Quản lý quyền truy cập thiết bị di động
Kaspersky Endpoint Security cho phép bạn quản lý thiết bị di động Android và iOS. Các thiết bị di động thuộc danh mục thiết bị di động (MTP). Do đó, để cấu hình quyền truy cập thiết bị di động, bạn phải chỉnh sửa thiết lập truy cập cho thiết bị di động (MTP).
Khi một thiết bị di động được kết nối với máy tính, hệ điều hành sẽ quyết định loại thiết bị. Nếu Android Debug Bridge (ADB), iTunes hoặc các ứng dụng tương đương của chúng được cài đặt trên máy tính, hệ điều hành sẽ xác định các thiết bị di động là thiết bị ADB hoặc iTunes. Trong mọi trường hợp, hệ điều hành có thể xác định thiết bị di động đó là thiết bị di động (MTP) để truyền tập tin, thiết bị PTP (camera) để truyền hình ảnh hoặt một thiết bị khác. Loại thiết bị sẽ phụ thuộc vào kiểu máy của thiết bị di động và chế độ kết nối USB đã chọn. Kaspersky Endpoint Security cho phép bạn cấu hình các quy tắc truy cập riêng cho thiết bị di động trong ứng dụng ADB. Trong tất cả các trường hợp khác, thành phần Kiểm soát thiết bị sẽ cho phép truy cập thiết bị di động theo quy tắc truy cập thiết bị di động (MTP), bao gồm quyền truy cập vào thiết bị di động trong ứng dụng iTunes.
Truy cập thiết bị di động
Các thiết bị di động thuộc danh mục thiết bị di động (MTP), do đó, chúng có cùng thiết lập. Bạn có thể chọn một trong các chế độ truy cập thiết bị di động sau đây:
- Cho phép
. Kaspersky Endpoint Security cho phép truy cập đầy đủ thiết bị di động. Bạn có thể mở, tạo, sửa đổi, sao chép hoặc xóa tập tin trên thiết bị di động bằng trình quản lý tập tin hoặc ứng dụng ADB và iTunes. Bạn cũng có thể sạc pin của thiết bị bằng cách kết nối thiết bị di động với cổng USB của máy tính. - Chặn
. Kaspersky Endpoint Security hạn chế quyền truy cập thiết bị di động trong trình quản lý tập tin cũng như các ứng dụng ADB và iTunes. Ứng dụng này chỉ cho phép truy cập thiết bị di động được tin tưởng. Bạn cũng có thể sạc pin của thiết bị bằng cách kết nối thiết bị di động với cổng USB của máy tính. - Tùy thuộc vào bus kết nối
. Kaspersky Endpoint Security sẽ cho phép kết nối với thiết bị di động theo Trạng thái kết nối USB (Cho phép
hoặc Chặn
). - Bởi quy tắc
. Kaspersky Endpoint Security hạn chế quyền truy cập thiết bị di động theo các quy tắc. Trong quy tắc, bạn có thể cấu hình quyền truy cập (đọc/ghi) cho thiết bị di động (MTP), chọn người dùng hoặc nhóm người dùng có thể có quyền truy cập thiết bị di động (MTP) và cấu hình lịch truy cập cho thiết bị di động. Bạn cũng có thể hạn chế quyền truy cập các thiết bị bằng ứng dụng ADB.
Cấu hình quy tắc truy cập thiết bị di động
Cách cấu hình quy tắc truy cập thiết bị di động trong Bảng điều khiển quản trị (MMC)
- Mở Bảng điều khiển quản trị Kaspersky Security Center.
- Trong cây bảng điều khiển, hãy chọn Policies.
- Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
- Trong cửa sổ chính sách, hãy chọn Kiểm soát bảo mật → Kiểm soát thiết bị.
- Trong mục Thiết lập Kiểm soát thiết bị, hãy chọn thẻ Các loại thiết bị.
Bảng này liệt kê các quy tắc truy cập cho tất cả các thiết bị có trong phân loại của thành phần Kiểm soát thiết bị.
