デバイスコントロール

このコンポーネントは、ワークステーション用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合に利用できます。このコンポーネントは、サーバー用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合は利用できません。

デバイスコントロールは、コンピューターに内蔵ないし接続されているデバイスへのユーザーアクセスを管理します(例:ハードディスク、カメラ、Wi-Fi モジュール)。これにより、こうしたデバイスが接続されたときにコンピューターを感染から保護し、データの損失や漏洩を防ぐことができます。

デバイスへのアクセスの判定基準

デバイスコントロールは、次の情報に基づいてアクセスをコントロールできます。

デバイスコントロールは、アクセスルールを使用してデバイスへのユーザーアクセスを管理します。デバイスコントロールでは、デバイスの接続や切断のイベントを保存することもできます。イベントを保存するには、ポリシー内でイベントの記録を設定する必要があります。

デバイスへのアクセスが接続バスに依存する場合(デバイスコントロール_アクセス_バス ステータスの場合)、Kaspersky Endpoint Security ではデバイスの接続イベントと切断イベントが保存されません。Kaspersky Endpoint Security でデバイスの接続イベントと切断イベントを保存するには、デバイスへのアクセスを許可する(デバイスコントロール_アクセス_許可 ステータス)か、デバイスを信頼リストに追加します。

デバイスコントロールでブロックされているデバイスがコンピューターに接続された場合、Kaspersky Endpoint Security はアクセスをブロックし通知を表示します(以下の図を参照)。

KES11_Device_Control_Notofication

デバイスコントロールの通知

デバイスコントロールの動作アルゴリズム

ユーザーがデバイスをコンピューターに接続すると、Kaspersky Endpoint Security はデバイスへのアクセスを許可するかどうかを決定します(以下の図を参照)。

KES11_Device_Control_Algoritm

デバイスコントロールの動作アルゴリズム

デバイスが接続されてアクセスが許可されている状況で、アクセスをブロックするようにアクセスルールを編集できます。この場合、(フォルダーの内容の表示や、読み取りまたは書き込みの実行など)次にデバイスへのアクセスが試行されたときに、Kaspersky Endpoint Security はアクセスをブロックします。ファイルシステムのないデバイスは、次回デバイスが接続されたときにのみブロックされます。

Kaspersky Endpoint Security がインストールされているコンピューターのユーザーが、誤ってブロックされたと考えられるデバイスへのアクセスを要求できるようにするには、アクセス要求の手順を伝えます。

デバイスコントロールの設定

パラメータ

説明

一時アクセスの要求を許可する

このチェックボックスをオンにすると、Kaspersky Endpoint Security のローカルインターフェイスで[アクセスを要求する]が有効になります。このボタンをクリックすると、[デバイスへのアクセス要求]ウィンドウが表示されます。このウィンドウでは、ユーザーがブロックデバイスへの一時アクセスを要求できます。

デバイスと Wi-Fi ネットワークのアクセスルール

このテーブルには、各アクセスステータスなど、デバイスコントロールの分類に従って、考えられるすべてのデバイスの種類が表示されます。

ADB モードおよび iTunes モードのモバイルデバイスからの接続をブロック

Android または iOS モバイルデバイスへのアクセスをコントロールするための設定は、ポータブルデバイス(MTP)へのアクセスをコントロールするための設定と以下のかたちで関連します。モバイルデバイスがコンピューターに接続されると、コンピューターのオペレーティングシステムがデバイスの種別を識別します。ADB(Android Debug Bridge)または iTunes(または同等のアプリケーション)がコンピューターにインストールされている場合、コンピューターのオペレーティングシステムはモバイルデバイスを ADB デバイスまたは iTunes デバイスとして認識します。それ以外の場合、オペレーティングシステムはモバイルデバイスを、ファイル転送用のポータブルデバイス(MTP)や画像転送用の PTP デバイス(カメラ)などの別のデバイスとして認識します。判定されるデバイスの種別は、モバイルデバイスの機種によって異なります。

このチェックボックスをオンにすると、Kaspersky Endpoint Security は ADB または iTunes 経由でのモバイルデバイスのアクセスをブロックします。ただし、アクセスがブロックされていても、モバイルデバイスの充電は可能です。ポータブルデバイス(MTP)や PTP デバイス(カメラ)として認識されたモバイルデバイスへのアクセスは、該当する種別のデバイスに対するアクセスルールによって規定されます。

このチェックボックスがオフの場合、ADB または iTunes 経由でのモバイルデバイスのアクセスは、ポータブルデバイス(MTP)と PTP デバイス(カメラ)用のアクセスルールを使用してコントロールされます。ただし、ポータブルデバイス(MTP)へのアクセスがブロックされている場合でも、モバイルデバイスの充電は可能です。

接続バス

それぞれのアクセスルールのステータスなど、デバイスコントロールの分類に従って、すべての使用可能な接続バスのリストが表示されます。

信頼するデバイス

信頼するデバイスと、それぞれのデバイスに対してアクセス権が付与されているユーザーのリストです。

アンチブリッジ

アンチブリッジは、ネットワークブリッジの作成をブロックし、コンピューターで複数のネットワーク接続が同時に確立することを防止します。この機能を使用することで、セキュリティ保護が不十分で接続が許可されていないネットワークから社内ネットワークを保護できます。

アンチブリッジは、デバイスの優先度を参照することで、複数のネットワーク接続の確立をブロックします。デバイスのリスト上の位置が高くなるほど、優先度が高くなります。

現在有効な接続と新しい接続の種別が同じ場合(たとえば、両方とも Wi-Fi など)、Kaspersky Endpoint Security は現在有効な接続をブロックし、新しい接続の確立を許可します。

現在有効な接続と新しい接続の種別が異なる場合(たとえば、1 つはネットワークアダプターでもう 1 つは Wi-Fi など)、Kaspersky Endpoint Security は優先度が低い方の接続をブロックし、優先度が高い方の接続を許可します。

アンチブリッジの使用がサポートされるのは、次の種別のデバイスです:ネットワークアダプター、Wi-Fi、モデム。

メッセージのテンプレート

  • ブロック:ユーザーがブロック対象のデバイスにアクセスしようとしたときに表示されるメッセージのテンプレート。ユーザーが、アクセスがブロックされているデバイスに含まれるファイルに対するファイル操作を試行した場合にも、このメッセージが表示されます。
  • 管理者に送信するメッセージ:そのデバイスへのアクセスが誤ってブロックされている場合、またはデバイスの操作が誤ってブロックされている場合に、ユーザーが LAN 管理者に送信するメッセージのテンプレートが含まれています。

参照:製品のローカルインターフェイスを使用した管理

デバイスコントロールの有効化と無効化

アクセスルールの概要

デバイスアクセスルールの編集

イベントログでのレコードの追加と除外

信頼する Wi-Fi ネットワークの追加

接続バスアクセスルールの編集

信頼するデバイスを使用した処理

ブロックされたデバイスへのアクセスの取得

デバイスコントロールメッセージのテンプレートの編集

アンチブリッジ

ページのトップに戻る