Kiểm soát Thiết bị

Hỗ trợ

Hỗ trợ các Giải pháp doanh nghiệp

Kaspersky Endpoint Security 12 cho Windows

Phụ lục

Phụ lục 1. Thiết lập ứng dụng

Kiểm soát Thiết bị

14 Tháng Hai, 2024

ID 176741

Lưu thành PDF

Kiểm soát thiết bị quản lý quyền truy cập của người dùng đến các thiết bị được cài đặt trên máy tính hoặc kết nối với máy tính (ví dụ, ổ cứng, camera, hoặc mô-đun Wi-Fi). Việc này cho phép bạn bảo vệ máy tính khỏi bị nhiễm độc khi các thiết bị đó được kết nối, và ngăn thất thoát hoặc rò rỉ dữ liệu.

Các cấp truy cập thiết bị

Kiểm soát thiết bị kiểm soát quyền truy cập ở các cấp độ sau:

Loại thiết bị. Ví dụ, máy in, ổ đĩa di động và ổ CD/DVD.
Bạn có thể cấu hình quyền truy cập thiết bị như sau:
- Cho phép – .
- Chặn – .
- Bởi quy tắc (chỉ dành cho máy in và thiết bị di động) – .
- Tùy thuộc vào bus kết nối (ngoại trừ Wi-Fi) – .
- Chặn với ngoại lệ (Chỉ Wi-Fi) – .
Bus kết nối. Một bus kết nối là một giao diện được sử dụng để kết nối các thiết bị đến máy tính (ví dụ: USB hoặc FireWire). Do đó, bạn có thể hạn chế kết nối của tất cả các thiết bị, ví dụ như qua USB.
Bạn có thể cấu hình quyền truy cập thiết bị như sau:
- Cho phép – .
- Chặn – .
Thiết bị được tin tưởng. Thiết bị được tin tưởng là các thiết bị mà những người dùng được quy định trong thiết lập thiết bị được tin tưởng có thể truy cập vào bất cứ lúc nào.
Bạn có thể bổ sung các thiết bị được tin tưởng dựa trên dữ liệu sau:
- Thiết bị bằng ID. Mỗi thiết bị có một mã định danh duy nhất (ID phần cứng hay HWID). Bạn có thể xem ID trong thuộc tính thiết bị bằng cách sử dụng công cụ hệ điều hành. ID thiết bị mẫu: SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000. Thêm thiết bị theo ID là một cách thuận tiện nếu bạn muốn thêm một số thiết bị cụ thể.
- Thiết bị bằng model. Mỗi thiết bị có một ID nhà cung cấp (VID) và một ID sản phẩm (PID). Bạn có thể xem ID trong thuộc tính thiết bị bằng cách sử dụng công cụ hệ điều hành. Mẫu để nhập VID và PID: VID_1234&PID_5678. Thêm thiết bị theo model là cách thuận tiện nếu bạn sử dụng các thiết bị thuộc một model nhất định trong tổ chức của mình. Bằng cách này, bạn có thể thêm tất cả các thiết bị thuộc model này.
- Thiết bị bằng ID đại diện. Nếu bạn đang sử dụng nhiều thiết bị có ID tương tự, bạn có thể thêm thiết bị vào danh sách được tin tưởng bằng cách sử dụng tên đại diện. Ký tự * sẽ thay thế bất kỳ bộ ký tự nào. Kaspersky Endpoint Security không hỗ trợ ký tự ? khi nhập tên đại diện. Ví dụ: WDC_C*.
- Thiết bị theo model đại diện. Nếu bạn đang sử dụng nhiều thiết bị có VID hoặc PID tương tự (ví dụ: các thiết bị của cùng một nhà sản xuất), bạn có thể thêm thiết bị vào danh sách được tin tưởng bằng cách sử dụng tên đại diện. Ký tự * sẽ thay thế bất kỳ bộ ký tự nào. Kaspersky Endpoint Security không hỗ trợ ký tự ? khi nhập tên đại diện. Ví dụ: VID_05AC & PID_ *.

Kiểm soát thiết bị điều chỉnh quyền truy cập của người dùng đến các thiết bị thông qua các quy tắc truy cập. Kiểm soát thiết bị cũng cho phép bạn lưu các sự kiện kết nối/ngắt kết nối thiết bị. Để lưu các sự kiện, bạn cần cấu hình việc đăng ký sự kiện trong một chính sách.

Nếu quyền truy cập một thiết bị tùy thuộc vào bus kết nối (trạng thái ), Kaspersky Endpoint Security sẽ không lưu các sự kiện kết nối/ngắt kết nối thiết bị. Để cho phép Kaspersky Endpoint Security lưu các sự kiện kết nối/ngắt kết nối thiết bị, hãy cho phép truy cập đến loại thiết bị tương ứng (trạng thái ) hoặc thêm thiết bị vào danh sách tin tưởng.

Khi một thiết bị bị chặn bởi Kiểm soát thiết bị được kết nối đến máy tính, Kaspersky Endpoint Security sẽ chặn quyền truy cập và hiển thị một thông báo (xem hình dưới đây).