- Trong menu ngữ cảnh cho loại thiết bị Thiết bị di động (MTP), hãy cấu hình chế độ truy cập thiết bị di động: Cho phép
, Chặn
hoặc Tùy thuộc vào bus kết nối
. - Để cấu hình quy tắc truy cập thiết bị di động, hãy nhấn đúp để mở danh sách quy tắc.
- Cấu hình quy tắc truy cập thiết bị di động:
- Trong mục Quy tắc truy cập, hãy nhấn nút Thêm.
Thao tác này sẽ mở ra một cửa sổ để thêm quy tắc truy cập thiết bị di động mới.
- Gán một mức ưu tiên cho mục quy tắc. Một quy tắc bao gồm các thuộc tính sau: tài khoản người dùng, lịch, quyền (đọc/ghi/ADB) và mức ưu tiên.
Một quy tắc có một mức ưu tiên cụ thể. Nếu một người dùng đã được thêm vào nhiều nhóm, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên quy tắc có mức ưu tiên cao nhất. Kaspersky Endpoint Security cho phép gán mức độ ưu tiên từ 0 đến 10.000. Giá trị này càng cao thì mức độ ưu tiên càng cao. Nói cách khác, nhập giá trị 0 có nghĩa là mức độ ưu tiên thấp nhất.
Ví dụ: bạn có thể cấp quyền chỉ đọc cho nhóm Mọi người và cấp quyền đọc/ghi cho nhóm quản trị viên. Để làm như vậy, hãy gán mức ưu tiên bằng 1 cho nhóm quản trị viên và gán mức ưu tiên bằng 0 cho nhóm Mọi người.
Một quy tắc chặn được ưu tiên hơn một quy tắc cho phép. Nói cách khác, nếu một người dùng đã được thêm vào nhiều nhóm và mức ưu tiên của tất cả các quy tắc đều bằng nhau, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên bất kỳ quy tắc chặn nào hiện có.
- Trong mục Quy tắc dành cho người dùng và nhóm, hãy chọn người dùng hoặc nhóm người dùng.
- Nhấn vào OK.
- Trong mục Lịch dành cho quy tắc truy cập được chọn, hãy cấu hình một lịch truy cập thiết bị di động dành cho người dùng.
Không thể cấu hình lịch truy cập riêng cho các thiết bị ADB. Bạn có thể cấu hình lịch truy cập chung cho thiết bị ADB và thiết bị di động (MTP).
- Cấu hình quyền truy cập thiết bị cho người dùng.
- Lưu các thay đổi của bạn.
Cách cấu hình quy tắc truy cập thiết bị trong Bảng điều khiển web và Bảng điều khiển đám mây
- Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & Profiles.
- Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
- Chọn thẻ Application settings.
- Vào Security Controls → Device Control.
- Trong mục Device Control Settings, hãy nhấn liên kết Access rules for devices and Wi-Fi networks.
Bảng này liệt kê các quy tắc truy cập cho tất cả các thiết bị có trong phân loại của thành phần Kiểm soát thiết bị.
- Chọn loại thiết bị Portable devices (MTP).
Thao tác này sẽ mở quyền truy cập thiết bị di động (MTP).
- Trong mục Configuring device access rules, hãy cấu hình chế độ truy cập thiết bị di động: Allow, Block, Depends on connection bus hoặc By rules.
- Nếu chọn chế độ By rules, bạn phải thêm quy tắc truy cập cho thiết bị. Để thực hiện, trong mục Users' rules, hãy nhấn vào Add và cấu hình quy tắc truy cập thiết bị di động:
- Trong mục Users' rules, hãy chọn người dùng hoặc nhóm người dùng để truy cập thiết bị di động.
- Sử dụng hộp kiểm Access via ADB để cấu hình quyền truy cập thiết bị di động trong ứng dụng ADB.
- Gán một mức ưu tiên cho mục quy tắc. Một quy tắc bao gồm các thuộc tính sau: tài khoản người dùng, lịch, quyền (đọc/ghi/ADB) và mức ưu tiên.
