请在您的网页浏览器中启用 JavaScript!
管理对移动设备的访问
Kaspersky Endpoint Security 允许您控制对运行 Android 和 iOS 的移动设备上的数据的访问。移动设备属于便携式设备 (MTP) 类别。因此,要配置对移动设备的数据访问,您需要编辑便携式设备(MTP)的访问设置。
当某个移动设备连接到计算机时,操作系统会确定设备类型。如果计算机上安装了 Android 调试桥 (ADB)、iTunes 或其等效应用程序,操作系统会将移动设备识别为 ADB 或 iTunes 设备。在所有其他情况下,操作系统可能将移动设备类型识别为用于文件传输的便携式设备 (MTP)、用于图像传输的 PTP 设备(相机)或其他设备。设备类型取决于移动设备的型号和所选的 USB 连接模式。Kaspersky Endpoint Security 允许您在 ADB 应用程序、iTunes 或文件管理器中为移动设备上的数据配置单独的访问权限。在所有其他情况下,设备控制允许根据便携式设备(MTP)访问规则访问移动设备。
对移动设备的访问
移动设备属于便携式设备 (MTP) 类别,因此它们的设置相同。你可以选择以下访问移动设备的模式之一 :
允许 。Kaspersky Endpoint Security 允许完全访问移动设备。您可以使用文件管理器或 ADB 和 iTunes 应用程序在移动设备上打开、创建、修改、复制或删除文件。您还可以通过将移动设备连接到计算机的 USB 端口来为设备的电池充电。阻止 。Kaspersky Endpoint Security 在文件管理器以及 ADB 和 iTunes 应用程序中限制对移动设备的访问。该应用程序只允许访问受信任的移动设备 。您还可以通过将移动设备连接到计算机的 USB 端口来为设备的电池充电。取决于连接总线 。Kaspersky Endpoint Security 允许根据 USB 连接状态 (允许 或阻止 )连接到移动设备。根据规则 。Kaspersky Endpoint Security 根据规则限制对移动设备的访问。在规则中,您可以配置访问权限(读/写),选择可以访问移动设备的用户或用户组,并配置移动设备的访问计划。您还可以限制通过 ADB 和 iTunes 应用程序对移动设备数据的访问。配置移动设备访问规则
便携式设备(MTP)、ADB 设备和 iTunes 设备的访问规则配置不同。对于便携式设备(MTP)和 ADB 设备,您可以为单个用户或用户组配置规则,并为规则的应用时间创建时间表。对于 iTunes 设备,您不能这样做。您只能允许或拒绝所有用户通过 iTunes 应用程序访问数据。
如何在管理控制台(MMC)中配置移动设备访问规则
打开 Kaspersky Security Center Administration Console。 在控制台树中,选择“策略 ”。 选择必要的策略并双击以打开策略属性。 在策略窗口中,选择 安全控制 → 设备控制 。 在“设备控制设置 ”下,选择“设备类型 ”选项卡。该表列出了设备控制组件分类中存在的所有设备的访问规则。
在上下文菜单中,对于“便携式设备(MTP) ”设备类型,配置移动设备访问模式:允许 、阻止 或者取决于连接总线 。 要配置移动设备访问规则,请双击打开规则列表。 配置移动设备访问规则:在“访问规则 ”块中单击“添加 ”按钮。这将打开添加新移动设备访问规则的窗口。
在“优先级 ”字段,设置规则写入优先级。规则包含以下属性:用户账户、计划、权限(读/写/ADB 访问)和优先级。规则具有特定优先级。如果用户被添加到若干组,Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高,优先级越高。也就是说,0 值具有最低优先级。
例如,您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此,给管理员组分配优先级 1,给 Everyone 组分配优先级 0。
阻止规则的优先级高于允许规则的优先级。换句话说,如果一个用户被添加到若干组且所有规则的优先级一样,Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
在“用户和组规则 ”下,选择用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户 时。 单击“确定 ”。 在“所选访问规则的计划 ”下,为用户配置移动设备访问计划。无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
在文件管理器中配置用户对移动设备的访问权限(读取 / 写入 )。 使用“通过 ADB 访问 ”复选框配置通过 ADB 应用程序对移动设备上数据的访问。如果清除该复选框,当连接移动设备时,ADB 应用程序将无法检测到该设备。
在“通过 iTunes 访问 ”下,配置通过 iTunes 应用程序对移动设备上数据的访问。Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
保存更改。 如何在 Web Console 和云控制台中配置移动设备访问规则
在 Web Console 的主窗口中,选择“设备 ” → “策略和配置文件 ”。 单击 Kaspersky Endpoint Security 策略的名称。策略属性窗口将打开。
选择应用程序设置 选项卡。 选择 安全控制 → 设备控制 。 在“设备控制设置 ”区域,单击“设备和 wi-fi 网络的访问规则 ”链接。该表列出了设备控制组件分类中存在的所有设备的访问规则。
选择“便携式设备(MTP) ”设备类型。这将打开便携式设备 (MTP) 访问权限。
