Control de dispositivos

Para que pueda usar este componente, Kaspersky Endpoint Security debe estar instalado en un equipo con Windows para estaciones de trabajo. El componente no estará disponible si Kaspersky Endpoint Security se ha instalado en un equipo con Windows para servidores.

El Control de dispositivos administra el acceso de los usuarios a los dispositivos que se instalan o se conectan al equipo (por ejemplo, discos duros, cámaras o módulos Wi-Fi). Esto impide la infección del equipo cuando se conectan dichos dispositivos y evita las pérdidas o fugas de datos.

Niveles de acceso a dispositivos

El Control de dispositivos controla el acceso a los siguientes niveles:

Tipo de dispositivo. Por ejemplo, impresoras, unidades extraíbles y unidades de CD/DVD.
Puede configurar el acceso a los dispositivos de la siguiente manera:
- Permitir – .
- Bloquear – .
- Depende del bus de conexión (excepto Wi-Fi) – .
- Bloquear con excepciones (únicamente Wi-Fi y dispositivos portátiles [MTP]) – .
Bus de conexión. Un bus de conexión es una interfaz utilizada para conectar dispositivos al equipo (por ejemplo, USB o FireWire). De esta forma, puede restringir la conexión de todos los dispositivos, por ejemplo, a través de USB.
Puede configurar el acceso a los dispositivos de la siguiente manera:
- Permitir – .
- Bloquear – .
Dispositivos de confianza. Los dispositivos de confianza son dispositivos a los que los usuarios especificados en la configuración de dispositivos de confianza tienen acceso completo en todo momento.
Puede agregar dispositivos de confianza en función de los siguientes datos:
- Dispositivos por Id. Cada dispositivo tiene un identificador único (id. de hardware, también denominado HWID). Puede ver el Id. en las propiedades del dispositivo usando las herramientas del sistema operativo. Un id. de dispositivo típico podría ser SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Si necesita agregar varios dispositivos específicos, recomendamos agregarlos por id.
- Dispositivos por modelo. Cada dispositivo tiene un id. de proveedor (VID) y un id. de producto (PID). Puede ver los ID. en las propiedades del dispositivo usando las herramientas del sistema operativo. Los valores VID y PID deben especificarse en este formato: VID_1234&PID_5678. Si su organización cuenta con varios dispositivos de un mismo modelo, recomendamos que los agregue por modelo. Podrá agregar todos los dispositivos del mismo modelo con facilidad.
- Dispositivos por máscara de id. Si tiene dispositivos con identificadores similares, puede agregarlos a la lista de dispositivos de confianza utilizando máscaras. El carácter * le permitirá representar cuantos caracteres sea necesario. En Kaspersky Endpoint Security, las máscaras de id. no pueden contener el carácter ?. Una máscara típica podría ser WDC_C*.
- Dispositivos por máscara de modelo. Si tiene dispositivos con identificadores VID o PID similares (por ejemplo, dispositivos de un mismo fabricante), puede utilizar máscaras para agregarlos a la lista de dispositivos de confianza. El carácter * le permitirá representar cuantos caracteres sea necesario. En Kaspersky Endpoint Security, las máscaras de id. no pueden contener el carácter ?. Una máscara típica podría ser VID_05AC & PID_ *.

El Control de dispositivos regula el acceso de los usuarios a los dispositivos usando reglas de acceso. El Control de dispositivos también le permite guardar eventos relacionados con la conexión/desconexión de dispositivos. Para guardar eventos, tiene que configurar el registro de eventos en una directiva.

Cuando el acceso a un dispositivo dependa del bus de conexión (estado DC_Access_to_Bus ), Kaspersky Endpoint Security no guardará ningún evento relacionado con la conexión o desconexión del dispositivo. Para que Kaspersky Endpoint Security guarde los eventos relacionados con la conexión/desconexión de dispositivos, autorice el acceso al tipo de dispositivo correspondiente (estado DC_Access_Allow ) o agregue el dispositivo a la lista de dispositivos de confianza.

Cuando se conecta al equipo un dispositivo que está bloqueado por el Control de dispositivos, Kaspersky Endpoint Security bloqueará el acceso y mostrará que una notificación (consulte la figura a continuación).

KES11_Device_Control_Notofication

Notificación del Control de dispositivos

Algoritmo de funcionamiento del Control de dispositivos

Kaspersky Endpoint Security decide si permitirá el acceso a un dispositivo después de que el usuario conecta el dispositivo al equipo de la siguiente imagen.

KES11_Device_Control_Algoritm

Algoritmo de funcionamiento del Control de dispositivos

Si conecta un dispositivo y se le permite acceder a él, puede editar la regla de acceso y bloquear la posibilidad de utilizarlo. Cuando alguien intente acceder al dispositivo nuevamente (por ejemplo, para ver la estructura de carpetas o para realizar una operación de lectura o escritura), Kaspersky Endpoint Security bloqueará el acceso. Un dispositivo sin un sistema de archivos se bloqueará solo la próxima vez que el dispositivo se conecte.

