Контроль доступа к мобильным устройствам

Kaspersky Endpoint Security позволяет управлять доступом к данным на мобильных устройствах под управлением Android и iOS. Мобильные устройства относятся к портативным устройствам (MTP). Поэтому, чтобы настроить доступ к данным на мобильных устройствах вам нужно перейти в настройки доступа к портативным устройствам (MTP).

При подключении мобильного устройства к компьютеру операционная система определяет тип устройства. Если на компьютере установлены приложения Android Debug Bridge (ADB), iTunes или их аналоги, операционная система определяет мобильные устройства как ADB- или iTunes-устройства. В остальных случаях операционная система может определить тип мобильного устройства как портативное устройство (MTP) для передачи файлов, PTP-устройство (камера) для передачи изображений или другое устройство. Тип устройства зависит от модели мобильного устройства и выбранного режима подключения по USB. Kaspersky Endpoint Security позволяет настроить отдельные права доступа к данным на мобильных устройствах в приложениях ADB, iTunes или файловом менеджере. В остальных случаях Контроль устройств предоставляет доступ к мобильным устройствам согласно правилам доступа к портативным устройствам (MTP).

Доступ к мобильным устройствам

Так как мобильные устройства относятся к портативным устройствам (MTP), настройки доступа у этих устройств общие. Вы можете выбрать один из следующих режимов доступа к мобильным устройствам:

Разрешать . Kaspersky Endpoint Security предоставляет полный доступ к мобильным устройствам. Вы можете открывать, создавать, изменять, копировать или удалять файлы на мобильных устройствах с помощью файлового менеджера или приложений ADB и iTunes. Также вы можете заряжать батарею устройства, подключив мобильное устройств через USB к компьютеру.
Запрещать . Kaspersky Endpoint Security ограничивает доступ к мобильным устройствам в файловом менеджере и приложениях ADB и iTunes. Приложение разрешает доступ только к доверенным мобильным устройствам. Также вы можете заряжать батарею устройства, подключив мобильное устройство через USB к компьютеру.
Зависит от шины подключения . Kaspersky Endpoint Security ограничивает доступ к мобильным устройствам в соответствии со статусом подключения к шине USB (Разрешать или Запрещать ).
По правилам . Kaspersky Endpoint Security ограничивает доступ к мобильным устройствам в соответствии с правилами. В правилах вы можете настроить права доступа (чтение / запись), выбрать пользователей или группу пользователей, которые имеют доступ к мобильным устройствам и задать расписание доступа к мобильным устройствам. Также вы можете ограничить доступ к данным на мобильных устройствах через приложения ADB и iTunes.

Настройка правил доступа к мобильным устройствам

Настройка правил доступа для портативных устройств (MTP), ADB- и iTunes-устройств отличается. Для портативных устройств (MTP) и ADB-устройств вы можете назначать правила для отдельных пользователей или групп пользователей и составлять расписание работы правил. Для iTunes-устройств таких возможностей нет. Вы можете только разрешить или запретить доступ к данным через приложение iTunes для всех пользователей.

Как настроить правила доступа к мобильным устройствам в Консоли администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В дереве консоли выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Контроль безопасности → Контроль устройств.
В блоке Настройки Контроля устройств выберите закладку Типы устройств.
В таблице находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.
В контекстном меню для типа устройств Портативные устройства (MTP) настройте режим доступа к мобильным устройствам: Разрешать , Запрещать или Зависит от шины подключения .
Для настройки правил доступа к мобильным устройствам откройте список правил двойным щелчком мыши.
Настройте правило доступа к мобильным устройствам:
1. В блоке Правила доступа нажмите на кнопку Добавить.
  Откроется окно добавления нового правила доступа к мобильным устройствам.
2. В поле Приоритет задайте приоритет записи правила. Запись правила включает в себя следующие атрибуты: учетная запись, расписание, разрешения (чтения / запись / доступ через ADB) и приоритет.
  Запись правила имеет приоритет. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Kaspersky Endpoint Security позволяет назначить приоритет от 0 до 10 000. Чем больше значение, тем выше приоритет. То есть, запись со значением 0 имеет наименьший приоритет.
  
  Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 1, а группе "Все" приоритет 0.
  
