Zugriff auf Mobilgeräte verwalten

Mit Kaspersky Endpoint Security können Sie den Zugriff auf Daten auf Android- und iOS-Mobilgeräten kontrollieren. Mobilgeräte gehören zur Kategorie der tragbaren Geräte (MTP). Um den Datenzugriff auf mobilen Geräten zu konfigurieren, müssen Sie daher die Zugriffseinstellungen für tragbare Geräte (MTP) bearbeiten.

Wenn ein mobiles Gerät mit dem Computer verbunden wird, ermittelt das Betriebssystem den Gerätetyp. Sind auf dem Computer Programme des Typs Android Debug Bridge (ADB), iTunes oder äquivalente Programme installiert, so bestimmt das Betriebssystem die mobilen Geräte als ADB- oder iTunes-Geräte. In den übrigen Fällen kann das Betriebssystem den Typ eines mobilen Gerätes als tragbares Gerät (MTP) für die Dateiübertragung, als PTP-Geräte (Kamera) für die Bildübertragung oder als anderes Gerät bestimmen. Der Gerätetyp hängt vom Modell des Mobilgeräts und vom ausgewählten USB-Verbindungsmodus ab. Mit Kaspersky Endpoint Security können Sie individuelle Zugriffsberechtigungen für Daten auf Mobilgeräten in ADB-Anwendungen, iTunes oder im Dateimanager konfigurieren. In allen anderen Fällen erlaubt die „Gerätekontrolle“ den Zugriff auf Mobilgeräte gemäß den Zugriffsregeln für tragbare Geräte (MTP).

Zugriff auf Mobilgeräte

Mobilgeräte gehören zur Kategorie der tragbaren Geräte (MTP) und haben darum die gleichen Einstellungen. Sie können einen der folgenden Zugriffsmodi für Mobilgeräte auswählen:

Erlauben . Kaspersky Endpoint Security erlaubt Vollzugriff auf mobile Geräte. Auf mobilen Geräten können Sie über den Dateimanager oder über die ADB- und iTunes-App Dateien öffnen, erstellen, ändern, kopieren oder löschen. Außerdem können Sie den Geräteakku aufladen, indem Sie das Mobilgerät an einen USB-Anschluss des Computers anschließen.
Blockieren . Kaspersky Endpoint Security schränkt den Zugriff auf Mobilgeräte im Dateimanager sowie in der App ADB und iTunes ein. Die App erlaubt nur den Zugriff auf vertrauenswürdige Mobilgeräte. Außerdem können Sie den Geräteakku aufladen, indem Sie das Mobilgerät an einen USB-Anschluss des Computers anschließen.
Von Verbindungsschnittstelle abhängig . Kaspersky Endpoint Security erlaubt Verbindungen zu Mobilgeräten abhängig vom Status der USB-Verbindung (Erlauben oder Blockieren ).
Nach Regeln . Kaspersky Endpoint Security schränkt den Zugriff auf Mobilgeräte gemäß Regeln ein. In den Regeln können Sie Zugriffsrechte (Lesen/Schreiben) konfigurieren, Benutzer oder eine Gruppe von Benutzern auswählen, die Zugriff auf mobile Geräte haben sollen, und einen Zugriffszeitplan für mobile Geräte konfigurieren. Sie können den Zugriff auf Daten auf mobilen Geräten auch über die ADB- und iTunes-Anwendungen einschränken.

Zugriffsregeln für mobile Geräte konfigurieren

Zugriffsregeln für tragbare Geräte (MTP), ADB-Geräte und iTunes-Geräte werden unterschiedlich konfiguriert. Für tragbare Geräte (MTP) und ADB-Geräte können Sie Regeln für einzelne Benutzer oder Benutzergruppen konfigurieren und einen Zeitplan erstellen, nach dem die Regeln angewendet werden. Bei iTunes-Geräten ist dies nicht möglich. Hier können Sie den Datenzugriff über die iTunes-App nur für alle Benutzer zulassen oder verweigern.

