Gerätekontrolle

Diese Komponente ist verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Workstation installiert ist. Diese Komponente ist nicht verfügbar, wenn das Programm Kaspersky Endpoint Security auf einem Computer mit dem Betriebssystem Windows für Server installiert ist.

Die "Gerätekontrolle" verwaltet den Zugriff von Benutzern auf die Geräte, die installiert oder mit dem Computer verbunden sind (z. B. auf Festplatten, Kamera oder WLAN-Modul). Bei einer Verbindung mit diesen Geräten kann der Computer so vor einer Infektion geschützt werden, und Datenverlust oder Datendiebstahl lassen sich verhindern.

Ebenen für den Zugriff auf Geräte

Die "Gerätekontrolle" verwaltet den Zugriff auf folgenden Ebenen:

Gerätetyp. Beispielsweise Drucker, Wechseldatenträger, CD/DVD-Laufwerke.
Sie können den Zugriff auf Geräte wie folgt anpassen:
- Erlauben – .
- Verbieten – .
- Von der Schnittstelle abhängig (unter Ausnahme von WLAN) – .
- Verbieten mit Ausnahmen (nur WLAN und tragbare Geräte (MTP)) – .
Schnittstelle. Mithilfe einer Schnittstelle können Geräte mit einem Computer verbunden werden (z. B. USB und FireWire). Auf diese Weise können Sie beispielsweise für alle Geräte eine Verbindung über USB beschränken.
Sie können den Zugriff auf Geräte wie folgt anpassen:
- Erlauben – .
- Verbieten – .
Vertrauenswürdige Geräte. Vertrauenswürdige Geräte sind Geräte, auf die jene Benutzer, die in den Einstellungen eines vertrauenswürdigen Geräts angegeben sind, jederzeit vollständigen Zugriff besitzen.
Sie können vertrauenswürdige Geräte mithilfe der folgenden Daten hinzufügen:
- Geräte nach ID. Jedes Gerät besitzt eine einmalige ID (engl. Hardware ID – HWID). Die ID finden Sie mithilfe von Betriebssystem-Tools in den Eigenschaften des Gerätes. Beispiel für eine Geräte-ID: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Es bietet sich an, Geräte mithilfe von IDs hinzuzufügen, wenn Sie mehrere bestimmte Geräte hinzufügen möchten.
- Geräte nach Modell. Jedes Gerät besitzt eine einmalige Hersteller-ID (engl. Vendor ID – VID) und eine Produkt-ID (engl. Product ID – PID). Diese IDs finden Sie mithilfe von Betriebssystem-Tools in den Eigenschaften des Gerätes. Vorlage für die Eingabe einer VID und PID: VID_1234&PID_5678. Es bietet sich an, Geräte mithilfe des Modells hinzuzufügen, wenn Sie in Ihrem Unternehmen Geräte eines bestimmten Modells verwenden. Dadurch können Sie alle Geräte dieses Modells hinzufügen.
- Geräte nach ID-Maske. Wenn Sie mehrere Geräte mit ähnlichen IDs haben, können Sie eine Maske verwenden, um die Geräte zur Liste der vertrauenswürdigen Geräte hinzuzufügen. Das Zeichen * steht als Platzhalter für eine beliebige Zeichenkombination. Das Zeichen ? wird bei der Angabe einer Maske von Kaspersky Endpoint Security nicht unterstützt. Beispiel: WDC_C*.
- Geräte nach Modellmaske. Wenn Sie mehrere Geräte mit ähnlichen VID oder PID verwenden (beispielsweise Geräte desselben Herstellers), können Sie die Geräte mithilfe einer Maske zur Liste der vertrauenswürdigen Geräte hinzufügen. Das Zeichen * steht als Platzhalter für eine beliebige Zeichenkombination. Das Zeichen ? wird bei der Angabe einer Maske von Kaspersky Endpoint Security nicht unterstützt. Beispiel: VID_05AC&PID_*.