Thông báo về quyền truy cập thiết bị đã bị chặn. Người dùng có thể yêu cầu quyền truy cập thiết bị tạm thời hoặc vĩnh viễn.

Thông báo Kiểm soát thiết bị

Thuật toán vận hành Kiểm soát thiết bị

Kaspersky Endpoint Security sẽ đưa ra quyết định về việc cho phép truy cập đến một thiết bị hay không, sau khi người dùng kết nối thiết bị đến máy tính (xem hình bên dưới).

Thuật toán vận hành Kiểm soát thiết bị

Nếu một thiết bị được kết nối và được cho phép truy cập, bạn có thể chỉnh sửa quy tắc truy cập và chặn quyền truy cập. Trong trường hợp này, lần tới, khi có người cố truy cập thiết bị (như xem cây thư mục hoặc thực hiện hoạt động đọc hay ghi) thì Kaspersky Endpoint Security sẽ chặn quyền truy cập. Một thiết bị không có hệ thống tập tin sẽ chỉ bị chặn ở lần tiếp theo thiết bị này được kết nối.

Nếu một người dùng của máy tính có cài đặt Kaspersky Endpoint Security phải yêu cầu truy cập đến một thiết bị mà người dùng đó tin là đã bị chặn do nhầm lẫn, hãy gửi cho người dùng đó hướng dẫn yêu cầu truy cập.

Cấu hình thành phần Kiểm soát thiết bị

Tham số	Mô tả
Cho phép yêu cầu truy cập tạm thời (chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center)	Nếu hộp kiểm được chọn, nút Yêu cầu truy cập sẽ có thể được sử dụng thông qua giao diện cục bộ của Kaspersky Endpoint Security. Khi dùng này, người dùng có thể yêu cầu truy cập tạm thời đến một thiết bị bị chặn.
Các thiết bị và mạng Wi-Fi	Bảng này chứa tất cả các loại thiết bị có thể có theo phân loại của thành phần Kiểm soát thiết bị, bao gồm trạng thái truy cập tương ứng của chúng.
Các Bus kết nối	Một danh sách tất cả các bus kết nối có thể sử dụng theo phân loại của thành phần Kiểm soát thiết bị, bao gồm trạng thái truy cập tương ứng của chúng.
Thiết bị được tin tưởng	Danh sách các thiết bị được tin tưởng và người dùng được cấp quyền truy cập các thiết bị này.
Anti-Bridging	Anti-Bridging ngăn tạo các cầu nối mạng bằng cách ngăn thiết lập đồng thời nhiều kết nối mạng cho một máy tính. Tính năng này cho phép bạn bảo vệ mạng doanh nghiệp trước các cuộc tấn công qua mạng không được bảo vệ, mạng phép. Anti-Bridging chặn thiết lập nhiều kết nối theo các mức ưu tiên của thiết bị. Thiết bị có vị trí càng cao trong danh sách thì có mức ưu tiên càng cao. Nếu một kết nối đang hoạt động và một kết nối mới đều cùng loại (như kết nối Wi-Fi), Kaspersky Endpoint Security sẽ chặn kết nối đang hoạt động và cho phép thiết lập kết nối mới. Nếu một kết nối đang hoạt động và một kết nối mới khác loại (ví dụ như kết nối qua bộ điều hợp mạng và kết nối Wi-Fi), Kaspersky Endpoint Security sẽ chặn kết nối có mức ưu tiên thấp hơn và cho phép kết nối có mức ưu tiên cao hơn. Anti-Bridging hỗ trợ hoạt động với các loại thiết bị sau: bộ điều hợp mạng, Wi-Fi và modem.
Tin nhắn mẫu	Tin nhắn về hoạt động chặn. Mẫu thông báo hiển thị khi người dùng cố truy cập thiết bị bị chặn. Thông báo này cũng sẽ hiển thị khi người dùng cố thực hiện một hành động lên nội dung thiết bị bị chặn đối với người dùng này. Thông điệp đến quản trị viên. Một mẫu tin nhắn sẽ được gửi đến quản trị viên mạng LAN khi người dùng tin rằng việc chặn truy cập đến ứng dụng hoặc cấm thao tác với ứng dụng là do nhầm lẫn. Sau khi người dùng yêu cầu cung cấp quyền truy cập, Kaspersky Endpoint Security sẽ gửi một sự kiện đến Kaspersky Security Center: Thông báo chặn truy cập thiết bị gửi đến quản trị viên. Phần mô tả sự kiện chứa một thông báo cho quản trị viên với các biến được thay thế. Bạn có thể xem các sự kiện này trong bảng điều khiển Kaspersky Security Center bằng cách sử dụng lựa chọn sự kiện được định sẵn User requests. Nếu tổ chức của bạn chưa triển khai Kaspersky Security Center hoặc không có kết nối với Máy chủ quản trị thì ứng dụng sẽ gửi một thông báo cho quản trị viên tới địa chỉ email được chỉ định.