So konfigurieren Sie den Zugriff auf Mobilgeräte über die Verwaltungskonsole (MMC)

Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster Sicherheitskontrolle → Gerätekontrolle aus.
Wählen Sie unter Einstellungen der Gerätekontrolle die Registerkarte Gerätetypen aus.
Die Tabelle enthält Zugriffsregeln für alle Geräte, die in der Klassifizierung der Komponente „Gerätekontrolle“ vorhanden sind.
Konfigurieren Sie im Kontextmenü für den Gerätetyp Tragbare Geräte (MTP) den Zugriffsmodus für mobile Geräte: Erlauben , Blockieren oder Von Verbindungsschnittstelle abhängig .
Um die Zugriffsregeln für Mobilgeräte zu konfigurieren, doppelklicken Sie zum Öffnen der Regelliste.
Konfigurieren Sie die Zugriffsregel für Mobilgeräte:
1. Klicken Sie im Block Zugriffsregeln auf Hinzufügen.
  Dadurch wird ein Fenster zum Hinzufügen einer neuen Zugriffsregel für Mobilgeräte geöffnet.
2. Legen Sie im Feld Priorität die Schreibpriorität der Regel fest. Eine Regel umfasst die folgenden Attribute: Benutzerkonto, Zeitplan, Berechtigungen (Lesen/Schreiben/ADB-Zugriff) und Priorität.
  Eine Regel hat eine bestimmte Priorität. Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde, reguliert Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage der Regel mit der höchsten Priorität. Kaspersky Endpoint Security erlaubt die Zuweisung einer Priorität zwischen 0 und 10.000. Je höher der Wert, desto höher die Priorität. Das bedeutet, dass ein Eintrag mit dem Wert 0 die niedrigste Priorität besitzt.
  
  Beispielsweise können Sie der Gruppe „Jeder” schreibgeschützte Leseberechtigungen und der Gruppe „Administratoren” Lese-/Schreibberechtigungen gewähren. Weisen Sie dazu für die Gruppe der Administratoren eine Priorität von 1 und für die Gruppe „Jeder“ eine Priorität von 0 zu.
  
  Eine Verbotsregel besitzt eine höhere Priorität als eine Erlaubnisregel. Mit anderen Worten: Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde und die Priorität aller Regeln gleich ist, regelt Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage einer beliebigen vorhandenen Blockierungsregel.
3. Wählen Sie unter Regel für Benutzer und Gruppen die Benutzer oder Benutzergruppen aus. Sie können Benutzer in Active Directory, in der Liste für Benutzerkonten in Kaspersky Security Center oder durch manuelle Eingabe eines lokalen Benutzernamens auswählen. Kaspersky empfiehlt, lokale Benutzerkonten nur in besonderen Fällen zu verwenden, in denen keine Domänenbenutzerkonten verwendet werden können.
4. Klicken Sie auf OK.
Konfigurieren Sie unter Zeitpläne für die ausgewählte Zugriffsregel, einen Zeitplan für den Zugriff auf mobile Geräte für die Benutzer.
Für ADB-Geräte kann kein separater Zugriffszeitplan konfiguriert werden. Sie können einen gemeinsamen Zugriffszeitplan für ADB-Geräte und tragbare Geräte (MTP) konfigurieren.
Konfigurieren Sie die Zugriffsberechtigungen der Benutzer auf Mobilgeräte im Dateimanager (Lesen/Schreiben).
Konfigurieren Sie den Zugriff auf Daten auf einem mobilen Gerät über die ADB-Anwendung mithilfe des Kontrollkästchens Zugriff über ADB.
Ist das Kontrollkästchen deaktiviert und das Mobilgerät wird verbunden, wird die ADB-Anwendung daran gehindert, das Gerät zu erkennen.
Konfigurieren Sie unter Zugriff über iTunes den Zugriff auf Daten auf dem Mobilgerät über die iTunes-App.
Kaspersky Endpoint Security wendet die Einstellungen für den Zugriff auf mobile Geräte über die iTunes-App für alle Benutzer an. Für iTunes-Geräte kann kein separater Zugriffszeitplan konfiguriert werden.
Speichern Sie die vorgenommenen Änderungen.