Die "Gerätekontrolle" verwendet Zugriffsregeln, um den Zugriff von Benutzern auf Geräte zu regulieren. Außerdem kann die "Gerätekontrolle" Ereignisse über die Verbindung/Trennung von Geräten speichern. Damit Ereignisse gespeichert werden, müssen Sie in der Richtlinie das Senden von Ereignissen anpassen.

Falls der Zugriff auf das Gerät von der Schnittstelle abhängig ist (Status DC_Access_to_Bus ), werden Ereignisse über die Verbindung/Trennung des Geräts nicht von Kaspersky Endpoint Security gespeichert. Damit das Programm Kaspersky Endpoint Security Ereignisse über die Verbindung/Trennung des Geräts speichert, erlauben Sie den Zugriff auf den entsprechenden Gerätetyp (Status DC_Access_Allow ) oder fügen Sie das Gerät zur Liste der vertrauenswürdigen Geräte hinzu.

Wird mit dem Computer ein Gerät verbunden, auf das der Zugriff von der "Gerätekontrolle" verboten ist, so blockiert Kaspersky Endpoint Security den Zugriff und zeigt eine Benachrichtigung an (s. Bild unten).

KES11_Device_Control_Notofication

Benachrichtigung der "Gerätekontrolle"

Algorithmus der "Gerätekontrolle"

Kaspersky Endpoint Security entscheidet über den Zugriff auf ein Gerät, sobald dieses vom Benutzer an den Computer angeschlossen wird (s. folgende Abb.).

KES11_Device_Control_Algoritm

Algorithmus der "Gerätekontrolle"

Wenn ein Gerät verbunden ist und der Zugriff erlaubt ist, können Sie die Zugriffsregel ändern und den Zugriff verbieten. Wenn das nächste Mal auf das Gerät zugegriffen wird (Anzeige der Ordnerstruktur, Lesen, Schreiben), blockiert Kaspersky Endpoint Security den Zugriff. Geräte ohne Dateisystem werden erst blockiert, wenn sie zum nächsten Mal mit dem Computer verbunden werden.

Wenn der Benutzer eines Computers, auf dem das Programm Kaspersky Endpoint Security installiert ist, den Zugriff auf ein Gerät angefordert hat, das seiner Meinung nach irrtümlicherweise blockiert wurde, so übermitteln Sie ihm eine Anleitung für die Zugriffsanforderung.

Einstellungen der Komponente "Gerätekontrolle"

