裝置控制

如果 Kaspersky Endpoint Security 安裝在執行 Windows for Workstations 的電腦上，則該元件可用。如果 Kaspersky Endpoint Security 安裝在執行 Windows for Servers 的電腦上，則該元件不可用。

“裝置控制”管理使用者對安裝在電腦上或連線到電腦的裝置（例如，硬碟磁碟機、相機或 Wi-Fi 模組）的存取。這樣可以在連線此類裝置時防護電腦免受感染，並防止遺失或洩漏資料。

裝置存取等級

“裝置控制”控制以下等級的存取權限：

裝置類型。例如，印表機、卸除式磁碟機和 CD/DVD 磁碟機。
您可以按如下方式配置裝置存取權限：
- 允許 – 。
- 封鎖 – 。
- 取決於連線匯流排（Wi-Fi 除外）– 。
- 封鎖但帶有例外（僅限 Wi-Fi 和攜帶式裝置 (MTP)）– 。
連接介面。“連接介面”是用於將裝置連接至電腦的介面（範例 USB 或 FireWire）。因此，您可以限制所有裝置的連線（例如，透過 USB）。
您可以按如下方式配置裝置存取權限：
- 允許 – 。
- 封鎖 – 。
受信任裝置。信任的裝置是指在信任裝置設定中指定的使用者可隨時進行完全存取的裝置。
您可以根據以下資料新增受信任裝置：
- 透過裝置 ID。每個裝置都有一個唯一識別碼（硬體 ID 或 HWID）。您可以使用作業系統工具在裝置內容中檢視 ID。裝置 ID 範例：SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000。如果要新增多個特定裝置，則按 ID 新增裝置很方便。
- “透過裝置型號”。每個裝置都有一個供應商 ID (VID) 和一個產品 ID (PID)。您可以使用作業系統工具在裝置內容中檢視 ID。用於輸入 VID 和 PID 的範本：VID_1234&PID_5678。如果在組織中使用特定型號的裝置，則按型號新增裝置很方便。這樣，您可以新增該型號的所有裝置。
- 按 ID 遮罩選擇裝置。如果您使用多台具有相似 ID 的裝置，則可以使用遮罩將這些裝置新增到受信任清單中。*字元可替換任意一組字元。輸入遮罩時，Kaspersky Endpoint Security 不支援 ? 字元。例如，WDC_C*。
- 按型號遮罩選擇裝置。如果您使用多台具有相似 VID 或 ID 的裝置（例如同一製造商的裝置），則可以使用遮罩將這些裝置新增到受信任清單中。*字元可替換任意一組字元。輸入遮罩時，Kaspersky Endpoint Security 不支援 ? 字元。例如，VID_05AC & PID_ *。

“裝置控制”透過使用存取規則來管理使用者對裝置的存取。“裝置控制”還允許您儲存裝置連線/斷開連線事件。要儲存事件，您需要在政策中配置事件註冊。

如果對裝置的存取權限取決於連線介面（ DC_Access_to_Bus 狀態），Kaspersky Endpoint Security 不會儲存裝置連線/斷開連線事件。要使 Kaspersky Endpoint Security 儲存裝置連線/斷開連線事件，請允許存取相應的裝置類型（ DC_Access_Allow 狀態）或將裝置新增到信任清單。

當被“裝置控制”封鎖的裝置連線到電腦時，Kaspersky Endpoint Security 將封鎖存取並顯示通知（請參見下圖）。

KES11_Device_Control_Notofication

“裝置控制”通知

裝置控制執行演算法

Kaspersky Endpoint Security 在使用者將裝置連接到電腦之後做出是否允許存取該裝置的決定（請參見下圖）。

KES11_Device_Control_Algoritm

裝置控制執行演算法

如果已連線裝置並允許存取，您可以編輯存取規則並封鎖存取。在這種情況下，下次有人嘗試存取該裝置（例如檢視資料夾樹或執行讀取或寫入操作）時，Kaspersky Endpoint Security 會封鎖存取。沒有檔案系統的裝置僅在該裝置下一次連接時被封鎖。

如果已安裝有 Kaspersky Endpoint Security 的電腦上的使用者需要請求被錯誤封鎖的裝置的存取權限，則向該使用者傳送請求存取說明。

裝置控制元件設定

參數	描述
允許臨時存取請求	如果選中此方塊，“請求存取”按鈕將在 Kaspersky Endpoint Security 的本機介面中可用。點擊此按鈕可開啟“請求存取裝置”視窗。在此視窗中，使用者可以請求臨時存取被封鎖的裝置。
裝置和 Wi-Fi 網路的存取規則	該表包含根據裝置控制元件的分類所有可能的裝置類型，包括這些裝置類型各自的存取狀態。
在 ADB 和 iTunes 模式下封鎖連線行動裝置	用於控制對執行 Android 或 iOS 的行動裝置的存取的設定也適用於可攜式裝置 (MTP) 的設定。當某個行動裝置連線到電腦時，作業系統會確定裝置類型。如果電腦上安裝了 Android 診斷橋 (ADB)、iTunes 或其等效應用程式，作業系統會將行動裝置辨識為 ADB 或 iTunes 裝置。在所有其他情況下，作業系統可能將行動裝置類型辨識為用於檔案傳輸的可攜式裝置 (MTP)、用於影像傳輸的 PTP 裝置（相機）或其他裝置。裝置類型取決於行動裝置的型號。如果選中該核取方塊，Kaspersky Endpoint Security 將封鎖透過 ADB 或 iTunes 存取行動裝置。但是，使用者仍然可以為行動裝置的電池充電。對標識為可攜式裝置 (MTP) 或 PTP 裝置（相機）的行動裝置的存取受特定裝置類型存取規則的控制。如果清除該核取方塊，Kaspersky Endpoint Security 將使用可攜式裝置 (MTP) 和 PTP 裝置（相機）的存取規則來控制透過 ADB 和 iTunes 對行動裝置的存取。但是，即使封鎖對可攜式裝置 (MTP) 的存取，使用者仍然可以為行動裝置的電池充電。
連接介面	符合“裝置控制”元件分類的所有可用連接介面的清單，包括這些連接介面各自的存取狀態。
受信任裝置	被授權存取這些裝置的受信任裝置和使用者的清單。
橋接防護	橋接防護透過封鎖為一台電腦同時建立多個網路連線來禁止建立橋接器。這樣可以防護公司網路避免未受防護和未經授權的網路上的攻擊。橋接防護根據裝置的優先順序封鎖建立多個連線。裝置在清單中的位置越高，優先順序越高。如果活動連線和新連線屬於同一類型（例如 Wi-Fi），則 Kaspersky Endpoint Security 會封鎖活動連線並允許建立新連線。如果活動連線和新連線屬於不同類型（例如，網路介面卡和 Wi-Fi），則 Kaspersky Endpoint Security 會封鎖具有較低優先順序的連線，允許具有較高優先順序的連線。橋接防護支援以下類型的裝置的操作：網路介面卡、Wi-Fi 和數據機。
訊息範本	封鎖。當使用者嘗試存取封鎖的裝置時所顯示的訊息的範本。當使用者嘗試對被封鎖使用的裝置內容執行操作時，也會顯示此訊息。傳送給管理員的訊息。當使用者確信裝置的存取權限或裝置內容操作被錯誤地禁止時，傳送給 LAN 管理員的訊息的範本。

另請參閱：透過本機介面管理應用程式

頁面頂部