Контроль устройств
Контроль устройств управляет доступом пользователей к установленным или подключенным к компьютеру устройствам (например, жестким дискам, камере или модулю Wi-Fi). Это позволяет защитить компьютер от заражения при подключении этих устройств и предотвратить потерю или утечку данных.
Уровни доступа к устройствам
Контроль устройств управляет доступом на следующих уровнях:
- Тип устройства. Например, принтеры, съемные диски, CD/DVD-приводы.
Вы можете настроить доступ устройств следующим образом:
- Разрешать –
. - Запрещать –
. - По правилам (только принтеры и портативные устройства) –
. - Зависит от шины подключения (кроме Wi-Fi) –
. - Запрещать с исключениями (только Wi-Fi) – .
- Разрешать –
- Шина подключения. Шина подключения – интерфейс, с помощью которого устройства подключаются к компьютеру (например, USB, FireWire). Таким образом, вы можете ограничить подключение всех устройств, например, через USB.
Вы можете настроить доступ устройств следующим образом:
- Разрешать – .
- Запрещать – .
- Разрешать –
- Доверенные устройства. Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.
Вы можете добавить доверенные устройства по следующим данным:
- Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID, HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства:
SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств. - Устройства по модели. Каждое устройство имеет идентификатор производителя (англ. Vendor ID, VID) и идентификатор продукта (англ. Product ID, PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы. Шаблон для ввода VID и PID:
VID_1234&PID_5678. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели. - Устройства по маске идентификатора. Если вы используете несколько устройств с похожими идентификаторами, вы можете добавить устройства в список доверенных с помощью масок. Символ
*заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ?при вводе маски. Например,WDC_C*. - Устройства по маске модели. Если вы используете несколько устройств с похожими VID или PID (например, устройства одного производителя), вы можете добавить устройства в список доверенных с помощью масок. Символ
*заменяет любой набор символов. Kaspersky Endpoint Security не поддерживает символ?при вводе маски. Например,VID_05AC&PID_*.
- Устройства по идентификатору. Каждое устройство имеет уникальный идентификатор (англ. Hardware ID, HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы. Пример идентификатора устройства:
Контроль устройств регулирует доступ пользователей к устройствам с помощью правил доступа. Также Контроль устройств позволяет сохранять события подключения / отключения устройств. Для сохранения событий вам нужно настроить отправку событий в политике.
Если доступ к устройству зависит от шины подключения (статус ), Kaspersky Endpoint Security не сохраняет события подключения / отключения устройства. Чтобы приложение Kaspersky Endpoint Security сохраняла события подключения / отключения устройства, разрешите доступ к соответствующему типу устройств (статус ) или добавьте устройство в список доверенных.
При подключении к компьютеру устройства, доступ к которому запрещен Контролем устройств, Kaspersky Endpoint Security заблокирует доступ и покажет уведомление (см. рис. ниже).
Уведомление Контроля устройств
Алгоритм работы Контроля устройств
Kaspersky Endpoint Security принимает решение о доступе к устройству после того, как пользователь подключил это устройство к компьютеру (см. рис. ниже).
Алгоритм работы Контроля устройств
Если устройство подключено и доступ разрешен, вы можете изменить правило доступа и запретить доступ. В этом случае при очередном обращении к устройству (просмотр дерева папок, чтение, запись) Kaspersky Endpoint Security блокирует доступ. Блокирование устройства без файловой системы произойдет только при последующем подключении устройства.
Если пользователю компьютера с установленным приложением Kaspersky Endpoint Security требуется запросить доступ к устройству, которое, по его мнению, было заблокировано ошибочно, передайте ему инструкцию по запросу доступа.
Параметры компонента Контроль устройств
Параметр |
Описание |
|---|---|
Разрешать запрашивать временный доступ (доступен только в консоли Kaspersky Security Center) |
Если флажок установлен, то кнопка Запросить доступ в локальном интерфейсе Kaspersky Endpoint Security доступна. С помощью этой кнопки пользователь может запросить временный доступ к заблокированному устройству. |
Устройства и сети Wi-Fi
|
Таблица со всеми возможными типами устройств по классификации компонента Контроль устройств и статусом доступа к ним. |
Шины подключения |
Список всех возможных шин подключения по классификации компонента Контроль устройств и статусом доступа к ним. |
Доверенные устройства |
Список доверенных устройств и пользователей, которым разрешен доступ к этим устройствам. |
Анти-Бриджинг |
Анти-Бриджинг предотвращает создание сетевых мостов, исключая возможность одновременной установки нескольких сетевых соединений для компьютера. Это позволяет защитить корпоративную сеть от атак через незащищенные, несанкционированные сети. Анти-Бриджинг блокирует установку нескольких соединений в соответствии с приоритетами устройств. Чем выше находится устройство в списке, тем выше его приоритет. Если активное и новое соединения относятся к одному типу (например, Wi-Fi), Kaspersky Endpoint Security блокирует активное соединение и разрешает установку нового соединения. Если активное и новое соединения относятся к разным типам (например, сетевой адаптер и Wi-Fi), Kaspersky Endpoint Security блокирует соединение с более низким приоритетом и разрешает соединение с более высоким приоритетом. Анти-Бриджинг поддерживает работу со следующими типами устройств: сетевой адаптер, Wi-Fi и модем. |
Шаблоны сообщений |
Сообщение о блокировке. Шаблон сообщения, которое появляется при обращении пользователя к заблокированному устройству. Также сообщение появляется при попытке пользователя совершить операцию над содержимым устройства, которая запрещена для этого пользователя. Сообщение администратору. Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка доступа к устройству или запрет операции над содержимым устройства, по мнению пользователя, произошли ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете доступа к устройству. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки Запросы пользователей. Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты. |