管理存取行動裝置的權限

Kaspersky Endpoint Security 允許您控制對執行 Android 和 iOS 的行動裝置上的資料的存取。行動裝置屬於攜帶式裝置 (MTP) 類別。因此，若要配置對行動裝置上的資料的存取，您需要編輯攜帶式裝置 (MTP) 的存取設定。

當某個行動裝置連線到電腦時，作業系統會確定裝置類型。如果電腦上安裝了 Android 診斷橋 (ADB)、iTunes 或其等效應用程式，作業系統會將行動裝置辨識為 ADB 或 iTunes 裝置。在所有其他情況下，作業系統可能將行動裝置類型辨識為用於檔案傳輸的可攜式裝置 (MTP)、用於影像傳輸的 PTP 裝置（相機）或其他裝置。裝置類型取決於行動裝置的型號和所選的 USB 連線模式。Kaspersky Endpoint Security 可讓您在 ADB 應用程式、iTunes 或檔案管理器中為行動裝置上的資料配置單獨的存取權限。在所有其他情況下，裝置控制允許根據攜帶式裝置 (MTP) 存取規則存取行動裝置。

存取行動裝置的權限

行動裝置屬於攜帶式裝置 (MTP) 類別，因此它們的設定相同。您可以選擇以下行動裝置存取模式之一：

允許。Kaspersky Endpoint Security 允許完整存取行動裝置。您可以使用檔案管理器或 ADB 和 iTunes 應用程式在行動裝置上開啟、建立、修改、複製或刪除檔案。您還可以通過將行動裝置連線到電腦的 USB 連接埠來為裝置的電池充電。
封鎖。Kaspersky Endpoint Security 限制檔案管理器以及 ADB 和 iTunes 應用程式中對行動裝置的存取。該應用程式只允許存取“受信任行動裝置”。您還可以通過將行動裝置連線到電腦的 USB 連接埠來為裝置的電池充電。
取決於連線匯流排。Kaspersky Endpoint Security 允許根據 USB 連線狀態（允許或封鎖）連線到行動裝置。
按規則。Kaspersky Endpoint Security 根據規則限制對行動裝置的存取。在規則中，您可以配置存取權限（讀/寫），選擇可以存取行動裝置的使用者或使用者群組，並配置行動裝置的存取排程。您還可以透過 ADB 和 iTunes 應用程式限制對行動裝置上的資料的存取。

配置行動裝置存取規則

攜帶式裝置 (MTP)、ADB 裝置和 iTunes 裝置的存取規則配置不同。對於攜帶式裝置 (MTP) 和 ADB 裝置，您可以為單個使用者或使用者群組配置規則，並為何時套用規則建立排程。對於 iTunes 裝置，您不能這樣做。您只能允許或拒絕所有使用者透過 iTunes 應用程式存取資料。

如何在管理主控台 (MMC) 中配置行動裝置存取規則

開啟卡巴斯基安全管理中心管理主控台。
在主控台樹狀目錄中，選擇“政策”。
選擇必要的政策並點擊以開啟政策內容。
在政策視窗中，選擇“安全控制 → 裝置控制”。
在裝置控制設定下，選擇裝置類型標籤。
表格列出了“裝置控制”元件分類中存在的所有裝置的存取規則。
在“可攜式裝置(MTP)”裝置類型的內容功能表中，配置行動裝置存取模式：允許，封鎖，或者取決於連線匯流排。
若要配置行動裝置存取規則，請點擊兩下開啟規則清單。
配置行動裝置存取規則：
1. 在”存取規則”塊中，點擊”新增”按鈕。
  這將開啟一個用於新增新行動裝置存取規則的視窗。
2. 在優先欄位中，設定規則寫入優先順序。規則包括以下屬性：使用者帳戶，排程，權限（讀取/寫入/ADB 存取）和優先順序。
  規則具有特定的優先順序。如果已將使用者新增到多個群組，則 Kaspersky Endpoint Security 會根據具有最高優先順序的規則來管理裝置存取。Kaspersky Endpoint Security 允許分配從 0 到 10,000 的優先順序。值越高，優先順序越高。換言之，值為 0 的項目具有最低的優先順序。
  
  例如，您可以向 Everyone 群組授予只讀權限，向管理員群組授予讀/寫權限。為此，請為管理員群組分配優先順序 1，為 Everyone 群組分配優先順序 0。
  