Một quy tắc có một mức ưu tiên cụ thể. Nếu một người dùng đã được thêm vào nhiều nhóm, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên quy tắc có mức ưu tiên cao nhất. Kaspersky Endpoint Security cho phép gán mức độ ưu tiên từ 0 đến 10.000. Giá trị này càng cao thì mức độ ưu tiên càng cao. Nói cách khác, nhập giá trị 0 có nghĩa là mức độ ưu tiên thấp nhất.
Ví dụ: bạn có thể cấp quyền chỉ đọc cho nhóm Mọi người và cấp quyền đọc/ghi cho nhóm quản trị viên. Để làm như vậy, hãy gán mức ưu tiên bằng 1 cho nhóm quản trị viên và gán mức ưu tiên bằng 0 cho nhóm Mọi người.
Một quy tắc chặn được ưu tiên hơn một quy tắc cho phép. Nói cách khác, nếu một người dùng đã được thêm vào nhiều nhóm và mức ưu tiên của tất cả các quy tắc đều bằng nhau, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên bất kỳ quy tắc chặn nào hiện có.
- Trong mục Schedule for access to devices, hãy cấu hình một lịch truy cập thiết bị di động dành cho người dùng.
Không thể cấu hình lịch truy cập riêng cho các thiết bị ADB. Bạn có thể cấu hình lịch truy cập chung cho thiết bị ADB và thiết bị di động (MTP).
- Lưu các thay đổi của bạn.
Cách cấu hình quy tắc truy cập thiết bị di động trong giao diện của ứng dụng
- Trong cửa sổ chính của ứng dụng, hãy nhấn nút
. - Trong cửa sổ thiết lập ứng dụng, hãy chọn Kiểm soát bảo mật → Kiểm soát thiết bị.
- Trong mục Thiết lập truy cập, hãy nhấn nút Các thiết bị và mạng Wi-Fi.
Cửa sổ được mở sẽ hiển thị các quy tắc truy cập cho tất cả các thiết bị được thêm vào danh mục thành phần Kiểm soát thiết bị.
- Trong mục Truy cập đến các Thiết bị lưu trữ, hãy nhấn liên kết Thiết bị di động (MTP).
Thao tác này sẽ mở ra một cửa sổ chứa các quy tắc truy cập thiết bị di động (MTP).
- Trong mục Truy cập, hãy cấu hình chế độ truy cập thiết bị di động: Cho phép, Chặn, Tùy thuộc vào bus kết nối hoặc Bởi quy tắc.
- Nếu chọn chế độ Bởi quy tắc, bạn phải thêm quy tắc truy cập cho thiết bị.
- Trong mục Các quyền của người dùng, hãy nhấn nút Thêm.
Thao tác này sẽ mở ra một cửa sổ để thêm quy tắc truy cập thiết bị di động mới.
- Gán một mức ưu tiên cho mục quy tắc. Một quy tắc bao gồm các thuộc tính sau: tài khoản người dùng, lịch, quyền (đọc/ghi/ADB) và mức ưu tiên.
Một quy tắc có một mức ưu tiên cụ thể. Nếu một người dùng đã được thêm vào nhiều nhóm, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên quy tắc có mức ưu tiên cao nhất. Kaspersky Endpoint Security cho phép gán mức độ ưu tiên từ 0 đến 10.000. Giá trị này càng cao thì mức độ ưu tiên càng cao. Nói cách khác, nhập giá trị 0 có nghĩa là mức độ ưu tiên thấp nhất.
Ví dụ: bạn có thể cấp quyền chỉ đọc cho nhóm Mọi người và cấp quyền đọc/ghi cho nhóm quản trị viên. Để làm như vậy, hãy gán mức ưu tiên bằng 1 cho nhóm quản trị viên và gán mức ưu tiên bằng 0 cho nhóm Mọi người.
