Kiểm soát Thiết bị
Thành phần này khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows dành cho máy trạm. Thành phần này không khả dụng nếu Kaspersky Endpoint Security được cài đặt trên một máy tính chạy Windows cho máy chủ.
Kiểm soát thiết bị quản lý quyền truy cập của người dùng đến các thiết bị được cài đặt trên máy tính hoặc kết nối với máy tính (ví dụ, ổ cứng, camera, hoặc mô-đun Wi-Fi). Việc này cho phép bạn bảo vệ máy tính khỏi bị nhiễm độc khi các thiết bị đó được kết nối, và ngăn thất thoát hoặc rò rỉ dữ liệu.
Các cấp truy cập thiết bị
Kiểm soát thiết bị kiểm soát quyền truy cập ở các cấp độ sau:
- Loại thiết bị. Ví dụ, máy in, ổ đĩa di động và ổ CD/DVD.
Bạn có thể cấu hình quyền truy cập thiết bị như sau:
- Cho phép –
. - Chặn –
. - Tùy thuộc vào bus kết nối (ngoại trừ Wi-Fi) –
. - Chặn có loại trừ (chỉ áp dụng với mạng Wi-Fi và thiết bị di động (MTP) -
.
- Cho phép –
- Bus kết nối. Một bus kết nối là một giao diện được sử dụng để kết nối các thiết bị đến máy tính (ví dụ, USB hoặc FireWire). Do đó, bạn có thể hạn chế kết nối của tất cả các thiết bị, ví dụ như qua USB.
Bạn có thể cấu hình quyền truy cập thiết bị như sau:
- Cho phép – .
- Chặn – .
- Cho phép –
- Các thiết bị được tin tưởng. Các thiết bị được tin tưởng là các thiết bị mà những người dùng được quy định trong thiết lập thiết bị được tin tưởng có thể truy cập vào bất cứ lúc nào.
Bạn có thể bổ sung các thiết bị được tin tưởng dựa trên dữ liệu sau:
- Thiết bị theo ID. Mỗi thiết bị có một mã định danh duy nhất (ID phần cứng hay HWID). Bạn có thể xem ID trong thuộc tính thiết bị bằng cách sử dụng công cụ hệ điều hành. ID thiết bị mẫu:
SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Thêm thiết bị theo ID là một cách thuận tiện nếu bạn muốn thêm một số thiết bị cụ thể. - Thiết bị theo model. Mỗi thiết bị có một ID nhà cung cấp (VID) và một ID sản phẩm (PID). Bạn có thể xem ID trong thuộc tính thiết bị bằng cách sử dụng công cụ hệ điều hành. Mẫu để nhập VID và PID:
VID_1234 & PID_5678. Thêm thiết bị theo model là cách thuận tiện nếu bạn sử dụng các thiết bị thuộc một model nhất định trong tổ chức của mình. Bằng cách này, bạn có thể thêm tất cả các thiết bị thuộc model này. - Thiết bị bằng ID đại diện. Nếu bạn đang sử dụng nhiều thiết bị có ID tương tự, bạn có thể thêm thiết bị vào danh sách được tin tưởng bằng cách sử dụng tên đại diện. Ký tự
*sẽ thay thế bất kỳ bộ ký tự nào. Kaspersky Endpoint Security không hỗ trợ ký tự?khi nhập tên đại diện. Ví dụ:WDC_C*. - Thiết bị theo model đại diện. Nếu bạn đang sử dụng nhiều thiết bị có VID hoặc PID tương tự (ví dụ: các thiết bị của cùng một nhà sản xuất), bạn có thể thêm thiết bị vào danh sách được tin tưởng bằng cách sử dụng tên đại diện. Ký tự
*sẽ thay thế bất kỳ bộ ký tự nào. Kaspersky Endpoint Security không hỗ trợ ký tự?khi nhập tên đại diện. Ví dụ:VID_05AC & PID_ *.
- Thiết bị theo ID. Mỗi thiết bị có một mã định danh duy nhất (ID phần cứng hay HWID). Bạn có thể xem ID trong thuộc tính thiết bị bằng cách sử dụng công cụ hệ điều hành. ID thiết bị mẫu:
Kiểm soát thiết bị điều chỉnh quyền truy cập của người dùng đến các thiết bị thông qua các quy tắc truy cập. Kiểm soát thiết bị cũng cho phép bạn lưu các sự kiện kết nối/ngắt kết nối thiết bị. Để lưu các sự kiện, bạn cần cấu hình việc đăng ký sự kiện trong một chính sách.
Nếu quyền truy cập một thiết bị tùy thuộc vào bus kết nối (trạng thái ), Kaspersky Endpoint Security sẽ không lưu các sự kiện kết nối/ngắt kết nối thiết bị. Để cho phép Kaspersky Endpoint Security lưu các sự kiện kết nối/ngắt kết nối thiết bị, hãy cho phép truy cập đến loại thiết bị tương ứng (trạng thái ) hoặc thêm thiết bị vào danh sách tin tưởng.
Khi một thiết bị bị chặn bởi Kiểm soát thiết bị được kết nối đến máy tính, Kaspersky Endpoint Security sẽ chặn quyền truy cập và hiển thị một thông báo (xem hình dưới đây).
