设备控制
“设备控制”管理用户对安装在计算机上或连接到计算机的设备(例如,硬盘驱动器、相机或 Wi-Fi 模块)的访问。这样可以在连接此类设备时保护计算机免受感染,并防止丢失或泄漏数据。
设备访问级别
“设备控制”控制以下级别的访问权限:
- 设备类型。例如,打印机、可移动驱动器和 CD/DVD 驱动器。
您可以按如下方式配置设备访问权限:
- 允许 –
。 - 阻止 –
。 - 根据规则(仅对打印机和便携式设备) –
。 - 取决于连接总线(除了 Wi-Fi) –
。 - 阻止但带有例外(仅 Wi-Fi) – .
- 允许 –
- 连接总线。“连接总线”是用于将设备连接到计算机的接口(例如 USB 或 FireWire)。如果为设备类型选择了“取决于连接总线”模式,应用程序根据连接接口(例如 USB)允许或拒绝访问设备。
您可以按如下方式配置设备访问权限:
- 允许 – 。
- 阻止 – 。
- 允许 –
- 受信任设备。受信任的设备是指在受信任设备设置中指定的用户可随时进行完全访问的设备。
您可以根据以下数据添加受信任设备:
- “按 ID 添加设备”。每个设备都有一个唯一的标识符(硬件 ID 或 HWID)。您可以使用操作系统工具在设备属性中查看 ID。设备 ID 示例:
SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000。如果要添加多个特定设备,则按 ID 添加设备很方便。 - “按型号添加设备”。每个设备都有一个供应商 ID (VID) 和一个产品 ID (PID)。您可以使用操作系统工具在设备属性中查看 ID。用于输入 VID 和 PID 的模板:
VID_1234&PID_5678。如果在组织中使用特定型号的设备,则按型号添加设备很方便。这样,您可以添加该型号的所有设备。 - “按 ID 掩码选择设备”。如果您使用多台具有相似 ID 的设备,则可以使用掩码将这些设备添加到受信任列表。
*字符可替换任意一组字符。输入掩码时,Kaspersky Endpoint Security 不支持?字符。例如,WDC_C*。 - “按型号掩码列出的设备”。如果使用多个具有相似 VID 或 PID 的设备(例如,同一制造商的设备),则可以使用掩码将设备添加到受信任列表。
*字符可替换任意一组字符。输入掩码时,Kaspersky Endpoint Security 不支持?字符。例如,VID_05AC&PID_*。
- “按 ID 添加设备”。每个设备都有一个唯一的标识符(硬件 ID 或 HWID)。您可以使用操作系统工具在设备属性中查看 ID。设备 ID 示例:
“设备控制”通过使用访问规则来管理用户对设备的访问。“设备控制”还允许您保存设备连接/断开连接事件。要保存事件,您需要在策略中配置事件注册。
如果对设备的访问权限取决于连接总线( 状态),Kaspersky Endpoint Security 不会保存设备连接/断开连接事件。要使 Kaspersky Endpoint Security 保存设备连接/断开连接事件,请允许访问相应的设备类型( 状态)或将设备添加到信任列表。
当被“设备控制”阻止的设备连接到计算机时,Kaspersky Endpoint Security 将阻止访问并显示通知(请参见下图)。
“设备控制”通知
设备控制运行算法
Kaspersky Endpoint Security 在用户将设备连接到计算机之后做出是否允许访问该设备的决定(请参见下图)。
设备控制运行算法
如果已连接设备并允许访问,您可以编辑访问规则并阻止访问。在这种情况下,下次有人尝试访问该设备(例如查看文件夹树或执行读取或写入操作)时,Kaspersky Endpoint Security 会阻止访问。没有文件系统的设备仅在该设备下一次连接时被阻止。
如果已安装有 Kaspersky Endpoint Security 的计算机上的用户需要请求被错误阻止的设备的访问权限,则向该用户发送请求访问说明。