  封鎖規則的優先等級高於允許規則的優先等級。換句話說，如果已將使用者新增到多個群組，並且所有規則的優先順序都相同，則 Kaspersky Endpoint Security 會根據任何現有的封鎖規則來管理裝置存取。
3. 在“使用者和/或使用者群組規則”，選擇使用者或使用者群組。您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。
4. 單擊“確定”。
在“所選存取規則的排程”下方，設定使用者的行動裝置存取排程。
無法為 ADB 裝置配置單獨的存取排程。您可以為 ADB 裝置和攜帶式裝置 (MTP) 配置通用存取排程。
在檔案管理器中配置使用者對行動裝置的存取權限（讀取 / 寫入）。
使用透過 ADB 存取核取方塊配置透過 ADB 應用程式對行動裝置上資料進行存取。
如果清除該核取方塊，當連線行動裝置時，ADB 應用程式將被阻止偵測該裝置。
在透過 iTunes 存取下，配置透過 iTunes 應用程式對行動裝置上的資料進行存取。
Kaspersky Endpoint Security 透過 iTunes 應用程式為所有使用者套用行動裝置存取設定。無法為 iTunes 裝置配置單獨的存取排程。
儲存變更。

如何在網頁主控台和雲端主控台中配置行動裝置存取規則

在網頁主控台的主視窗中，選擇裝置 → 政策和設定檔。
點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
選擇“應用程式設定”標籤。
轉到”安全控制”→”裝置控制”。
在”裝置控制設定”塊中，點擊”裝置和 wi-fi 網路的存取規則”連接。
表格列出了“裝置控制”元件分類中存在的所有裝置的存取規則。
選取“可攜式裝置(MTP)”裝置類型。
這將開啟攜帶式裝置 (MTP) 存取權限。
在“配置裝置存取規則”下方，配置行動裝置存取模式：允許，封鎖，取決於連線匯流排，或者按規則。
如果選擇“按規則”模式，必須為裝置新增存取規則。為此，在“使用者”下方，點擊“新增”按鈕並配置行動裝置存取規則：
1. 在裝置存取規則欄位中，設定規則寫入優先順序。規則包括以下屬性：使用者帳戶，排程，權限（讀取/寫入/ADB 存取）和優先順序。
  規則具有特定的優先順序。如果已將使用者新增到多個群組，則 Kaspersky Endpoint Security 會根據具有最高優先順序的規則來管理裝置存取。Kaspersky Endpoint Security 允許分配從 0 到 10,000 的優先順序。值越高，優先順序越高。換言之，值為 0 的項目具有最低的優先順序。
  
  例如，您可以向 Everyone 群組授予只讀權限，向管理員群組授予讀/寫權限。為此，請為管理員群組分配優先順序 1，為 Everyone 群組分配優先順序 0。
  
  封鎖規則的優先等級高於允許規則的優先等級。換句話說，如果已將使用者新增到多個群組，並且所有規則的優先順序都相同，則 Kaspersky Endpoint Security 會根據任何現有的封鎖規則來管理裝置存取。
2. 在“使用者”下方，選擇存取行動裝置的使用者或者使用者群組。您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。
3. 在“裝置存取排程”下方，設定使用者的行動裝置存取排程。
  無法為 ADB 裝置配置單獨的存取排程。您可以為 ADB 裝置和攜帶式裝置 (MTP) 配置通用存取排程。
4. 在檔案管理器中配置使用者對行動裝置的存取權限（讀取 / 寫入）。
5. 使用透過 ADB 存取核取方塊配置透過 ADB 應用程式對行動裝置上資料進行存取。
  如果清除該核取方塊，當連線行動裝置時，ADB 應用程式將被阻止偵測該裝置。
6. 在透過 iTunes 存取下，配置透過 iTunes 應用程式對行動裝置上的資料進行存取。
  Kaspersky Endpoint Security 透過 iTunes 應用程式為所有使用者套用行動裝置存取設定。無法為 iTunes 裝置配置單獨的存取排程。
儲存變更。

如何在應用程式介面中配置行動裝置存取規則

在“應用程式主視窗”中，點擊按鈕。
在應用程式設定視窗中，選取”安全控制“→“裝置控制”。
在”存取設定”塊中，點擊”裝置和 Wi-Fi 網路”按鈕。
開啟的視窗顯示了裝置控制元件類別中包括的所有裝置的存取規則。

