохраните внесенные изменения.

После включения функции Анти-Бриджинг Kaspersky Endpoint Security блокирует уже установленные соединения в соответствии с правилами установки соединений.

Изменение статуса правила установки соединений

Чтобы изменить статус правила установки соединений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
4. В блоке Правила устройств выберите правило, статус которого вы хотите изменить.
5. Используйте переключатели в графе Контроль, чтобы включить или выключить правило.
6. Сохраните внесенные изменения.

Изменение приоритета правила установки соединений

Чтобы изменить приоритет правила установки соединений, выполните следующие действия:

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Контроль безопасности → Контроль устройств.
3. В блоке Настройка доступа нажмите на кнопку Анти-Бриджинг.
4. В блоке Правила устройств выберите правило, приоритет которого вы хотите изменить.
5. Кнопками Вверх / Вниз установите приоритет правила установки соединений.

   Чем выше правило в таблице правил, тем выше у него приоритет. Функция Анти-Бриджинг блокирует все соединения, кроме одного соединения, установленного с помощью того типа устройств, для которого используется правило с наиболее высоким приоритетом.

6. Сохраните внесенные изменения.