  Приоритет запрещающей записи правила выше приоритета разрешающей записи. То есть, если пользователь добавлен в несколько групп и приоритет записей правила одинаковый, Kaspersky Endpoint Security регулирует доступ по записи запрещающей доступ к устройству.
3. В блоке Правило для пользователей и групп выберите пользователей или группы пользователей. Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно.
4. Нажмите на кнопку OК.
В блоке Расписания для выбранного правила доступа настройте расписание доступа к мобильным устройствам для пользователей.
Настроить отдельное расписание доступа к ADB-устройствам невозможно. Вы можете настроить общее расписание для ADB-устройств и портативных устройств (MTP).
Настройте разрешения пользователей для доступа к мобильным устройствам в файловом менеджере (Чтение / Запись).
Настройте доступ к данным мобильного устройства через приложение ADB с помощью флажка Доступ через ADB.
Если флажок снят, при подключении мобильного устройства приложение ADB не сможет обнаружить устройство.
В блоке Доступ через iTunes настройте доступ к данным мобильного устройства через приложение iTunes.
Kaspersky Endpoint Security применяет настройки доступа к мобильным устройствам через приложение iTunes для всех пользователей. Настроить отдельное расписание доступа к iTunes-устройствам невозможно.
Сохраните внесенные изменения.

Как настроить правила доступа к мобильным устройствам в Web Console и Cloud Console

В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Контроль безопасности → Контроль устройств.
В блоке Настройки Контроля устройств перейдите по ссылке Правила доступа для устройств и сетей Wi-Fi.
В таблице находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.
Выберите тип устройств Портативные устройства (MTP).
Откроются правила доступа к портативным устройствам (MTP).
В блоке Настройка правил доступа к устройствам настройте режим доступа к мобильным устройствам: Разрешать, Запрещать, Зависит от шины подключения или По правилам.
Если вы выбрали режим По правилам, вам нужно добавить правила доступа к устройствам. Для этого в блоке Пользователи нажмите на кнопку Добавить и настройте правило доступа к мобильным устройствам:
1. В поле Правило доступа к устройствам задайте приоритет записи правила. Запись правила включает в себя следующие атрибуты: учетная запись, расписание, разрешения (чтения / запись / доступ через ADB) и приоритет.
  Запись правила имеет приоритет. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Kaspersky Endpoint Security позволяет назначить приоритет от 0 до 10 000. Чем больше значение, тем выше приоритет. То есть, запись со значением 0 имеет наименьший приоритет.
  
  Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 1, а группе "Все" приоритет 0.
  
  Приоритет запрещающей записи правила выше приоритета разрешающей записи. То есть, если пользователь добавлен в несколько групп и приоритет записей правила одинаковый, Kaspersky Endpoint Security регулирует доступ по записи запрещающей доступ к устройству.
2. В блоке Пользователи выберите пользователей или группы пользователей для доступа к мобильным устройствам. Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно.
3. В блоке Расписание доступа к устройствам настройте расписание доступа к мобильным устройствам для пользователей.
  Настроить отдельное расписание доступа к ADB-устройствам невозможно. Вы можете настроить общее расписание для ADB-устройств и портативных устройств (MTP).
4. Настройте разрешения пользователей для доступа к мобильным устройствам в файловом менеджере (Чтение / Запись).
5. Настройте доступ к данным мобильного устройства через приложение ADB с помощью флажка Доступ через ADB.
  Если флажок снят, при подключении мобильного устройства приложение ADB не сможет обнаружить устройство.
6. В блоке Доступ через iTunes настройте доступ к данным мобильного устройства через приложение iTunes.
  Kaspersky Endpoint Security применяет настройки доступа к мобильным устройствам через приложение iTunes для всех пользователей. Настроить отдельное расписание доступа к iTunes-устройствам невозможно.
Сохраните внесенные изменения.

Как настроить правила доступа к мобильным устройствам в интерфейсе приложения

В главном окне приложения нажмите на кнопку .
В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Контроль устройств.
В блоке Настройка доступа нажмите на кнопку Устройства и сети Wi-Fi.
В открывшемся окне находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

Типы устройств Контроля устройств
В блоке Доступ к запоминающим устройствам перейдите по ссылке Портативные устройства (MTP).
В открывшемся окне находятся правила доступа к портативным устройствам (MTP).
В блоке Доступ настройте режим доступа к мобильным устройствам: Разрешать, Запрещать, Зависит от шины подключения или По правилам.
Если вы выбрали режим По правилам, вам нужно добавить правила доступа к устройствам:
1. В блоке Права пользователей нажмите на кнопку Добавить.
  Откроется окно добавления нового правила доступа к мобильным устройствам.
2. В поле Приоритет задайте приоритет записи правила. Запись правила включает в себя следующие атрибуты: учетная запись, расписание, разрешения (чтения / запись / доступ через ADB) и приоритет.
  Запись правила имеет приоритет. Если пользователь добавлен в несколько групп, Kaspersky Endpoint Security регулирует доступ к устройству по записи правила с высшим приоритетом. Kaspersky Endpoint Security позволяет назначить приоритет от 0 до 10 000. Чем больше значение, тем выше приоритет. То есть, запись со значением 0 имеет наименьший приоритет.
  
