Control de dispositivos

Este componente está disponible si Kaspersky Endpoint Security se instala en un equipo con Windows para estaciones de trabajo. Este componente no está disponible si Kaspersky Endpoint Security está instalado en un equipo con Windows para servidores.

Control de dispositivos administra el acceso de los usuarios a dispositivos instalados o conectados al equipo (por ejemplo, discos duros, cámaras o módulos Wi-Fi). Esto le permite proteger el equipo de infecciones cuando se conectan los dispositivos; y se evitan pérdidas o fugas de datos.

Niveles de acceso a dispositivos

Control de dispositivos controla el acceso a los siguientes niveles:

Tipo de dispositivo. Por ejemplo, impresoras, unidades extraíbles y unidades de CD/DVD.
Puede configurar el acceso a los dispositivos del siguiente modo:
- Autorizar – .
- Bloquear – .
- Depende del bus de conexión (excepto para Wi-Fi) –.
- Bloquear con excepciones (únicamente Wi-Fi y dispositivos portátiles [MTP]) – .
Bus de conexión. Un bus de conexión es una interfaz usada para conectar dispositivos al equipo (por ejemplo, USB o FireWire). Por lo tanto, puede restringir la conexión de todos los dispositivos, por ejemplo, vía USB.
Puede configurar el acceso a los dispositivos del siguiente modo:
- Autorizar – .
- Bloquear – .
Dispositivos de confianza. Los dispositivos de confianza son dispositivos a los que los usuarios especificados en la configuración de dispositivos de confianza tienen acceso total en todo momento.
Puede añadir dispositivos de confianza según los siguientes datos:
- Dispositivos por ID. Cada dispositivo tiene un identificador exclusivo (ID de hardware o HWID). Puede ver el ID en las propiedades del dispositivo usando herramientas del sistema operativo. ID de dispositivo de ejemplo: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Agregar dispositivos por ID es conveniente si desea agregar varios dispositivos específicos.
- Dispositivos por modelo. Cada dispositivos tiene un ID de proveedor (VID) y un ID de producto (PID). Puede ver los ID en las propiedades del dispositivo usando herramientas del sistema operativo. Plantilla para introducir el VID y el PID: VID_1234&PID_5678. Agregar dispositivos por modelo es conveniente si utiliza dispositivos de un modelo concreto en su organización. De este modo, puede agregar todos los dispositivos de este modelo.
- Dispositivos por máscara de ID. Si utiliza varios dispositivos con ID similares, puede agregar dispositivos a la lista de confianza usando máscaras. El carácter * sustituye cualquier conjunto de caracteres. Kaspersky Endpoint Security no admite el carácter ? al introducir una máscara. Por ejemplo, WDC_C*.
- Dispositivos por máscara de modelo. Si utiliza varios dispositivos con VID y PID similares (por ejemplo, dispositivos del mismo fabricante), puede agregar dispositivos a la lista de confianza usando máscaras. El carácter * sustituye cualquier conjunto de caracteres. Kaspersky Endpoint Security no admite el carácter ? al introducir una máscara. Por ejemplo, VID_05AC & PID_ *.

Control de dispositivos regula el acceso de los usuarios a dispositivos usando reglas de acceso. Control de dispositivos también le permite guardar eventos de conexión/desconexión de dispositivos. Para guardar eventos, tiene que configurar el registro de eventos en una directiva.

Cuando el acceso a un dispositivo dependa del bus de conexión (estado DC_Access_to_Bus ), Kaspersky Endpoint Security no guardará ningún evento relacionado con la conexión o desconexión del dispositivo. Para que Kaspersky Endpoint Security guarde eventos de conexión/desconexión, debe autorizar el acceso al tipo de dispositivo correspondiente (estado DC_Access_Allow ) o agregar el dispositivo a la lista de dispositivos de confianza.

Cuando un dispositivo que está bloqueado por Control de dispositivos se conecte al equipo, Kaspersky Endpoint Security bloqueará el acceso y mostrará una notificación (véase la figura siguiente).

KES11_Device_Control_Notofication

Notificación de Control de dispositivos

Algoritmo de funcionamiento de Control de dispositivos

Kaspersky Endpoint Security toma una decisión sobre si permitir el acceso a un dispositivo después de que el usuario conecte un dispositivo al equipo de la siguiente imagen.

KES11_Device_Control_Algoritm

Algoritmo de funcionamiento de Control de dispositivos

Si conecta un dispositivo y se le permite acceder a él, puede editar la regla de acceso y bloquear la posibilidad de utilizarlo. Cuando alguien intente acceder al dispositivo nuevamente (por ejemplo, para ver la estructura de carpetas o para realizar una operación de lectura o escritura), Kaspersky Endpoint Security bloqueará el acceso. Un dispositivo sin sistema de archivos solo se bloquea la próxima vez que se conecta el dispositivo.

