管理对移动设备的访问

Kaspersky Endpoint Security 允许您控制对运行 Android 和 iOS 的移动设备上的数据的访问。移动设备属于便携式设备 (MTP) 类别。因此，要配置对移动设备的数据访问，您需要编辑便携式设备（MTP）的访问设置。

当某个移动设备连接到计算机时，操作系统会确定设备类型。如果计算机上安装了 Android 调试桥 (ADB)、iTunes 或其等效应用程序，操作系统会将移动设备识别为 ADB 或 iTunes 设备。在所有其他情况下，操作系统可能将移动设备类型识别为用于文件传输的便携式设备 (MTP)、用于图像传输的 PTP 设备（相机）或其他设备。设备类型取决于移动设备的型号和所选的 USB 连接模式。Kaspersky Endpoint Security 允许您在 ADB 应用程序、iTunes 或文件管理器中为移动设备上的数据配置单独的访问权限。在所有其他情况下，设备控制允许根据便携式设备（MTP）访问规则访问移动设备。

对移动设备的访问

移动设备属于便携式设备 (MTP) 类别，因此它们的设置相同。你可以选择以下访问移动设备的模式之一：

允许。Kaspersky Endpoint Security 允许完全访问移动设备。您可以使用文件管理器或 ADB 和 iTunes 应用程序在移动设备上打开、创建、修改、复制或删除文件。您还可以通过将移动设备连接到计算机的 USB 端口来为设备的电池充电。
阻止。Kaspersky Endpoint Security 在文件管理器以及 ADB 和 iTunes 应用程序中限制对移动设备的访问。该应用程序只允许访问受信任的移动设备。您还可以通过将移动设备连接到计算机的 USB 端口来为设备的电池充电。
取决于连接总线。Kaspersky Endpoint Security 允许根据 USB 连接状态（允许或阻止）连接到移动设备。
根据规则。Kaspersky Endpoint Security 根据规则限制对移动设备的访问。在规则中，您可以配置访问权限（读/写），选择可以访问移动设备的用户或用户组，并配置移动设备的访问计划。您还可以限制通过 ADB 和 iTunes 应用程序对移动设备数据的访问。

配置移动设备访问规则

便携式设备（MTP）、ADB 设备和 iTunes 设备的访问规则配置不同。对于便携式设备（MTP）和 ADB 设备，您可以为单个用户或用户组配置规则，并为规则的应用时间创建时间表。对于 iTunes 设备，您不能这样做。您只能允许或拒绝所有用户通过 iTunes 应用程序访问数据。

如何在管理控制台（MMC）中配置移动设备访问规则

打开 Kaspersky Security Center Administration Console。
在控制台树中，选择“策略”。
选择必要的策略并双击以打开策略属性。
在策略窗口中，选择安全控制 → 设备控制。
在“设备控制设置”下，选择“设备类型”选项卡。
该表列出了设备控制组件分类中存在的所有设备的访问规则。
在上下文菜单中，对于“便携式设备(MTP)”设备类型，配置移动设备访问模式：允许、阻止或者取决于连接总线。
要配置移动设备访问规则，请双击打开规则列表。
配置移动设备访问规则：
1. 在“访问规则”块中单击“添加”按钮。
  这将打开添加新移动设备访问规则的窗口。
2. 在“优先级”字段，设置规则写入优先级。规则包含以下属性：用户账户、计划、权限（读/写/ADB 访问）和优先级。
  规则具有特定优先级。如果用户被添加到若干组，Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高，优先级越高。也就是说，0 值具有最低优先级。
  
  例如，您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此，给管理员组分配优先级 1，给 Everyone 组分配优先级 0。
  
  阻止规则的优先级高于允许规则的优先级。换句话说，如果一个用户被添加到若干组且所有规则的优先级一样，Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
3. 在“用户和组规则”下，选择用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。
4. 单击“确定”。
在“所选访问规则的计划”下，为用户配置移动设备访问计划。
无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
在文件管理器中配置用户对移动设备的访问权限（读取 / 写入）。
使用“通过 ADB 访问”复选框配置通过 ADB 应用程序对移动设备上数据的访问。
如果清除该复选框，当连接移动设备时，ADB 应用程序将无法检测到该设备。
在“通过 iTunes 访问”下，配置通过 iTunes 应用程序对移动设备上数据的访问。
Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
保存更改。

如何在 Web Console 和云控制台中配置移动设备访问规则

在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
选择应用程序设置选项卡。
选择安全控制 → 设备控制。
在“设备控制设置”区域，单击“设备和 wi-fi 网络的访问规则”链接。
该表列出了设备控制组件分类中存在的所有设备的访问规则。
选择“便携式设备(MTP)”设备类型。
这将打开便携式设备 (MTP) 访问权限。
在“配置设备访问规则”下，配置移动设备访问模式：允许、阻止、取决于连接总线或者根据规则。
如果您选择“根据规则”模式，则必须为设备添加访问规则。为此，在“用户”下，单击“添加”按钮并配置移动设备访问规则：
1. 在“设备访问规则”字段，设置规则写入优先级。规则包含以下属性：用户账户、计划、权限（读/写/ADB 访问）和优先级。
  规则具有特定优先级。如果用户被添加到若干组，Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高，优先级越高。也就是说，0 值具有最低优先级。
  