Si un usuario del equipo con Kaspersky Endpoint Security instalado debe solicitar acceso a un dispositivo que cree fue bloqueado por error, envíe al usuario las instrucciones para solicitar acceso.

La configuración del componente Control de Dispositivos

Parámetro	Descripción
Permitir solicitudes de acceso temporal	Si se selecciona la casilla, el botón Solicitar acceso estará disponible a través de la interfaz local de Kaspersky Endpoint Security. Al hacer clic en este botón, se abrirá la ventana Solicitar acceso al dispositivo. En esta ventana, el usuario puede solicitar acceso temporal a un dispositivo bloqueado.
Reglas de acceso para dispositivos y redes Wi-Fi	Esta tabla muestra todos los tipos de dispositivos posibles según la clasificación del componente Control de dispositivos, junto con sus respectivos estados de acceso.
Bloquear conexión de dispositivos móviles en modos ADB y iTunes	Los ajustes para controlar el acceso a dispositivos móviles con Android o iOS también se aplican a los ajustes para dispositivos portátiles (MTP). Cuando un dispositivo móvil se conecta a un equipo, el sistema operativo determina de qué tipo de dispositivo se trata. Si las aplicaciones Android Debug Bridge (ADB), iTunes o equivalentes están instaladas, el dispositivo móvil se reconoce como dispositivo ADB o iTunes. En los demás casos, se lo reconoce como dispositivo portátil (MTP) capaz de transferir archivos, como dispositivo PTP (o cámara) capaz de transferir imágenes o como otra clase de dispositivo. El tipo de dispositivo depende del modelo de dispositivo móvil. Si se activa esta casilla de verificación, Kaspersky Endpoint Security no permite acceder a un dispositivo móvil a través de ADB o iTunes. Ello no impide cargar la batería del mismo. Cuando un dispositivo se identifica como dispositivo portátil (MTP) o dispositivo PTP (cámara), el acceso se rige por la regla de acceso que se ha definido para ese tipo específico de dispositivo. Si la casilla de verificación se desactiva, Kaspersky Endpoint Security regula el acceso al dispositivo móvil mediante ADB o iTunes basándose en las reglas de acceso para dispositivos portátiles (MTP) y dispositivos PTP (cámaras). Si el acceso a dispositivos portátiles (MTP) está bloqueado, la batería del dispositivo móvil podrá cargarse de todos modos.
Buses de conexión	Una lista con todos los buses de conexión disponibles según la clasificación del componente Control de dispositivos, junto con sus respectivos estados de acceso.
Dispositivos de confianza	Una lista con los dispositivos de confianza y los usuarios que tienen acceso a esos dispositivos.
Anti-Bridging	Anti-Bridging impide establecer conexiones de red simultáneas en un equipo para prevenir la creación de puentes de red. La finalidad es resguardar la red de la empresa de los ataques que puedan realizarse a través de redes desprotegidas y no autorizadas. Para bloquear la posibilidad de establecer más de una conexión, Anti-Bridging tiene en cuenta las prioridades de los dispositivos. Cuanto más arriba en la lista se encuentra un dispositivo, mayor es su prioridad. Cuando una conexión activa y una conexión nueva son del mismo tipo (por ejemplo, Wi-Fi), Kaspersky Endpoint Security bloquea la conexión activa y permite que se establezca la conexión nueva. Cuando una conexión activa y una conexión nueva no son del mismo tipo (por ejemplo, adaptador de red y Wi-Fi), Kaspersky Endpoint Security bloquea la conexión de menor prioridad y autoriza la de mayor prioridad. Anti-Bridging puede operar con los siguientes tipos de dispositivos: adaptador de red, Wi-Fi y módem.
Plantillas de mensajes	Bloqueo. Plantilla del mensaje que aparece cuando un usuario intenta acceder a un dispositivo bloqueado. Este es el mismo mensaje que se muestra cuando un usuario intenta realizar una operación que tiene prohibida con el contenido del dispositivo. Mensaje para el administrador. Plantilla del mensaje que se envía al administrador de la red de área local cuando el usuario considera que el acceso a un dispositivo se ha bloqueado por error o, de manera similar, que la posibilidad de realizar una operación con el contenido de un dispositivo se ha bloqueado por error.

Consulte también: Administración de la aplicación con la interfaz local

Habilitación y deshabilitación del Control de dispositivos

Acerca de las reglas de acceso

Edición de una regla de acceso a dispositivos

Adición o exclusión de registros en el registro de eventos

Incorporación de una red Wi-Fi a la lista de confianza

Edición de una regla de acceso a buses de conexión

Acciones con dispositivos de confianza

Obtención de acceso a un dispositivo bloqueado

Edición de plantillas de mensajes del Control de dispositivos

Anti-Bridging

Inicio de la página