Kaspersky Embedded Systems Security для Linux
3.3.0
Русский

Содержание

Задача Контроль устройств (Device_Control, ID:15)

Во время выполнения задачи Контроль устройств приложение Kaspersky Embedded Systems Security управляет доступом пользователей к устройствам, которые установлены на клиентском устройстве или подключены к нему (например, жестким дискам, камерам или модулям Wi-Fi). Это позволяет защитить клиентское устройство от заражения при подключении внешних устройств и предотвратить потерю или утечку данных.

По умолчанию задача Контроль устройств запускается автоматически при запуске приложения. Если требуется, вы можете остановить задачу в любой момент.

Задача Контроль устройств управляет доступом пользователей к устройствам с помощью правил доступа. Вы можете выбрать действие, которое должна выполнять задача Контроль устройств: применять правила или тестировать правила.

Задача Контроль устройств управляет доступом на следующих уровнях:

  • Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.
  • Шина подключения. Шина подключения – это интерфейс, используемый для подключения устройств к клиентскому устройству (USB или FireWire).
  • Доверенные устройства. Доверенные устройства – это устройства, к которым у пользователей есть полный доступ.

    Вы можете добавить устройства в список доверенных по идентификатору устройства. У каждого устройства есть уникальный идентификатор DeviceId. Вы можете посмотреть идентификаторы подключенных устройств, выполнив команду kess-control --get-device-list.

При подключении устройства, доступ к которому запрещен задачей Контроль устройств, к клиентскому устройству, приложение запрещает указанным в правиле пользователям доступ к этому устройству и выводит уведомление. При попытке чтения и записи на этом устройстве, приложение запрещает чтение/запись указанным в правиле пользователям без вывода уведомления.

При остановке выполнения задачи Контроль устройств приложение разблокирует доступ к заблокированным устройствам.

Если в общих параметрах приложения для параметра InterceptorProtectionMode указано значение Notify, то заблокировать доступ к устройствам с помощью расписания доступа для устройств (секция [Schedules.item_#]) невозможно.

Kaspersky Embedded Systems Security игнорирует исключенные точки монтирования для задачи Контроль устройств. Правила доступа применяются к устройству, смонтированному в глобальной исключенной точке монтирования.

В этом разделе справки

О правилах доступа

Параметры задачи Контроль устройств

Просмотр списка подключенных устройств в командной строке
В начало
[Topic 233753]

О правилах доступа

Правило доступа к устройству – это параметр, определяющий какие пользователи могут получить доступ к устройствам, установленным на клиентском устройстве или подключенным к нему. Для каждого типа устройств можно указать следующие правила доступа: Allow, Block или DependsOnBus. Если указано значение DependsOnBus, доступ к устройству определяется правилом доступа к шине подключения.

Правило доступа к шине подключения разрешает или запрещает доступ к шине подключения (USB или FireWire). Для каждой шины подключения можно указать следующие правила доступа: Allow или Block. Например, можно разрешить или запретить подключение всех устройств по USB. Также вы можете разрешить доступ к конкретным USB-устройствам или только к USB-накопителям, при этом доступ к остальным USB-устройства будет запрещен.

Примеры:

Чтобы запретить доступ ко всем USB-устройствам, кроме указанного, укажите следующие параметры:

В секции [DeviceBus] параметр USB=Block

В секции [TrustedDevices.item_#] параметр DeviceId=<идентификатор нужного устройства>

Чтобы запретить доступ ко всем USB-устройствам, но разрешить доступ ко всем USB-накопителям, укажите следующие параметры:

В секции [DeviceBus] параметр USB=Block

В секции [TrustedDevices.item_#] параметр DeviceId=USBSTOR*

По умолчанию, правила доступа к устройствам создаются для всех типов устройств по классификации компонента Контроль устройств. Такие правила предоставляют пользователям полный доступ к устройствам, если разрешен доступ к шинам подключения для соответствующих типов устройств.

Вы можете изменять правила доступа к устройствам и правила доступа к шинам подключения.

В начало
[Topic 198019]

Параметры задачи Контроль устройств

В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Контроль устройств.

Параметры задачи Контроль устройств

Параметр

Описание

Значения

RulesAction

Действие, выполняемое приложением при попытке доступа к устройству, запрещенному правилами доступа.

ApplyRules (значение по умолчанию) – приложение применяет правила доступа и выполняет заданное в правилах действие.

TestRules – приложение тестирует правила, разрешает доступ и формирует событие об обнаружении устройства, удовлетворяющего правилу.