So konfigurieren Sie Zugriffsregeln für mobile Geräte über Web Console und Cloud Console

Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile aus.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Sicherheitskontrolle → Gerätekontrolle.
Klicken Sie im Block Einstellungen der Gerätekontrolle auf den Link Zugriffsregeln für Geräte und WLAN-Netzwerke.
Die Tabelle enthält Zugriffsregeln für alle Geräte, die in der Klassifizierung der Komponente „Gerätekontrolle“ vorhanden sind.
Wählen Sie den Gerätetyp Tragbare Geräte (MTP) aus.
Dadurch werden die Zugriffsrechte für tragbare Geräte (MTP) geöffnet.
Konfigurieren Sie unter Anpassen von Gerätezugriffsregeln den Zugriffsmodus für mobile Geräte: Erlauben, Blockieren, Von Verbindungsschnittstelle abhängig oder Nach Regeln.
Wenn Sie den Modus Nach Regeln auswählen, müssen Sie Zugriffsregeln für Geräte hinzufügen. Klicken Sie dazu unter Benutzer auf Hinzufügen und konfigurieren Sie die Zugriffsregel für Mobilgeräte:
1. Legen Sie im Feld Regel für den Zugriff auf Geräte die Schreibpriorität der Regel fest. Eine Regel umfasst die folgenden Attribute: Benutzerkonto, Zeitplan, Berechtigungen (Lesen/Schreiben/ADB-Zugriff) und Priorität.
  Eine Regel hat eine bestimmte Priorität. Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde, reguliert Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage der Regel mit der höchsten Priorität. Kaspersky Endpoint Security erlaubt die Zuweisung einer Priorität zwischen 0 und 10.000. Je höher der Wert, desto höher die Priorität. Das bedeutet, dass ein Eintrag mit dem Wert 0 die niedrigste Priorität besitzt.
  
  Beispielsweise können Sie der Gruppe „Jeder” schreibgeschützte Leseberechtigungen und der Gruppe „Administratoren” Lese-/Schreibberechtigungen gewähren. Weisen Sie dazu für die Gruppe der Administratoren eine Priorität von 1 und für die Gruppe „Jeder“ eine Priorität von 0 zu.
  
  Eine Verbotsregel besitzt eine höhere Priorität als eine Erlaubnisregel. Mit anderen Worten: Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde und die Priorität aller Regeln gleich ist, regelt Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage einer beliebigen vorhandenen Blockierungsregel.
2. Wählen Sie unter Benutzer die Benutzer oder Benutzergruppen für den Zugriff auf Mobilgeräte aus. Sie können Benutzer in Active Directory, in der Liste für Benutzerkonten in Kaspersky Security Center oder durch manuelle Eingabe eines lokalen Benutzernamens auswählen. Kaspersky empfiehlt, lokale Benutzerkonten nur in besonderen Fällen zu verwenden, in denen keine Domänenbenutzerkonten verwendet werden können.
3. Konfigurieren Sie unter Zeitplan für den Zugriff auf Geräte, einen Zeitplan für den Zugriff auf mobile Geräte für die Benutzer.
  Für ADB-Geräte kann kein separater Zugriffszeitplan konfiguriert werden. Sie können einen gemeinsamen Zugriffszeitplan für ADB-Geräte und tragbare Geräte (MTP) konfigurieren.
4. Konfigurieren Sie die Zugriffsberechtigungen der Benutzer auf Mobilgeräte im Dateimanager (Lesen/Schreiben).
5. Konfigurieren Sie den Zugriff auf Daten auf einem mobilen Gerät über die ADB-Anwendung mithilfe des Kontrollkästchens Zugriff über ADB.
  Ist das Kontrollkästchen deaktiviert und das Mobilgerät wird verbunden, wird die ADB-Anwendung daran gehindert, das Gerät zu erkennen.
6. Konfigurieren Sie unter Zugriff über iTunes den Zugriff auf Daten auf dem Mobilgerät über die iTunes-App.
  Kaspersky Endpoint Security wendet die Einstellungen für den Zugriff auf mobile Geräte über die iTunes-App für alle Benutzer an. Für iTunes-Geräte kann kein separater Zugriffszeitplan konfiguriert werden.
Speichern Sie die vorgenommenen Änderungen.