Thông báo Kiểm soát thiết bị
Thuật toán vận hành Kiểm soát thiết bị
Kaspersky Endpoint Security sẽ đưa ra quyết định về việc cho phép truy cập đến một thiết bị hay không, sau khi người dùng kết nối thiết bị đến máy tính (xem hình bên dưới).
Thuật toán vận hành Kiểm soát thiết bị
Nếu một thiết bị được kết nối và được cho phép truy cập, bạn có thể chỉnh sửa quy tắc truy cập và chặn quyền truy cập. Trong trường hợp này, lần tới, khi có người cố truy cập thiết bị (như xem cây thư mục hoặc thực hiện hoạt động đọc hay ghi) thì Kaspersky Endpoint Security sẽ chặn quyền truy cập. Một thiết bị không có hệ thống tập tin sẽ chỉ bị chặn ở lần tiếp theo thiết bị này được kết nối.
Nếu một người dùng của máy tính có cài đặt Kaspersky Endpoint Security phải yêu cầu truy cập đến một thiết bị mà người dùng đó tin là đã bị chặn do nhầm lẫn, hãy gửi cho người dùng đó hướng dẫn yêu cầu truy cập.
Cấu hình thành phần Kiểm soát thiết bị
Tham số |
Mô tả |
|---|---|
Cho phép yêu cầu truy cập tạm thời |
Nếu hộp kiểm được chọn, nút Yêu cầu truy cập sẽ có thể được sử dụng thông qua giao diện cục bộ của Kaspersky Endpoint Security. Nhấn vào nút này để mở ra cửa sổ Yêu cầu truy xuất đến thiết bị. Trong cửa sổ này, người dùng có thể yêu cầu truy cập tạm thời đến một thiết bị bị chặn. |
Các quy tắc truy cập cho thiết bị và mạng Wi-Fi |
Bảng này chứa tất cả các loại thiết bị có thể có theo phân loại của thành phần Kiểm soát thiết bị, bao gồm trạng thái truy cập tương ứng của chúng. |
Chặn kết nối của các thiết bị di động trong chế độ ADB và iTunes |
Thiết lập để kiểm soát truy cập đến các thiết bị di động chạy Android hoặc iOS cũng áp dụng cho thiết lập của các thiết bị di động (MTP). Khi một thiết bị di động được kết nối với máy tính, hệ điều hành sẽ quyết định loại thiết bị. Nếu Android Debug Bridge (ADB), iTunes hoặc các ứng dụng tương đương của chúng được cài đặt trên máy tính, hệ điều hành sẽ xác định các thiết bị di động là thiết bị ADB hoặc iTunes. Trong mọi trường hợp, hệ điều hành có thể xác định thiết bị di động đó là thiết bị di động (MTP) để truyền tập tin, thiết bị PTP (camera) để truyền hình ảnh hoặt một thiết bị khác. Loại thiết bị phụ thuộc vào model của thiết bị di động. Nếu chọn hộp kiểm, Kaspersky Endpoint Security sẽ chặn truy cập đến thiết bị di động thông qua ADB hoặc iTunes. Tuy nhiên, người dùng vẫn có thể sạc pin của thiết bị di động đó. Quyền truy cập đến một thiết bị di động được xác định là thiết bị di động (MTP) hoặc thiết bị PTP (camera) được quy định bằng quy tắc truy cập dành cho loại thiết bị cụ thể. Nếu không chọn hộp kiểm, Kaspersky Endpoint Security sẽ quy định truy cập đến các thiết bị di động thông qua ADB và iTunes bằng cách sử dụng các quy tắc truy cập dành cho thiết bị di động (MTP) và thiết bị di động PTP (camera). Tuy nhiên, cho dù bị chặn truy cập đến các thiết bị di động (MTP), người dùng vẫn có thể sạc pin của thiết bị di động đó. |
Các bus kết nối |
Một danh sách tất cả các bus kết nối có thể sử dụng theo phân loại của thành phần Kiểm soát thiết bị, bao gồm trạng thái truy cập tương ứng của chúng. |
Thiết bị được tin tưởng |
Danh sách các thiết bị được tin tưởng và người dùng được cấp quyền truy cập các thiết bị này. |
Anti-Bridging |
Anti-Bridging ngăn tạo các cầu nối mạng bằng cách ngăn thiết lập đồng thời nhiều kết nối mạng cho một máy tính. Tính năng này cho phép bạn bảo vệ mạng doanh nghiệp trước các cuộc tấn công qua mạng không được bảo vệ, mạng phép. Anti-Bridging chặn thiết lập nhiều kết nối theo các mức ưu tiên của thiết bị. Thiết bị có vị trí càng cao trong danh sách thì có mức ưu tiên càng cao. Nếu một kết nối đang hoạt động và một kết nối mới đều cùng loại (như kết nối Wi-Fi), Kaspersky Endpoint Security sẽ chặn kết nối đang hoạt động và cho phép thiết lập kết nối mới. Nếu một kết nối đang hoạt động và một kết nối mới khác loại (ví dụ như kết nối qua bộ điều hợp mạng và kết nối Wi-Fi), Kaspersky Endpoint Security sẽ chặn kết nối có mức ưu tiên thấp hơn và cho phép kết nối có mức ưu tiên cao hơn. Anti-Bridging hỗ trợ hoạt động với các loại thiết bị sau: bộ điều hợp mạng, Wi-Fi và modem. |
Tin nhắn mẫu |
|