Gestione dell'accesso ai dispositivi mobili

Kaspersky Endpoint Security consente di controllare l'accesso ai dati nei dispositivi mobili con Android e iOS. I dispositivi mobili appartengono alla categoria dei dispositivi portatili (MTP). Pertanto, per configurare l'accesso ai dati nei dispositivi mobili, è necessario modificare le impostazioni di accesso per i dispositivi portatili (MTP).

Quando un dispositivo mobile è connesso al computer, il sistema operativo determina il tipo di dispositivo. Se nel computer sono installati ADB (Android Debug Bridge), iTunes o le relative applicazioni equivalenti, il sistema operativo identifica i dispositivi mobili come dispositivi iTunes o ADB. In tutti gli altri casi, il sistema operativo può identificare il tipo di dispositivo mobile come dispositivo portatile (MTP) per il trasferimento di file, un dispositivo PTP (fotocamera) per il trasferimento di immagini o un altro dispositivo. Il tipo di dispositivo dipende dal modello del dispositivo mobile e dalla modalità di connessione USB selezionata. Kaspersky Endpoint Security consente di configurare le autorizzazioni di accesso individuali per i dati nei dispositivi mobili nelle applicazioni ADB, iTunes o il programma per la gestione dei file. In tutti gli altri casi, Controllo dispositivi consente l'accesso ai dispositivi mobili in conformità con le regole di accesso ai dispositivi portatili (MTP).

Accesso ai dispositivi mobili

I dispositivi mobili appartengono alla categoria dei dispositivi portatili (MTP), pertanto le loro impostazioni sono le stesse. È possibile selezionare una delle seguenti modalità di accesso ai dispositivi mobili:

Consenti . Kaspersky Endpoint Security consente l'accesso completo ai dispositivi mobili. È possibile aprire, creare, modificare, copiare o eliminare file nei dispositivi mobili utilizzando il programma per la gestione dei file o le applicazioni ADB e iTunes. È inoltre possibile caricare la batteria del dispositivo collegando il dispositivo mobile a una porta USB del computer.
Blocca . Kaspersky Endpoint Security limita l'accesso ai dispositivi mobili nel programma di gestione dei file e nelle applicazioni ADB e iTunes. L'applicazione consente l'accesso solo ai dispositivi mobili attendibili. È inoltre possibile caricare la batteria del dispositivo collegando il dispositivo mobile a una porta USB del computer.
Dipende dal bus di connessione . Kaspersky Endpoint Security consente il collegamento ai dispositivi mobili in conformità con lo stato della connessione USB (Consenti o Blocca ).
In base alle regole . Kaspersky Endpoint Security limita l'accesso ai dispositivi mobili in conformità con le regole. Nelle regole, è possibile configurare i diritti di accesso (lettura/scrittura), selezionare gli utenti o un gruppo di utenti che possono avere accesso ai dispositivi mobili e configurare una pianificazione per l'accesso ai dispositivi mobili. È inoltre possibile limitare l'accesso ai dati nei dispositivi mobili utilizzando le applicazioni ADB e iTunes.

Configurazione delle regole di accesso ai dispositivi mobili

Le regole di accesso per dispositivi portatili (MTP), dispositivi ADB e dispositivi iTunes sono configurate in modo diverso. Per i dispositivi portatili (MTP) e i dispositivi ADB, è possibile configurare regole per singoli utenti o gruppi di utenti e creare una pianificazione per l'applicazione delle regole. Per i dispositivi iTunes, non è possibile farlo. È possibile consentire o negare l'accesso ai dati solo tramite l'applicazione iTunes per tutti gli utenti.

Come configurare le regole di accesso ai dispositivi mobili in Administration Console (MMC)