So konfigurieren Sie den Zugriff auf Mobilgeräte über die App-Benutzeroberfläche

Klicken Sie im Programmhauptfenster auf die Schaltfläche .
Wählen Sie im Fenster mit den Programmeinstellungen Sicherheitskontrolle → Gerätekontrolle aus.
Klicken Sie im Block Zugriffseinstellungen auf Geräte und WLAN-Netzwerke.
Das geöffnete Fenster zeigt Zugriffsregeln für alle Geräte, die in der Klassifizierung der Komponenten für die Gerätekontrolle enthalten sind.

Gerätetypen in der Komponente „Gerätekontrolle“
Klicken Sie im Block Zugriff auf Massenspeichergeräte auf den Link Tragbare Geräte (MTP).
Dadurch wird ein Fenster mit den Zugriffsregeln für tragbare Geräte (MTP) geöffnet.
Konfigurieren Sie unter Zugriff den Zugriffsmodus für mobile Geräte: Erlauben, Blockieren, Von Verbindungsschnittstelle abhängig oder Nach Regeln.
Wenn Sie den Modus Nach Regeln auswählen, müssen Sie Zugriffsregeln für Geräte hinzufügen:
1. Klicken Sie im Block Benutzerrechte auf Hinzufügen.
  Dadurch wird ein Fenster zum Hinzufügen einer neuen Zugriffsregel für Mobilgeräte geöffnet.
2. Legen Sie im Feld Priorität die Schreibpriorität der Regel fest. Eine Regel umfasst die folgenden Attribute: Benutzerkonto, Zeitplan, Berechtigungen (Lesen/Schreiben/ADB-Zugriff) und Priorität.
  Eine Regel hat eine bestimmte Priorität. Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde, reguliert Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage der Regel mit der höchsten Priorität. Kaspersky Endpoint Security erlaubt die Zuweisung einer Priorität zwischen 0 und 10.000. Je höher der Wert, desto höher die Priorität. Das bedeutet, dass ein Eintrag mit dem Wert 0 die niedrigste Priorität besitzt.
  
  Beispielsweise können Sie der Gruppe „Jeder” schreibgeschützte Leseberechtigungen und der Gruppe „Administratoren” Lese-/Schreibberechtigungen gewähren. Weisen Sie dazu für die Gruppe der Administratoren eine Priorität von 1 und für die Gruppe „Jeder“ eine Priorität von 0 zu.
  
  Eine Verbotsregel besitzt eine höhere Priorität als eine Erlaubnisregel. Mit anderen Worten: Wenn ein Benutzer mehreren Gruppen hinzugefügt wurde und die Priorität aller Regeln gleich ist, regelt Kaspersky Endpoint Security den Gerätezugriff auf der Grundlage einer beliebigen vorhandenen Blockierungsregel.
3. Aktivieren Sie unter Status die Zugriffsregel für Mobilgeräte.
4. Konfigurieren Sie unter Zugriffsregeln die Berechtigungen für den Benutzerzugriff auf Mobilgeräte.
  - Konfigurieren Sie die Zugriffsberechtigungen der Benutzer auf Mobilgeräte im Dateimanager (Lesen/Schreiben).
  - Konfigurieren Sie den Zugriff auf Daten auf einem mobilen Gerät über die ADB-Anwendung mithilfe des Kontrollkästchens Zugriff über ADB.
    Ist das Kontrollkästchen deaktiviert und das Mobilgerät wird verbunden, wird die ADB-Anwendung daran gehindert, das Gerät zu erkennen.
5. Wählen Sie unter Benutzer die Benutzer oder Benutzergruppen für den Zugriff auf Mobilgeräte aus. Sie können Benutzer in Active Directory, in der Liste für Benutzerkonten in Kaspersky Security Center oder durch manuelle Eingabe eines lokalen Benutzernamens auswählen. Kaspersky empfiehlt, lokale Benutzerkonten nur in besonderen Fällen zu verwenden, in denen keine Domänenbenutzerkonten verwendet werden können.
6. Konfigurieren Sie unter Zeitplan für den Zugriff auf Geräte einen Gerätezugriffsplan für die Benutzer.
  Für ADB-Geräte kann kein separater Zugriffszeitplan konfiguriert werden. Sie können einen gemeinsamen Zugriffszeitplan für ADB-Geräte und tragbare Geräte (MTP) konfigurieren.
7. Konfigurieren Sie unter Zugriff über iTunes den Zugriff auf Daten auf dem Mobilgerät über die iTunes-App.
  Kaspersky Endpoint Security wendet die Einstellungen für den Zugriff auf mobile Geräte über die iTunes-App für alle Benutzer an. Für iTunes-Geräte kann kein separater Zugriffszeitplan konfiguriert werden.
Speichern Sie die vorgenommenen Änderungen.