Si un usuario del equipo donde se ha instalado Kaspersky Endpoint Security debe solicitar el acceso a un dispositivo que el usuario cree que se bloqueó por equivocación, envíe al usuario las instrucciones para solicitar acceso.

La configuración del componente Control de Dispositivos

Parámetro	Descripción
Permitir solicitudes de acceso temporal	Si se selecciona la casilla de verificación, el botón Solicitar acceso está disponible a través de la interfaz local de Kaspersky Endpoint Security. Al hacer clic en este botón, se abre la ventana Solicitar acceso al dispositivo. En esta ventana, el usuario puede solicitar acceso temporal a un dispositivo bloqueado.
Reglas de acceso para dispositivos y redes Wi-Fi	Esta tabla muestra todos los tipos de dispositivos posibles según la clasificación del componente Control de dispositivos, junto con sus respectivos estados de acceso.
Bloquear conexión de dispositivos móviles en modos ADB y iTunes	Los ajustes para controlar el acceso a dispositivos móviles con Android o iOS también se aplican a los ajustes para dispositivos portátiles (MTP). Cuando un dispositivo móvil se conecta a un equipo, el sistema operativo determina de qué tipo de dispositivo se trata. Si las aplicaciones Android Debug Bridge (ADB), iTunes o equivalentes están instaladas, el dispositivo móvil se reconoce como dispositivo ADB o iTunes. En los demás casos, se lo reconoce como dispositivo portátil (MTP) capaz de transferir archivos, como dispositivo PTP (o cámara) capaz de transferir imágenes o como otra clase de dispositivo. El tipo de dispositivo depende del modelo de dispositivo móvil. Si se activa esta casilla de verificación, Kaspersky Endpoint Security no permite acceder a un dispositivo móvil a través de ADB o iTunes. La batería del dispositivo móvil podrá cargarse de todos modos. Cuando un dispositivo se identifica como dispositivo portátil (MTP) o dispositivo PTP (cámara), el acceso se rige por la regla de acceso que se ha definido para ese tipo específico de dispositivo. Si la casilla de verificación se desactiva, Kaspersky Endpoint Security regula el acceso al dispositivo móvil mediante ADB o iTunes basándose en las reglas de acceso para dispositivos portátiles (MTP) y dispositivos PTP (cámaras). Si el acceso a dispositivos portátiles (MTP) está bloqueado, la batería del dispositivo móvil podrá cargarse de todos modos.
Buses de conexión	Una lista con todos los buses de conexión disponibles según la clasificación del componente Control de dispositivos, junto con sus respectivos estados de acceso.
Dispositivos de confianza	Una lista con los dispositivos de confianza y los usuarios que tienen acceso a esos dispositivos.
Anti-Bridging	Anti-Bridging impide establecer conexiones de red simultáneas en un equipo para prevenir la creación de puentes de red. La finalidad es resguardar la red de la empresa de los ataques que puedan realizarse a través de redes desprotegidas y no autorizadas. Para bloquear la posibilidad de establecer más de una conexión, Anti-Bridging tiene en cuenta las prioridades de los dispositivos. Cuanto más arriba en la lista se encuentra un dispositivo, mayor es su prioridad. Cuando una conexión activa y una conexión nueva son del mismo tipo (por ejemplo, Wi-Fi), Kaspersky Endpoint Security bloquea la conexión activa y permite que se establezca la conexión nueva. Cuando una conexión activa y una conexión nueva no son del mismo tipo (por ejemplo, adaptador de red y Wi-Fi), Kaspersky Endpoint Security bloquea la conexión de menor prioridad y autoriza la de mayor prioridad. Anti-Bridging puede operar con los siguientes tipos de dispositivos: adaptador de red, Wi-Fi y módem.
Plantillas de mensajes	Bloqueo. Plantilla del mensaje que aparece cuando un usuario intenta acceder a un dispositivo bloqueado. Este es el mismo mensaje que se muestra cuando un usuario intenta realizar una operación que tiene prohibida con el contenido del dispositivo. Mensaje para el administrador. Una plantilla del mensaje que se envía al administrador de la LAN cuando el usuario cree que el acceso al dispositivo está bloqueado o que se ha prohibido una operación con el contenido del dispositivo por error.

Vea también: Administración de la aplicación con la interfaz local

Activación y desactivación del Control de dispositivos

Sobre las reglas de acceso

Edición de una regla de acceso a dispositivos

Agregar o excluir archivos al registro del evento o desde él

Agregar una red Wi-Fi a la lista de confianza

Edición de una regla de acceso a bus de conexión

Acciones con dispositivos de confianza

Obtención de acceso a un dispositivo bloqueado

Edición de plantillas de mensajes de Control de dispositivos

Anti-Bridging

Inicio de página