Aprire Kaspersky Security Center Administration Console.
Nella struttura della console, selezionare Criteri.
Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
Nella finestra del criterio, selezionare Controlli di sicurezza → Controllo dispositivi.
In Impostazioni di Controllo dispositivi, selezionare la scheda Tipi di dispositivi.
La tabella elenca le regole di accesso per tutti i dispositivi presenti nella classificazione del componente Controllo dispositivi.
Nel menu di scelta rapida del tipo di dispositivo Dispositivi portatili (MTP), configurare la modalità di accesso ai dispositivi mobili: Consenti , Blocca o Dipende dal bus di connessione .
Per configurare le regole di accesso ai dispositivi mobili, fare doppio clic per aprire l'elenco delle regole.
Configurare la regola di accesso ai dispositivi mobili:
1. Nel blocco Regole di accesso, fare clic sul pulsante Aggiungi.
  Verrà visualizzata una finestra per l'aggiunta di una nuova regola di accesso ai dispositivi mobili.
2. Nel campo Priorità, impostare la priorità di scrittura della regola. Una regola include i seguenti attributi: account utente, pianificazione, autorizzazioni (lettura/scrittura/accesso ADB) e priorità.
  Una regola ha una priorità specifica. Se un utente è stato aggiunto a più gruppi, Kaspersky Endpoint Security regola l'accesso al dispositivo in base alla regola con la priorità più elevata. Kaspersky Endpoint Security consente di assegnare la priorità da 0 a 10.000. Più alto è il valore, maggiore sarà la priorità. In altre parole, una voce con il valore 0 ha la priorità più bassa.
  
  È ad esempio possibile concedere autorizzazioni di sola lettura al gruppo Tutti e concedere autorizzazioni di lettura/scrittura al gruppo degli amministratori. A tale scopo, assegnare la priorità 1 per il gruppo degli amministratori e assegnare la priorità 0 per il gruppo Tutti.
  
  La priorità di una regola di blocco è superiore a quella di una regola di autorizzazione. In altre parole, se un utente è stato aggiunto a più gruppi e la priorità di tutte le regole è la stessa, Kaspersky Endpoint Security regola l'accesso al dispositivo in base a qualsiasi regola di blocco esistente.
3. In Regola per utenti e gruppi, selezionare gli utenti o i gruppi di utenti. È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio.
4. Fare clic su OK.
In Pianificazioni per la regola di accesso selezionata, configurare una pianificazione di accesso ai dispositivi mobili per gli utenti.
Non è possibile configurare una pianificazione di accesso separata per i dispositivi ADB. È possibile configurare una pianificazione di accesso comune per i dispositivi ADB e i dispositivi portatili (MTP).
Configurare le autorizzazioni di accesso degli utenti ai dispositivi mobili nel programma per la gestione dei file (Lettura/Scrittura).
Configurare l'accesso ai dati in un dispositivo mobile tramite l'applicazione ADB utilizzando la casella di controllo Accesso tramite ADB.
Se la casella di controllo è deselezionata, quando il dispositivo mobile è connesso, l'applicazione ADB non può rilevare il dispositivo.
In Accesso tramite iTunes, configurare l'accesso ai dati nel dispositivo mobile tramite l'applicazione iTunes.
Kaspersky Endpoint Security applica le impostazioni per l'accesso ai dispositivi mobili tramite l'applicazione iTunes per tutti gli utenti. Non è possibile configurare una pianificazione di accesso separata per i dispositivi iTunes.
Salvare le modifiche.

Come configurare le regole di accesso ai dispositivi mobili in Web Console e Cloud Console

Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
Selezionare la scheda Impostazioni applicazione.
Passare a Controlli di sicurezza → Controllo dispositivi.
Nella sezione Impostazioni di Controllo dispositivi, fare clic sul collegamento Regole di accesso per i dispositivi e le reti Wi-Fi.
La tabella elenca le regole di accesso per tutti i dispositivi presenti nella classificazione del componente Controllo dispositivi.
Selezionare il tipo di dispositivo Dispositivi portatili (MTP).
Vengono visualizzati i diritti di accesso ai dispositivi portatili (MTP).
In Configurazione delle regole di accesso ai dispositivi, configurare la modalità di accesso ai dispositivi mobili: Consenti, Blocca, Dipende dal bus di connessione o In base alle regole.
Se si seleziona la modalità In base alle regole, è necessario aggiungere le regole di accesso ai dispositivi. A tale scopo, in Utenti, facendo clic sul pulsante Aggiungi e configurare la regola di accesso ai dispositivi mobili:
1. Nel campo Regola di accesso ali dispositivi, impostare la priorità di scrittura della regola. Una regola include i seguenti attributi: account utente, pianificazione, autorizzazioni (lettura/scrittura/accesso ADB) e priorità.
  Una regola ha una priorità specifica. Se un utente è stato aggiunto a più gruppi, Kaspersky Endpoint Security regola l'accesso al dispositivo in base alla regola con la priorità più elevata. Kaspersky Endpoint Security consente di assegnare la priorità da 0 a 10.000. Più alto è il valore, maggiore sarà la priorità. In altre parole, una voce con il valore 0 ha la priorità più bassa.
  