Dadurch wird der Benutzerzugriff auf Mobilgeräte gemäß den Regeln eingeschränkt. Wenn Sie den Zugriff auf mobile Geräte in den ADB- und iTunes-Anwendungen untersagt haben und dann ein mobiles Geräte verbinden, werden die ADB- und iTunes-Anwendungen daran gehindert, das mobile Gerät zu erkennen.

Vertrauenswürdige Mobilgeräte

Vertrauenswürdige Geräte sind Geräte, auf die jene Benutzer, die in den Einstellungen eines vertrauenswürdigen Gerätes angegeben sind, jederzeit vollständigen Zugriff besitzen.

Das Vorgehen zum Hinzufügen eines vertrauenswürdigen Mobilgeräts entspricht dem Vorgehen für andere Arten von vertrauenswürdigen Geräten. Sie können ein mobiles Gerät nach ID oder Gerätemodell hinzufügen.

Um ein vertrauenswürdiges mobiles Gerät nach ID hinzuzufügen, benötigen Sie eine eindeutige ID (Hardware-ID – HWID). Diese ID finden Sie mithilfe von Betriebssystem-Tools in den Geräteeigenschaften (siehe folgende Abbildung). Dazu können Sie den Geräte-Manager verwenden. Die IDs von tragbaren Geräten (MTP) und ADB- bzw. iTunes-Geräten unterscheiden sich sogar für dasselbe mobile Gerät. Die ID eines tragbaren Geräts (MTP) kann wie folgt aussehen: 15131JECB07440. Die ID eines ADB-Geräts kann wie folgt aussehen: 6&370DEC2A&0&0001. Es bietet sich an, Geräte mithilfe von IDs hinzuzufügen, wenn Sie mehrere bestimmte Geräte hinzufügen möchten. Sie können auch Masken verwenden.

Wenn Sie ADB- oder iTunes-Programme installiert haben, nachdem ein Gerät mit dem Computer verbunden wurde, kann es sein, dass die einmalige Geräte-ID zurückgesetzt wird. Das bedeutet, dass Kaspersky Endpoint Security dieses Gerät als neu erkennt. Wenn das Gerät vertrauenswürdig ist, fügen Sie es erneut zur Liste der vertrauenswürdigen Geräte hinzu.

Um ein vertrauenswürdiges mobiles Gerät nach Gerätemodell hinzuzufügen, benötigen Sie die Hersteller-ID (VID) und Produkt-ID (PID). Diese IDs finden Sie mithilfe von Betriebssystem-Tools in den Geräteeigenschaften (siehe Abbildung unten). Vorlage für die Eingabe von VID und PID: VID_18D1&PID_4EE5. Es bietet sich an, Geräte mithilfe des Modells hinzuzufügen, wenn Sie in Ihrem Unternehmen Geräte eines bestimmten Modells verwenden. Dadurch können Sie alle Geräte dieses Modells hinzufügen.

Eigenschaftenfenster für tragbare Geräte (MTP) im Geräte-Manager. Eigenschaftenfenster für ein ADB-Gerät im Geräte-Manager.

Geräte-ID im Geräte-Manager

Nach oben