Секция [DeviceClass] содержит режимы доступа к устройствам в зависимости от их типа.

HardDrive

Режим доступа к жестким дискам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к жестким дискам.

DependsOnBus (значение по умолчанию) – доступ к жестким дискам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ ко всем жестким дискам (за исключением системных жестких дисков, которые задача Контроль устройств не блокирует).

ByRule – доступ к жестким дискам зависит от правил доступа.

RemovableDrive

Режим доступа к съемным дискам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к съемным дискам.

DependsOnBus (значение по умолчанию) – доступ к съемным дискам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к съемным дискам.

ByRule – доступ к съемным дискам зависит от правил доступа.

FloppyDrive

Режим доступа к дискетам, подключенным к клиентскому устройству.

Приложение не блокирует дискеты, подключенные к клиентскому устройству с помощью шины ISA.

Allow – пользователям разрешен доступ к дискетам.

DependsOnBus (значение по умолчанию) – доступ к дискетам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к дискетам.

ByRule – доступ к дискетам зависит от правил доступа.

OpticalDrive

Режим доступа к CD/DVD-приводам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к CD/DVD-приводам.

DependsOnBus (значение по умолчанию) – доступ к CD/DVD-приводам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к CD/DVD-приводам.

ByRule – доступ к CD/DVD-приводам зависит от правил доступа.

SerialPortDevice

Режим доступа к устройствам, подключенным к клиентскому устройству через последовательный порт.

Приложение не блокирует устройства, подключенные к клиентскому устройству через последовательный порт с помощью шины ISA.

Allow – пользователям разрешен доступ к устройствам, подключенным через последовательный порт.

DependsOnBus (значение по умолчанию) – доступ к устройствам, подключенным через последовательный порт, зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к устройствам, подключенным через последовательный порт.

ParallelPortDevice

Режим доступа к устройствам, подключенным к клиентскому устройству через параллельный порт.

Allow – пользователям разрешен доступ к устройствам, подключенным через параллельный порт.

DependsOnBus (значение по умолчанию) – доступ к устройствам, подключенным через параллельный порт, зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к устройствам, подключенным через параллельный порт.

Printer

Режим доступа к принтерам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к принтерам.

DependsOnBus (значение по умолчанию) – доступ к принтерам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к принтерам.

Modem

Режим доступа к модемам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к модемам.

DependsOnBus (значение по умолчанию) – доступ к модемам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к модемам.

TapeDrive

Режим доступа к стримерам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к стримерам.

DependsOnBus (значение по умолчанию) – доступ к стримерам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к стримерам.

MultifuncDevice

Режим доступа к мультифункциональным устройствам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к мультифункциональным устройствам.

DependsOnBus (значение по умолчанию) – доступ к мультифункциональным устройствам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к мультифункциональным устройствам.

SmartCardReader

Режим доступа к устройствам чтения смарт-карт, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к устройствам чтения смарт-карт.

DependsOnBus (значение по умолчанию) – доступ к устройствам чтения смарт-карт зависит от правила доступа к шине подключения

Block – пользователям запрещен доступ к устройствам чтения смарт-карт.

WiFiAdapter

Режим доступа к Wi‑Fi-адаптерам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к Wi‑Fi-адаптерам.

DependsOnBus (значение по умолчанию) – доступ к Wi‑Fi-адаптерам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к Wi‑Fi-адаптерам.

NetworkAdapter

Режим доступа к внешним сетевым адаптерам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к внешним сетевым адаптерам.

DependsOnBus (значение по умолчанию) – доступ к внешним сетевым адаптерам зависит от правила доступа к шине подключения.

Контроль устройств не позволяет запрещать доступ к внешним сетевым адаптерам, чтобы избежать отключения клиентского устройства от сети.

PortableDevice

Режим доступа к портативным устройствам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к портативным устройствам.

DependsOnBus (значение по умолчанию) – доступ к портативным устройствам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к портативным устройствам.

BluetoothDevice

Режим доступа к Bluetooth-устройствам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к Bluetooth-устройствам.

DependsOnBus (значение по умолчанию) – доступ к Bluetooth-устройствам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к Bluetooth-устройствам.

ImagingDevice

Режим доступа к устройствам обработки изображений, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к устройствам обработки изображений.

DependsOnBus (значение по умолчанию) – доступ к устройствам обработки изображений зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к устройствам обработки изображений.

SoundAdapter

Режим доступа к звуковым адаптерам, подключенным к клиентскому устройству.

