デバイスコントロール

このコンポーネントは、ワークステーション用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合に利用できます。このコンポーネントは、サーバー用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合は利用できません。

デバイスコントロールは、コンピューターに内蔵ないし接続されているデバイスへのユーザーアクセスを管理します（例：ハードディスク、カメラ、Wi-Fi モジュール）。これにより、こうしたデバイスが接続されたときにコンピューターを感染から保護し、データの損失や漏洩を防ぐことができます。

デバイスへのアクセスの判定基準

デバイスコントロールは、次の情報に基づいてアクセスをコントロールできます。

• デバイス種別：プリンター、リムーバブルドライブ、CD/DVD ドライブなどの種別。

  次のようにデバイスアクセスを設定できます：

  • 許可：
  • ブロック：
  • バスの種類に依存（Wi-Fi を除く）：
  • 例外を除きブロック（Wi-Fi とポータブルデバイス（MTP）のみ）：
• 接続バス：接続バスとは、コンピューターへのデバイスの接続に使用されるインターフェイスです（例：USB、FireWire）。これにより、たとえば USB など特定の接続バスを使用して接続されるすべてのデバイスの接続を制限できます。

  次のようにデバイスアクセスを設定できます：

  • 許可：
  • ブロック：
• 信頼するデバイス：「信頼するデバイス」は、信頼するデバイスの設定で指定されたユーザーが常にフルアクセスできるデバイスです。

  次のデータに基づいて信頼するデバイスを追加できます。

  • ID によるデバイス：各デバイスには固有の識別子があります（ハードウェア ID、または HWID）。これらの ID は、オペレーティングシステムのツールを使用してデバイスのプロパティで確認できます。デバイス ID の例：SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000特定のデバイスを複数追加する場合は、ID でデバイスを追加すると便利です。
  • モデルによるデバイス：各デバイスには製造元 ID （VID）および製品 ID （PID）があります。これらの ID は、オペレーティングシステムのツールを使用してデバイスのプロパティで確認できます。VID および PID の入力用テンプレート：VID_1234&PID_5678組織内で特定のモデルのデバイスを使用する場合は、モデルでデバイスを追加すると便利です。この方法を使用することで、このモデルのデバイスをすべて追加できます。
  • ID マスクによるデバイス：ID が類似する複数のデバイスを使用している場合、マスクを使用してデバイスを信頼リストに追加できます。* 文字は、任意の文字列を置き換えます。Kaspersky Endpoint Security では、マスクでの「?」記号の使用をサポートしていません。例：WDC_C*
  • モデルマスクによるデバイス：同一の VID または PID を持つ複数のデバイス（たとえば、製作元が同じデバイス）を使用している場合、マスクを使用してデバイスを信頼リストへ追加できます。* 文字は、任意の文字列を置き換えます。Kaspersky Endpoint Security では、マスクでの「?」記号の使用をサポートしていません。例：「VID_05AC & PID_ *」。

デバイスコントロールは、アクセスルールを使用してデバイスへのユーザーアクセスを管理します。デバイスコントロールでは、デバイスの接続や切断のイベントを保存することもできます。イベントを保存するには、ポリシー内でイベントの記録を設定する必要があります。

デバイスへのアクセスが接続バスに依存する場合（ ステータスの場合）、Kaspersky Endpoint Security ではデバイスの接続イベントと切断イベントが保存されません。Kaspersky Endpoint Security でデバイスの接続イベントと切断イベントを保存するには、デバイスへのアクセスを許可する（ ステータス）か、デバイスを信頼リストに追加します。

デバイスコントロールでブロックされているデバイスがコンピューターに接続された場合、Kaspersky Endpoint Security はアクセスをブロックし通知を表示します（以下の図を参照）。

デバイスコントロールの通知

デバイスコントロールの動作アルゴリズム

ユーザーがデバイスをコンピューターに接続すると、Kaspersky Endpoint Security はデバイスへのアクセスを許可するかどうかを決定します（以下の図を参照）。

デバイスコントロールの動作アルゴリズム

デバイスが接続されてアクセスが許可されている状況で、アクセスをブロックするようにアクセスルールを編集できます。この場合、（フォルダーの内容の表示や、読み取りまたは書き込みの実行など）次にデバイスへのアクセスが試行されたときに、Kaspersky Endpoint Security はアクセスをブロックします。ファイルシステムのないデバイスは、次回デバイスが接続されたときにのみブロックされます。

Kaspersky Endpoint Security がインストールされているコンピューターのユーザーが、誤ってブロックされたと考えられるデバイスへのアクセスを要求できるようにするには、アクセス要求の手順を伝えます。

このセクションの内容 デバイスコントロールの有効化と無効化 アクセスルールの概要 デバイスアクセスルールの編集 イベントログでのレコードの追加と除外 信頼する Wi-Fi ネットワークの追加 接続バスアクセスルールの編集 信頼するデバイスを使用した処理 ブロックされたデバイスへのアクセスの取得 デバイスコントロールメッセージのテンプレートの編集 ホワイトリストモードを実装するためのベストプラクティス アンチブリッジ

ページのトップに戻る