  È ad esempio possibile concedere autorizzazioni di sola lettura al gruppo Tutti e concedere autorizzazioni di lettura/scrittura al gruppo degli amministratori. A tale scopo, assegnare la priorità 1 per il gruppo degli amministratori e assegnare la priorità 0 per il gruppo Tutti.
  
  La priorità di una regola di blocco è superiore a quella di una regola di autorizzazione. In altre parole, se un utente è stato aggiunto a più gruppi e la priorità di tutte le regole è la stessa, Kaspersky Endpoint Security regola l'accesso al dispositivo in base a qualsiasi regola di blocco esistente.
2. In Utenti, selezionare gli utenti o i gruppi di utenti che possono accedere ai dispositivi mobili. È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio.
3. In Pianificazione per l'accesso ai dispositivi, configurare una pianificazione di accesso ai dispositivi mobili per gli utenti.
  Non è possibile configurare una pianificazione di accesso separata per i dispositivi ADB. È possibile configurare una pianificazione di accesso comune per i dispositivi ADB e i dispositivi portatili (MTP).
4. Configurare le autorizzazioni di accesso degli utenti ai dispositivi mobili nel programma per la gestione dei file (Lettura/Scrittura).
5. Configurare l'accesso ai dati in un dispositivo mobile tramite l'applicazione ADB utilizzando la casella di controllo Accesso tramite ADB.
  Se la casella di controllo è deselezionata, quando il dispositivo mobile è connesso, l'applicazione ADB non può rilevare il dispositivo.
6. In Accesso tramite iTunes, configurare l'accesso ai dati nel dispositivo mobile tramite l'applicazione iTunes.
  Kaspersky Endpoint Security applica le impostazioni per l'accesso ai dispositivi mobili tramite l'applicazione iTunes per tutti gli utenti. Non è possibile configurare una pianificazione di accesso separata per i dispositivi iTunes.
Salvare le modifiche.

Come configurare le regole di accesso ai dispositivi mobili nell'interfaccia dell'applicazione

Nella finestra principale dell'applicazione, fare clic sul pulsante .
Nella finestra delle impostazioni dell'applicazione, selezionare Controlli di sicurezza → Controllo dispositivi.
Nel blocco Impostazioni di accesso, fare clic sul pulsante Dispositivi e reti Wi-Fi.
La finestra visualizzata mostra le regole di accesso per tutti i dispositivi inclusi nella classificazione del componente Controllo dispositivi.

Tipi di dispositivi nel componente Controllo dispositivi
Nella sezione Accesso ai dispositivi di archiviazione, fare clic sul collegamento Dispositivi portatili (MTP).
Viene visualizzata una finestra con le regole di accesso ai dispositivi portatili (MTP).
In Accesso, configurare la modalità di accesso ai dispositivi mobili: Consenti, Blocca, Dipende dal bus di connessione o In base alle regole.
Se si seleziona la modalità In base alle regole, è necessario aggiungere le regole di accesso ai dispositivi:
1. Nel blocco Diritti degli utenti, fare clic sul pulsante Aggiungi.
  Verrà visualizzata una finestra per l'aggiunta di una nuova regola di accesso ai dispositivi mobili.
2. Nel campo Priorità, impostare la priorità di scrittura della regola. Una regola include i seguenti attributi: account utente, pianificazione, autorizzazioni (lettura/scrittura/accesso ADB) e priorità.
  Una regola ha una priorità specifica. Se un utente è stato aggiunto a più gruppi, Kaspersky Endpoint Security regola l'accesso al dispositivo in base alla regola con la priorità più elevata. Kaspersky Endpoint Security consente di assegnare la priorità da 0 a 10.000. Più alto è il valore, maggiore sarà la priorità. In altre parole, una voce con il valore 0 ha la priorità più bassa.
  
  È ad esempio possibile concedere autorizzazioni di sola lettura al gruppo Tutti e concedere autorizzazioni di lettura/scrittura al gruppo degli amministratori. A tale scopo, assegnare la priorità 1 per il gruppo degli amministratori e assegnare la priorità 0 per il gruppo Tutti.
  