Allow – пользователям разрешен доступ к звуковым адаптерам.

DependsOnBus (значение по умолчанию) – доступ к звуковым адаптерам зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к звуковым адаптерам.

InputDevice

Режим доступа к устройствам ввода, подключенным к клиентскому устройству (клавиатура, мышь, тачпад и другие).

Allow – пользователям разрешен доступ к устройствам ввода.

DependsOnBus (значение по умолчанию) – доступ к устройствам ввода зависит от правила доступа к шине подключения.

Block – пользователям запрещен доступ к устройствам ввода.

Секция [DeviceBus] содержит правила доступа к шине подключения, определяющие, разрешено или запрещено подключение устройств.

USB

Правила доступа к шине подключения для устройств, подключенных к клиентскому устройству через USB-интерфейс.

Allow (значение по умолчанию) – пользователям разрешен доступ к USB-устройствам.

Block – пользователям запрещен доступ к USB-устройствам.

FireWire

Правила доступа к шине подключения для устройств, подключенных к клиентскому устройству через интерфейс FireWire.

Allow (значение по умолчанию) – пользователям разрешен доступ к устройствам, подключенным через интерфейс FireWire.

Block – пользователям запрещен доступ к устройствам, подключенным через интерфейс FireWire.

Секция [TrustedDevices.item_#] содержит доверенные устройства.

DeviceId

Идентификатор или маска идентификатора доверенного устройства.

Вы можете использовать маски * (любая последовательность символов) или ? (один любой символ), чтобы указать идентификатор устройства.

Comment

Комментарий к указанному доверенному устройству.

Секция [Schedules.item_#] содержит расписание доступа для устройств. Вы можете настраивать расписание только для жестких дисков, съемных дисков, дискет и CD/DVD-приводов.

ScheduleName

Название расписания.

Название расписания должно быть уникальным.

Значение по умолчанию: Default.

Расписание Default (по умолчанию) обеспечивает полный доступ к устройствам для всех пользователей в любое время, если для соответствующего типа устройства разрешен доступ по шине подключения.

Расписание Default удалить нельзя.

DaysHours

Интервалы времени для расписания.

All (значение по умолчанию) – расписание действует 24/7 (без ограничений по времени).

<день недели> – дни недели. Вы можете использовать как полные названия дней недели, так и аббревиатуры (например, для понедельника можно указать Mo, Mon или Monday). Для дней недели можно указывать либо интервалы, либо конкретные дни. Неделя начинается с воскресенья.

<час> – часы [0:24]. Для часов вы можете указывать только интервалы.

Примеры:

Расписание schedule_1, действующее с воскресенья по субботу с 0 до 11, с 12 до 15 и с 16 до 24:

[Schedules.item_0001]

ScheduleName=schedule_1

DaysHours=Su-Sa:0..11,12..15,16..24

Расписание schedule_2, действующее по четвергам с 12 до 14 и по пятницам с 2 до 15 и с 16 до 24:

[Schedules.item_0002]

ScheduleName=schedule_2

DaysHours=Th:12..14;Fr:2..15,16..24

Расписание schedule_3, действующее 24 часа 7 дней в неделю:

[Schedules.item_0003]

ScheduleName=schedule_3

DaysHours=All

 

Секция [HardDrivePrincipals.item_#] содержит правила доступа к жестким дискам.

Для жестких дисков должно быть включено хотя бы одно расписание. Вы можете назначить несколько правил доступа к жесткому диску. Также для пользователя или группы пользователей можно указать несколько расписаний. Если возникает конфликт правила доступа для пользователя или группы, предоставляются минимальные права доступа.

Principal

Пользователь или группа пользователей, к которым применяется правило доступа.

\Everyone (значение по умолчанию) – правило доступа применяется для всех пользователей.

<имя пользователя> – имя пользователя, для которого применяется правило доступа.

@<название группы> – название группы пользователей, для которых применяется правило доступа.

[HardDrivePrincipals.item_#.AccessRules.item_#]

Параметры правил доступа.

UseRule

Показывает, включено или выключено правило.

Yes (значение по умолчанию) – правило доступа включено.

No – правило доступа выключено.

ScheduleName

Расписание, указанное в секции [Schedules.item_#].

Значение по умолчанию: Default.

Access

Тип доступа.

Allow (значение по умолчанию) – доступ к жестким дискам разрешен.

Block – доступ к жестким дискам запрещен.