Einstellung	Beschreibung
Anfrage auf temporären Zugriff erlauben	Wenn das Kontrollkästchen aktiviert ist, ist die Schaltfläche Zugriff erfragen in der lokalen Programmoberfläche von Kaspersky Endpoint Security verfügbar. Diese Schaltfläche öffnet das Fenster Zugriff auf ein Gerät erfragen. In diesem Fenster kann der Benutzer den temporären Zugriff auf ein blockiertes Gerät erfragen.
Zugriffsregeln für Geräte und WLAN-Netzwerke	Tabelle mit allen verfügbaren Gerätetypen nach der Klassifikation der Komponente "Gerätekontrolle" und dem entsprechenden Zugriffsstatus.
Verbindung von MTP-Geräten im ADB- und iTunes-Modus verbieten	Die Einstellungen für die Zugriffskontrolle auf mobile Android- und iOS-Geräte gehören zu den Einstellungen für tragbare Geräte (MTP). Wenn ein mobiles Gerät mit dem Computer verbunden wird, ermittelt das Betriebssystem den Gerätetyp. Sind auf dem Computer Programme des Typs Android Debug Bridge (ADB), iTunes oder äquivalente Programme installiert, so bestimmt das Betriebssystem die mobilen Geräte als ADB- oder iTunes-Geräte. In den übrigen Fällen kann das Betriebssystem den Typ eines mobilen Gerätes als tragbares Gerät (MTP) für die Dateiübertragung, als PTP-Geräte (Kamera) für die Bildübertragung oder als anderes Gerät bestimmen. Der Gerätetyp ist vom Modell des mobilen Gerätes abhängig. Ist das Kontrollkästchen aktiviert, so verbietet Kaspersky Endpoint Security den Zugriff auf ein mobiles Gerät mithilfe von ADB und iTunes. In diesem Fall kann der Benutzer den Akku des mobilen Gerätes aufladen. Der Zugriff auf ein mobiles Gerät als tragbares Gerät (MTP) oder PTP-Gerät (Kamera) wird durch die Zugriffsregel für diesen Gerätetyp reguliert. Ist das Kontrollkästchen deaktiviert, so reguliert Kaspersky Endpoint Security den Zugriff auf mobile Geräte mithilfe von ADB- und iTunes-Zugriffsregeln für tragbare Geräte (MTP) und PTP-Geräte (Kamera). In diesem Fall kann der Benutzer den Akku des mobilen Gerätes auch dann aufladen, wenn der Zugriff auf tragbare Geräte (MTP) verboten ist.
Schnittstellen	Liste aller verfügbaren Schnittstellen nach der Klassifikation der Komponente "Gerätekontrolle" und die entsprechenden Varianten für den Zugriffsstatus.
Vertrauenswürdige Geräte	Liste der vertrauenswürdigen Geräte und Benutzer, denen der Zugriff auf diese Geräte erlaubt ist.
Anti-Bridging	Anti-Bridging verhindert die Erstellung von Netzwerkbrücken und verhindert zu diesem Zweck, dass gleichzeitig mehrere Netzwerkverbindungen für den Computer hergestellt werden. Dadurch kann das Unternehmensnetzwerk vor Angriffen über ungeschützte und nicht autorisierte Netzwerke geschützt werden. Anti-Bridging blockiert die Herstellung mehrerer Verbindungen, wobei die Prioritäten der Geräte berücksichtigt werden. Je weiter oben ein Gerät auf der Liste steht, desto höher ist seine Priorität. Haben eine aktive Verbindung und eine neue Verbindung den gleichen Typ (z. B. WLAN), so blockiert Kaspersky Endpoint Security die aktive Verbindung und erlaubt die Herstellung der neuen Verbindung. Haben eine aktive Verbindung und eine neue Verbindung unterschiedliche Typen (z. B. Netzwerkadapter und WLAN), so blockiert Kaspersky Endpoint Security die Verbindung mit der niedrigeren Priorität und erlaubt die Herstellung der Verbindung mit der höheren Priorität. Anti-Bridging unterstützt die folgenden Gerätetypen: Netzwerkadapter, WLAN und Modem.
Vorlagen für Nachrichten	Sperrung. Vorlage der Nachricht, die erscheint, wenn der Benutzer auf ein blockiertes Gerät zugreift. Diese Nachricht erscheint auch, wenn der Benutzer versucht, einen Vorgang mit dem Geräteinhalt auszuführen, zu dem dieser Benutzer nicht berechtigt ist. Nachricht an den Administrator. Vorlage für die Nachricht, die an den Administrator des lokalen Unternehmensnetzwerks gesendet wird, wenn die Zugriffsverweigerung auf ein Gerät oder das Verbot eines Vorgangs mit dem Geräteinhalt nach Meinung des Benutzers irrtümlicherweise erfolgt.

Siehe auch Abschnitt zur Programmverwaltung über eine lokale Schnittstelle

Gerätekontrolle aktivieren und deaktivieren

Über Zugriffsregeln

Zugriffsregel für ein Gerät ändern

Ereignisprotokollierung aktivieren und deaktivieren

WLAN-Netzwerk zur Liste der vertrauenswürdigen WLAN-Netzwerke hinzufügen

Zugriffsregel für eine Verbindungsschnittstelle ändern

Aktionen für vertrauenswürdige Geräte

Freigabe eines blockierten Geräts

Meldungsvorlagen für die Gerätekontrolle ändern

Anti-Bridging

Nach oben