在“配置设备访问规则 ”下,配置移动设备访问模式:允许 、阻止 、取决于连接总线 或者根据规则 。 如果您选择“根据规则 ”模式,则必须为设备添加访问规则。为此,在“用户 ”下,单击“添加 ”按钮并配置移动设备访问规则:在“设备访问规则 ”字段,设置规则写入优先级。规则包含以下属性:用户账户、计划、权限(读/写/ADB 访问)和优先级。规则具有特定优先级。如果用户被添加到若干组,Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高,优先级越高。也就是说,0 值具有最低优先级。
例如,您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此,给管理员组分配优先级 1,给 Everyone 组分配优先级 0。
阻止规则的优先级高于允许规则的优先级。换句话说,如果一个用户被添加到若干组且所有规则的优先级一样,Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
在“用户 ”下,选择要访问移动设备的用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户 时。 在“设备访问计划 ”下,为用户配置移动设备访问计划。无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
在文件管理器中配置用户对移动设备的访问权限(读取 / 写入 )。 使用“通过 ADB 访问 ”复选框配置通过 ADB 应用程序对移动设备上数据的访问。如果清除该复选框,当连接移动设备时,ADB 应用程序将无法检测到该设备。
在“通过 iTunes 访问 ”下,配置通过 iTunes 应用程序对移动设备上数据的访问。Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
保存更改。 如何在应用程序界面中配置移动设备访问规则
打开主应用程序窗口 并单击 按钮。 在应用程序设置窗口中,选择“安全控制 ” → “设备控制 ”。 在“访问设置 ”块中单击“设备和 Wi-Fi 网络 ”按钮。打开的窗口显示包含在设备控制组件分类的所有设备的访问规则。
设备控制组件中的设备类型
在“访问存储设备 ”区域,单击“便携式设备(MTP) ”链接。这将打开一个包含便携式设备 (MTP) 访问规则的窗口。
在“访问 ”下,配置移动设备访问模式:允许 、阻止 、取决于连接总线 或者根据规则 。 如果您选择“根据规则 ”模式,则必须为设备添加访问规则。在“用户权限 ”块中单击“添加 ”按钮。这将打开添加新移动设备访问规则的窗口。
在“优先级 ”字段,设置规则写入优先级。规则包含以下属性:用户账户、计划、权限(读/写/ADB 访问)和优先级。规则具有特定优先级。如果用户被添加到若干组,Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高,优先级越高。也就是说,0 值具有最低优先级。
例如,您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此,给管理员组分配优先级 1,给 Everyone 组分配优先级 0。
阻止规则的优先级高于允许规则的优先级。换句话说,如果一个用户被添加到若干组且所有规则的优先级一样,Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
在“状态 ”下,打开移动设备访问规则。 在“访问规则 ”下,为用户配置移动设备访问权限。 在“用户 ”下,选择要访问移动设备的用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户 时。 在“设备访问计划 ”下,为用户配置设备访问计划。无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
在“通过 iTunes 访问 ”下,配置通过 iTunes 应用程序对移动设备上数据的访问。Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
保存更改。 因此,用户对移动设备的访问会根据规则受到限制。如果您在 ADB 和 iTunes 应用程序中禁止访问移动设备,当您连接移动设备时,ADB 和 iTunes 应用程序将无法检测到该移动设备。
受信任的移动设备
受信任的设备 是指在受信任设备设置中指定的用户可随时进行完全访问的设备。
添加受信任的移动设备 的过程与添加其他类型的受信任设备完全相同。您可以按 ID 或设备型号添加移动设备。
要按 ID 添加受信任的移动设备,您需要一个唯一的 ID(硬件 ID–HWID)。您可以使用操作系统工具在设备属性中找到 ID(参见下图)。设备管理器工具允许您执行此操作。便携式设备(MTP)和 ADB、iTunes 设备的 ID 即使对于相同的移动设备也是不同的。便携式设备 (MTP) 的 ID 可能如下所示: 15131JECB07440
。ADB 设备的 ID 可能如下所示:6&370DEC2A&0&0001
。如果要添加多个特定设备,则按 ID 添加设备很方便。您也可以使用掩码。
如果在将设备连接到计算机后安装了 ADB 或 iTunes 应用程序,则该设备的唯一 ID 可能会重置。这意味着 Kaspersky Endpoint Security 会将此设备识别为新设备。如果该设备受信任,请再次将其添加到受信任列表。
要按设备型号添加受信任的移动设备,您需要其供应商 ID(VID)和产品 ID(PID)。您可以使用操作系统工具在设备属性中找到 ID(参见下图)。用于输入 VID 和 PID 的模板:VID_18D1&PID_4EE5
。如果在组织中使用特定型号的设备,则按型号添加设备很方便。这样,您可以添加该型号的所有设备。
设备管理器中的设备 ID
页面顶部