裝置控制元件中的裝置類型
在”存取儲存裝置”塊中，點擊”可攜式裝置(MTP)”連接。
這將開啟一個包含攜帶式裝置 (MTP) 存取規則的視窗。
在“存取”下方，配置行動裝置存取模式：允許，封鎖，取決於連線匯流排，或者按規則。
如果選擇“按規則”模式，必須為裝置新增存取規則：
1. 在”使用者權限”塊中，點擊”新增”按鈕。
  這將開啟一個用於新增新行動裝置存取規則的視窗。
2. 在優先欄位中，設定規則寫入優先順序。規則包括以下屬性：使用者帳戶，排程，權限（讀取/寫入/ADB 存取）和優先順序。
  規則具有特定的優先順序。如果已將使用者新增到多個群組，則 Kaspersky Endpoint Security 會根據具有最高優先順序的規則來管理裝置存取。Kaspersky Endpoint Security 允許分配從 0 到 10,000 的優先順序。值越高，優先順序越高。換言之，值為 0 的項目具有最低的優先順序。
  
  例如，您可以向 Everyone 群組授予只讀權限，向管理員群組授予讀/寫權限。為此，請為管理員群組分配優先順序 1，為 Everyone 群組分配優先順序 0。
  
  封鎖規則的優先等級高於允許規則的優先等級。換句話說，如果已將使用者新增到多個群組，並且所有規則的優先順序都相同，則 Kaspersky Endpoint Security 會根據任何現有的封鎖規則來管理裝置存取。
3. 在“狀態”下方，開啟行動裝置存取規則。
4. 在“存取規則”下方，為使用者配置行動裝置存取權限。
  - 在檔案管理器中配置使用者對行動裝置的存取權限（讀取 / 寫入）。
  - 使用透過 ADB 存取核取方塊配置透過 ADB 應用程式對行動裝置上資料進行存取。
    如果清除該核取方塊，當連線行動裝置時，ADB 應用程式將被阻止偵測該裝置。
5. 在“使用者”下方，選擇存取行動裝置的使用者或者使用者群組。您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。
6. 在“裝置存取排程”下方，設定使用者的裝置存取排程。
  無法為 ADB 裝置配置單獨的存取排程。您可以為 ADB 裝置和攜帶式裝置 (MTP) 配置通用存取排程。
7. 在透過 iTunes 存取下，配置透過 iTunes 應用程式對行動裝置上的資料進行存取。
  Kaspersky Endpoint Security 透過 iTunes 應用程式為所有使用者套用行動裝置存取設定。無法為 iTunes 裝置配置單獨的存取排程。
儲存變更。

結果，使用者對行動裝置的存取會根據規則受到限制。如果您在 ADB 和 iTunes 應用程式中禁止存取行動裝置，當您連線行動裝置時，ADB 和 iTunes 應用程式將被禁止偵測該行動裝置。

受信任行動裝置

信任的裝置是指在信任裝置設定中指定的使用者可隨時進行完全存取的裝置。

新增受信任行動裝置的過程和新增其它類型受信任裝置的過程一模一樣。您可以依據 ID 或者裝置型號新增行動裝置。

若要依據 ID 新增受信任行動裝置，您將需要一個唯一 ID（硬體 ID – HWID）。您可以使用作業系統工具在裝置內容中找到 ID（請見下圖）。裝置管理器工具可讓您做到這點。攜帶式裝置（MTP）和 ADB、iTunes 裝置的 ID 即使對於同一個行動裝置也不同。攜帶式裝置 (MTP) 的 ID 可能如下所示：15131JECB07440。ADB 裝置的 ID 可能如下所示：6&370DEC2A&0&0001。如果要新增多個特定裝置，則按 ID 新增裝置很方便。您也可以使用遮罩。

如果在將裝置連線到電腦後安裝了 ADB 或 iTunes 應用程式，則該裝置的唯一 ID 可能會重設。這意味著 Kaspersky Endpoint Security 會將此裝置識別為新裝置。如果該裝置受信任，請再次將其新增至受信任清單。

若要按裝置型號新增受信任行動裝置，您將需要其供應商 ID (VID) 和產品 ID (PID)。您可以使用作業系統工具在裝置內容中找到 ID（請見下圖）。用於輸入 VID 和 PID 的範本：VID_18D1&PID_4EE5。如果在組織中使用特定型號的裝置，則按型號新增裝置很方便。這樣，您可以新增該型號的所有裝置。

裝置管理器中的攜帶式裝置 (MTP) 內容視窗。裝置管理器中的 ADB 裝置內容視窗。

裝置管理器中的裝置 ID

頁面頂部