设备控制

如果 Kaspersky Endpoint Security 安装在运行 Windows for Workstations 的计算机上，则该组件可用。如果 Kaspersky Endpoint Security 安装在运行 Windows for Servers 的计算机上，则该组件不可用。

“设备控制”管理用户对安装在计算机上或连接到计算机的设备（例如，硬盘驱动器、相机或 Wi-Fi 模块）的访问。这样可以在连接此类设备时保护计算机免受感染，并防止丢失或泄漏数据。

设备访问级别

“设备控制”控制以下级别的访问权限：

设备类型。例如，打印机、可移动驱动器和 CD/DVD 驱动器。
您可以按如下方式配置设备访问权限：
- 允许 – 。
- 阻止 – 。
- 取决于连接总线（Wi-Fi 除外）– 。
- 阻止但带有例外（仅限 Wi-Fi 和便携式设备 (MTP)）– 。
连接总线。“连接总线”是用于将设备连接到计算机的接口（例如 USB 或 FireWire）。因此，您可以限制所有设备的连接（例如，通过 USB）。
您可以按如下方式配置设备访问权限：
- 允许 – 。
- 阻止 – 。
受信任设备。受信任的设备是指在受信任设备设置中指定的用户可随时进行完全访问的设备。
您可以根据以下数据添加受信任设备：
- 按 ID 添加设备。每个设备都有一个唯一的标识符（硬件 ID 或 HWID）。您可以使用操作系统工具在设备属性中查看 ID。设备 ID 示例：SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000。如果要添加多个特定设备，则按 ID 添加设备很方便。
- 按型号添加设备。每个设备都有一个供应商 ID (VID) 和一个产品 ID (PID)。您可以使用操作系统工具在设备属性中查看 ID。用于输入 VID 和 PID 的模板：VID_1234&PID_5678。如果在组织中使用特定型号的设备，则按型号添加设备很方便。这样，您可以添加该型号的所有设备。
- 按 ID 掩码选择设备.如果您使用多台具有相似 ID 的设备，则可以使用掩码将这些设备添加到受信任列表。* 字符可替换任意一组字符。输入掩码时，Kaspersky Endpoint Security 不支持 ? 字符。例如，WDC_C*。
- 按型号掩码选择设备。如果使用多个具有相似 VID 或 PID 的设备（例如，同一制造商的设备），则可以使用掩码将设备添加到受信任列表。* 字符可替换任意一组字符。输入掩码时，Kaspersky Endpoint Security 不支持 ? 字符。例如，VID_05AC & PID_ *。

“设备控制”通过使用访问规则来管理用户对设备的访问。“设备控制”还允许您保存设备连接/断开连接事件。要保存事件，您需要在策略中配置事件注册。

如果对设备的访问权限取决于连接总线（ DC_Access_to_Bus 状态），Kaspersky Endpoint Security 不会保存设备连接/断开连接事件。要使 Kaspersky Endpoint Security 保存设备连接/断开连接事件，请允许访问相应的设备类型（ DC_Access_Allow 状态）或将设备添加到信任列表。

当被“设备控制”阻止的设备连接到计算机时，Kaspersky Endpoint Security 将阻止访问并显示通知（请参见下图）。

KES11_Device_Control_Notofication

“设备控制”通知

设备控制运行算法

Kaspersky Endpoint Security 在用户将设备连接到计算机之后做出是否允许访问该设备的决定（请参见下图）。

KES11_Device_Control_Algoritm

设备控制运行算法

如果已连接设备并允许访问，您可以编辑访问规则并阻止访问。在这种情况下，下次有人尝试访问该设备（例如查看文件夹树或执行读取或写入操作）时，Kaspersky Endpoint Security 会阻止访问。没有文件系统的设备仅在该设备下一次连接时被阻止。

如果已安装有 Kaspersky Endpoint Security 的计算机上的用户需要请求被错误阻止的设备的访问权限，则向该用户发送请求访问说明。

设备控制组件设置

参数	描述
允许临时访问请求	如果选中此选框，“请求访问”按钮将在 Kaspersky Endpoint Security 的本地界面中可用。单击该按钮可打开“请求访问设备”窗口。在此窗口中，用户可以请求临时访问被阻止的设备。
设备和 Wi-Fi 网络的访问规则	该表包含根据设备控制组件的分类所有可能的设备类型，包括这些设备类型各自的访问状态。
在 ADB 和 iTunes 模式下阻止连接移动设备	用于控制对运行 Android 或 iOS 的移动设备的访问的设置也适用于便携式设备 (MTP) 的设置。当某个移动设备连接到计算机时，操作系统会确定设备类型。如果计算机上安装了 Android 调试桥 (ADB)、iTunes 或其等效应用程序，操作系统会将移动设备识别为 ADB 或 iTunes 设备。在所有其他情况下，操作系统可能将移动设备类型识别为用于文件传输的便携式设备 (MTP)、用于图像传输的 PTP 设备（相机）或其他设备。设备类型取决于移动设备的型号。如果选中该复选框，Kaspersky Endpoint Security 将阻止通过 ADB 或 iTunes 访问移动设备。但是，用户仍然可以为移动设备的电池充电。对标识为便携式设备 (MTP) 或 PTP 设备（相机）的移动设备的访问受特定设备类型访问规则的控制。如果清除该复选框，Kaspersky Endpoint Security 将使用便携式设备 (MTP) 和 PTP 设备（相机）的访问规则来控制通过 ADB 和 iTunes 对移动设备的访问。但是，即使阻止对便携式设备 (MTP) 的访问，用户仍然可以为移动设备的电池充电。
连接总线	符合“设备控制”组件分类的所有可用连接总线的列表，包括这些连接总线各自的访问状态。
受信任设备	被授权访问这些设备的受信任设备和用户的列表。
反桥接	反桥接通过阻止为一台计算机同时建立多个网络连接来禁止创建网桥。这样可以保护公司网络避免未受保护和未经授权的网络上的攻击。反桥接根据设备的优先级阻止建立多个连接。设备在列表中的位置越高，优先级越高。如果活动连接和新连接属于同一类型（例如 Wi-Fi），则 Kaspersky Endpoint Security 会阻止活动连接并允许建立新连接。如果活动连接和新连接属于不同类型（例如，网络适配器和 Wi-Fi），则 Kaspersky Endpoint Security 会阻止具有较低优先级的连接，允许具有较高优先级的连接。反桥接支持以下类型的设备的操作：网络适配器、Wi-Fi 和调制解调器。
消息模板	阻止。当用户尝试访问阻止的设备时所显示的消息的模板。当用户尝试对被阻止使用的设备内容执行操作时，也会显示此消息。发送给管理员的消息。当用户确信设备的访问权限或设备内容操作被错误地禁止时，发送给 LAN 管理员的消息的模板。

另请参阅：通过本地界面管理应用程序

页面顶部