Секция [RemovableDrivePrincipals.item_#] содержит правила доступа к съемным дискам.

Для съемных дисков должно быть включено хотя бы одно расписание. Вы можете назначить несколько правил доступа к съемному диску. Также для пользователя или группы пользователей можно указать несколько расписаний. Если возникает конфликт правила доступа для пользователя или группы, предоставляются минимальные права доступа.

Principal

Пользователь или группа пользователей, к которым применяется правило доступа.

\Everyone (значение по умолчанию) – правило доступа применяется для всех пользователей.

<имя пользователя> – имя пользователя, для которого применяется правило доступа.

@<название группы> – название группы пользователей, для которых применяется правило доступа.

[RemovableDrivePrincipals.item_#.AccessRules.item_#]

Параметры правил доступа.

UseRule

Показывает, включено или выключено правило.

Yes (значение по умолчанию) – правило доступа включено.

No – правило доступа выключено.

ScheduleName

Расписание, указанное в секции [Schedules.item_#].

Значение по умолчанию: Default.

Access

Тип доступа.

Allow (значение по умолчанию) – доступ к съемным дискам разрешен.

Block – доступ к съемным дискам запрещен.

Секция [FloppyDrivePrincipals.item_#] содержит правила доступа к дискетам.

Для дискет должно быть включено хотя бы одно расписание. Вы можете назначить несколько правил доступа к дискете. Также для пользователя или группы пользователей можно указать несколько расписаний. Если возникает конфликт правила доступа для пользователя или группы, предоставляются минимальные права доступа.

Principal

Пользователь или группа пользователей, к которым применяется правило доступа.

\Everyone (значение по умолчанию) – правило доступа применяется для всех пользователей.

<имя пользователя> – имя пользователя, для которого применяется правило доступа.

@<название группы> – название группы пользователей, для которых применяется правило доступа.

[FloppyDrivePrincipals.item_#.AccessRules.item_#]

Параметры правил доступа.

UseRule

Показывает, включено или выключено правило.

Yes (значение по умолчанию) – правило доступа включено.

No – правило доступа выключено.

ScheduleName

Расписание, указанное в секции [Schedules.item_#].

Значение по умолчанию: Default.

Access

Тип доступа.

Allow (значение по умолчанию) – доступ к дискетам разрешен.

Block – доступ к дискетам запрещен.

Секция [OpticalDrivePrincipals.item_#] содержит правила доступа к CD/DVD-приводам.

Для CD/DVD-приводов должно быть включено хотя бы одно расписание. Вы можете назначить несколько правил доступа к CD/DVD-приводу. Также для пользователя или группы пользователей можно указать несколько расписаний. Если возникает конфликт правила доступа для пользователя или группы, предоставляются минимальные права доступа.

Principal

Пользователь или группа пользователей, к которым применяется правило доступа.

\Everyone (значение по умолчанию) – правило доступа применяется для всех пользователей.

<имя пользователя> – имя пользователя, для которого применяется правило доступа.

@<название группы> – название группы пользователей, для которых применяется правило доступа.

[OpticalDrivePrincipals.item_#.AccessRules.item_#]

Параметры правил доступа.

UseRule

Показывает, включено или выключено правило.

Yes (значение по умолчанию) – правило доступа включено.

No – правило доступа выключено.

ScheduleName

Расписание, указанное в секции [Schedules.item_#].

Значение по умолчанию: Default.

Access

Тип доступа.

Allow (значение по умолчанию) – доступ к CD/DVD-приводам разрешен.

Block – доступ к CD/DVD-приводам запрещен.

В начало
[Topic 233755]

Просмотр списка подключенных устройств в командной строке

Только пользователи с ролями admin и audit могут просматривать список подключенных устройств.

Чтобы просмотреть список подключенных устройств, выполните следующую команду:

kess-control [-D] --get-device-list

Приложение Kaspersky Embedded Systems Security отобразит следующую информацию о подключенных устройствах:

  • Тип устройства. Тип подключенного устройства. Например, OpticalDrive или HardDrive.
  • Идентификатор. Идентификатор подключенного устройства.
  • Название. Название подключенного устройства.
  • Путь. Путь к устройству в виртуальной операционной системе sysfs.
  • Системный диск. Параметр показывает, является ли подключенное устройство системным диском (да или нет).
  • Шина. Шина подключения. Возможные значения: UnknownBus, USB, FireWire.
  • Драйвер. Название используемого драйвера, читаемое виртуальной операционной системой sysfs.

В начало
[Topic 198021]