  La priorità di una regola di blocco è superiore a quella di una regola di autorizzazione. In altre parole, se un utente è stato aggiunto a più gruppi e la priorità di tutte le regole è la stessa, Kaspersky Endpoint Security regola l'accesso al dispositivo in base a qualsiasi regola di blocco esistente.
3. In Stato, attivare la regola di accesso ai dispositivi mobili.
4. In Regole di accesso, configurare le autorizzazioni di accesso ai dispositivi mobili per gli utenti.
  - Configurare le autorizzazioni di accesso degli utenti ai dispositivi mobili nel programma per la gestione dei file (Lettura/Scrittura).
  - Configurare l'accesso ai dati in un dispositivo mobile tramite l'applicazione ADB utilizzando la casella di controllo Accesso tramite ADB.
    Se la casella di controllo è deselezionata, quando il dispositivo mobile è connesso, l'applicazione ADB non può rilevare il dispositivo.
5. In Utenti, selezionare gli utenti o i gruppi di utenti che possono accedere ai dispositivi mobili. È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio.
6. In Pianificazione per l'accesso ai dispositivi, configurare una pianificazione di accesso ai dispositivi per gli utenti.
  Non è possibile configurare una pianificazione di accesso separata per i dispositivi ADB. È possibile configurare una pianificazione di accesso comune per i dispositivi ADB e i dispositivi portatili (MTP).
7. In Accesso tramite iTunes, configurare l'accesso ai dati nel dispositivo mobile tramite l'applicazione iTunes.
  Kaspersky Endpoint Security applica le impostazioni per l'accesso ai dispositivi mobili tramite l'applicazione iTunes per tutti gli utenti. Non è possibile configurare una pianificazione di accesso separata per i dispositivi iTunes.
Salvare le modifiche.

Di conseguenza, l'accesso degli utenti ai dispositivi mobili è limitato in conformità alle regole. Se è stato vietato l'accesso ai dispositivi mobili nelle applicazioni ADB e iTunes, quando si collega un dispositivo mobile, le applicazioni ADB e iTunes non possono rilevare il dispositivo mobile.

Dispositivi mobili attendibili

I dispositivi attendibili sono dispositivi a cui hanno accesso completo gli utenti specificati nelle impostazioni del dispositivo attendibile.

La procedura per l'aggiunta di un dispositivo mobile attendibile è esattamente la stessa di altri tipi di dispositivi attendibili. È possibile aggiungere un dispositivo mobile in base all'ID o al modello del dispositivo.

Per aggiungere un dispositivo mobile attendibile in base all'ID, sarà necessario un ID univoco (ID hardware - HWID). È possibile trovare l'ID nelle proprietà del dispositivo utilizzando gli strumenti del sistema operativo (vedere la figura seguente). Lo strumento Gestione dispositivi consente di farlo. Gli ID dei dispositivi portatili (MTP) e dei dispositivi ADB e iTunes sono diversi anche per lo stesso dispositivo mobile. L'ID di un dispositivo portatile (MTP) può essere simile al seguente: 15131JECB07440. L'ID di un dispositivo ADB può essere simile al seguente: 6&370DEC2A&0&0001. L'aggiunta di dispositivi in base all'ID è utile se si desidera aggiungere più dispositivi specifici. È possibile usare anche le maschere.

Se sono state installate le applicazioni ADB o iTunes dopo la connessione di un dispositivo al computer, l'ID univoco del dispositivo può essere reimpostato. Questo significa che Kaspersky Endpoint Security identificherà il dispositivo come un nuovo dispositivo. Se un dispositivo è attendibile, aggiungere nuovamente il dispositivo all'elenco dei dispositivi attendibili.

Per aggiungere un dispositivo mobile attendibile in base al modello del dispositivo, sarà necessario il relativo ID fornitore (VID) e ID prodotto (PID). È possibile trovare gli ID nelle proprietà del dispositivo utilizzando gli strumenti del sistema operativo (vedere la figura seguente). Modello per l'immissione di VID e PID: VID_18D1&PID_4EE5. L'aggiunta di dispositivi in base al modello è utile se si utilizzano dispositivi di un determinato modello nell'organizzazione. In tal modo è possibile aggiungere tutti i dispositivi di questo modello.

Finestra delle proprietà del dispositivo portatile (MTP) in Gestione dispositivi.

ID dispositivo in Gestione dispositivi

Inizio pagina