  Например, вы можете предоставить разрешение только на чтение для группы "Все" и разрешение на чтение и запись для группы администраторов. Для этого назначьте записи для группы администраторов приоритет 1, а группе "Все" приоритет 0.
  
  Приоритет запрещающей записи правила выше приоритета разрешающей записи. То есть, если пользователь добавлен в несколько групп и приоритет записей правила одинаковый, Kaspersky Endpoint Security регулирует доступ по записи запрещающей доступ к устройству.
3. В блоке Состояние включите правило доступа к мобильным устройствам.
4. В блоке Права доступа настройте разрешения пользователей для доступа к мобильным устройствам.
  - Настройте разрешения пользователей для доступа к мобильным устройствам в файловом менеджере (Чтение / Запись).
  - Настройте доступ к данным мобильного устройства через приложение ADB с помощью флажка Доступ через ADB.
    Если флажок снят, при подключении мобильного устройства приложение ADB не сможет обнаружить устройство.
5. В блоке Пользователи выберите пользователей или группы пользователей для доступа к мобильным устройствам. Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно.
6. В блоке Расписание доступа к устройствам настройте расписание доступа к устройствам для пользователей.
  Настроить отдельное расписание доступа к ADB-устройствам невозможно. Вы можете настроить общее расписание для ADB-устройств и портативных устройств (MTP).
7. В блоке Доступ через iTunes настройте доступ к данным мобильного устройства через приложение iTunes.
  Kaspersky Endpoint Security применяет настройки доступа к мобильным устройствам через приложение iTunes для всех пользователей. Настроить отдельное расписание доступа к iTunes-устройствам невозможно.
Сохраните внесенные изменения.

В результате пользователям будет ограничен доступ к мобильным устройствам согласно правилам. Если вы запретили доступ к мобильным устройствам в приложениях ADB и iTunes, при подключении мобильного устройства приложения ADB и iTunes не смогут обнаружить мобильное устройство.

Доверенные мобильные устройства

Доверенные устройства – это устройства, полный доступ к которым разрешен в любое время для пользователей, указанных в параметрах доверенного устройства.

Добавление доверенного мобильного устройства ничем не отличается от добавления других типов доверенных устройств. Вы можете добавить мобильное устройство по идентификатору или модели устройства.

Для добавления доверенного мобильного устройства по идентификатору, вам понадобится уникальный идентификатор (англ. Hardware ID, HWID). Вы можете просмотреть идентификатор в свойствах устройства средствами операционной системы (см. рис. ниже). Для этого предназначен инструмент Диспетчер устройств (англ. Device Manager). Идентификаторы для портативных устройств (MTP) и ADB-, iTunes-устройств отличаются, даже если это одно мобильное устройство. Пример идентификатора портативного устройства (MTP): 15131JECB07440. Пример идентификатора ADB-устройства: 6&370DEC2A&0&0001. Добавлять устройства по идентификатору удобно, если вы хотите добавить несколько определенных устройств. Также вы можете использовать маски.

Если вы установили приложение ADB или iTunes после подключения устройства к компьютеру, уникальный идентификатор устройства может быть сброшен. То есть, Kaspersky Endpoint Security определит это устройство как новое. Если устройство доверенное, добавьте устройство в список доверенных повторно.

Для добавления доверенного мобильного устройства по модели, вам понадобятся идентификатор производителя (англ. Vendor ID, VID) и идентификатор продукта (англ. Product ID, PID). Вы можете просмотреть идентификаторы в свойствах устройства средствами операционной системы (см. рис. ниже). Шаблон для ввода VID и PID: VID_18D1&PID_4EE5. Добавлять устройства по модели удобно, если вы используете в вашей организации устройства определенной модели. Таким образом, вы можете добавить все устройства этой модели.

Окно свойств портативного устройства (MTP) в Диспетчере устройств. Окно свойств ADB-устройства в Диспетчере устройств.

Идентификатор устройства в Диспетчере устройств

В начало