Một quy tắc chặn được ưu tiên hơn một quy tắc cho phép. Nói cách khác, nếu một người dùng đã được thêm vào nhiều nhóm và mức ưu tiên của tất cả các quy tắc đều bằng nhau, Kaspersky Endpoint Security sẽ điều chỉnh quyền truy cập của thiết bị dựa trên bất kỳ quy tắc chặn nào hiện có.
- Trong mục Trạng thái, hãy bật quy tắc truy cập thiết bị di động.
- Trong mục Quy tắc truy cập, hãy cấu hình quyền truy cập thiết bị di động cho người dùng.
- Trong mục Người dùng, hãy chọn người dùng hoặc nhóm người dùng để truy cập thiết bị di động.
- Trong mục Lịch quy tắc, hãy cấu hình một lịch truy cập thiết bị cho người dùng.
Không thể cấu hình lịch truy cập riêng cho các thiết bị ADB. Bạn có thể cấu hình lịch truy cập chung cho thiết bị ADB và thiết bị di động (MTP).
- Lưu các thay đổi của bạn.
Kết quả là quyền truy cập của người dùng vào thiết bị di động bị hạn chế theo các quy tắc. Nếu bạn đã cấm truy cập các thiết bị di động trong ứng dụng ADB thì Kaspersky Endpoint Security sẽ hiển thị một thông báo và ADB không phát hiện ra thiết bị di động.
Thiết bị di động được tin tưởng
Thiết bị được tin tưởng là các thiết bị mà những người dùng được quy định trong thiết lập thiết bị được tin tưởng có thể truy cập vào bất cứ lúc nào.
Các bước để thêm thiết bị di động được tin tưởng hoàn toàn giống như các bước thêm các loại thiết bị được tin tưởng khác. Bạn có thể thêm thiết bị di động theo ID hoặc mẫu máy của thiết bị.
Để thêm một thiết bị di động được tin tưởng theo ID, bạn cần một ID duy nhất (ID phần cứng – HWID). Bạn có thể tìm ID trong thuộc tính thiết bị bằng cách sử dụng các công cụ của hệ điều hành (xem hình bên dưới). Công cụ Trình quản lý thiết bị cho phép bạn thực hiện việc này. ID của thiết bị di động (MTP) và thiết bị ADB sẽ khác nhau ngay cả đối với cùng một thiết bị di động. ID của thiết bị di động (MTP) có thể trông giống như sau: 15131JECB07440
. ID của thiết bị ADB có thể trông giống như sau: 6&370DEC2A&0&0001
. Thêm thiết bị theo ID là một cách thuận tiện nếu bạn muốn thêm một số thiết bị cụ thể. Bạn cũng có thể sử dụng ký tự đại diện.
Nếu bạn đã cài đặt ứng dụng ADB sau khi kết nối thiết bị với máy tính, ID duy nhất của thiết bị có thể bị đặt lại. Điều này có nghĩa là Kaspersky Endpoint Security sẽ xác định thiết bị này là một thiết bị mới. Nếu một thiết bị được tin tưởng, hãy thêm thiết bị đó vào danh sách được tin tưởng lần nữa.
Để thêm một thiết bị di động được tin tưởng theo mẫu máy của thiết bị, bạn sẽ cần ID nhà cung cấp (VID) và ID sản phẩm (PID) của máy in đó. Bạn có thể tìm cá ID trong thuộc tính thiết bị bằng cách sử dụng các công cụ của hệ điều hành (xem hình bên dưới). Mẫu để nhập VID và PID: VID_18D1&PID_4EE5
. Thêm thiết bị theo model là cách thuận tiện nếu bạn sử dụng các thiết bị thuộc một model nhất định trong tổ chức của mình. Bằng cách này, bạn có thể thêm tất cả các thiết bị thuộc model này.
![Cửa sổ thuộc tính thiết bị di động (MTP) trong Trình quản lý thiết bị.](unloc_kes11_vid_pid.png)
![Cửa sổ thuộc tính thiết bị ADB trong Trình quản lý thiết bị.](unloc_kes11_adb.png)
ID thiết bị trong Trình quản lý thiết bị
Về đầu trang