  例如，您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此，给管理员组分配优先级 1，给 Everyone 组分配优先级 0。
  
  阻止规则的优先级高于允许规则的优先级。换句话说，如果一个用户被添加到若干组且所有规则的优先级一样，Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
2. 在“用户”下，选择要访问移动设备的用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。
3. 在“设备访问计划”下，为用户配置移动设备访问计划。
  无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
4. 在文件管理器中配置用户对移动设备的访问权限（读取 / 写入）。
5. 使用“通过 ADB 访问”复选框配置通过 ADB 应用程序对移动设备上数据的访问。
  如果清除该复选框，当连接移动设备时，ADB 应用程序将无法检测到该设备。
6. 在“通过 iTunes 访问”下，配置通过 iTunes 应用程序对移动设备上数据的访问。
  Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
保存更改。

如何在应用程序界面中配置移动设备访问规则

打开主应用程序窗口并单击按钮。
在应用程序设置窗口中，选择“安全控制” → “设备控制”。
在“访问设置”块中单击“设备和 Wi-Fi 网络”按钮。
打开的窗口显示包含在设备控制组件分类的所有设备的访问规则。

设备控制组件中的设备类型
在“访问存储设备”区域，单击“便携式设备(MTP)”链接。
这将打开一个包含便携式设备 (MTP) 访问规则的窗口。
在“访问”下，配置移动设备访问模式：允许、阻止、取决于连接总线或者根据规则。
如果您选择“根据规则”模式，则必须为设备添加访问规则：
1. 在“用户权限”块中单击“添加”按钮。
  这将打开添加新移动设备访问规则的窗口。
2. 在“优先级”字段，设置规则写入优先级。规则包含以下属性：用户账户、计划、权限（读/写/ADB 访问）和优先级。
  规则具有特定优先级。如果用户被添加到若干组，Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高，优先级越高。也就是说，0 值具有最低优先级。
  
  例如，您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此，给管理员组分配优先级 1，给 Everyone 组分配优先级 0。
  
  阻止规则的优先级高于允许规则的优先级。换句话说，如果一个用户被添加到若干组且所有规则的优先级一样，Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
3. 在“状态”下，打开移动设备访问规则。
4. 在“访问规则”下，为用户配置移动设备访问权限。
  - 在文件管理器中配置用户对移动设备的访问权限（读取 / 写入）。
  - 使用“通过 ADB 访问”复选框配置通过 ADB 应用程序对移动设备上数据的访问。
    如果清除该复选框，当连接移动设备时，ADB 应用程序将无法检测到该设备。
5. 在“用户”下，选择要访问移动设备的用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。
6. 在“设备访问计划”下，为用户配置设备访问计划。
  无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
7. 在“通过 iTunes 访问”下，配置通过 iTunes 应用程序对移动设备上数据的访问。
  Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
保存更改。

因此，用户对移动设备的访问会根据规则受到限制。如果您在 ADB 和 iTunes 应用程序中禁止访问移动设备，当您连接移动设备时，ADB 和 iTunes 应用程序将无法检测到该移动设备。

受信任的移动设备

受信任的设备是指在受信任设备设置中指定的用户可随时进行完全访问的设备。

添加受信任的移动设备的过程与添加其他类型的受信任设备完全相同。您可以按 ID 或设备型号添加移动设备。

要按 ID 添加受信任的移动设备，您需要一个唯一的 ID（硬件 ID–HWID）。您可以使用操作系统工具在设备属性中找到 ID（参见下图）。设备管理器工具允许您执行此操作。便携式设备（MTP）和 ADB、iTunes 设备的 ID 即使对于相同的移动设备也是不同的。便携式设备 (MTP) 的 ID 可能如下所示： 15131JECB07440。ADB 设备的 ID 可能如下所示：6&370DEC2A&0&0001。如果要添加多个特定设备，则按 ID 添加设备很方便。您也可以使用掩码。

如果在将设备连接到计算机后安装了 ADB 或 iTunes 应用程序，则该设备的唯一 ID 可能会重置。这意味着 Kaspersky Endpoint Security 会将此设备识别为新设备。如果该设备受信任，请再次将其添加到受信任列表。

要按设备型号添加受信任的移动设备，您需要其供应商 ID（VID）和产品 ID（PID）。您可以使用操作系统工具在设备属性中找到 ID（参见下图）。用于输入 VID 和 PID 的模板：VID_18D1&PID_4EE5。如果在组织中使用特定型号的设备，则按型号添加设备很方便。这样，您可以添加该型号的所有设备。

设备管理器中的便携式设备 (MTP) 属性窗口。设备管理器中的 ADB 设备属性窗口。

设备管理器中的设备 ID

页面顶部