裝置控制
“裝置控制”管理使用者對安裝在電腦上或連線到電腦的裝置(例如,硬碟磁碟機、相機或 Wi-Fi 模組)的存取。這樣可以在連線此類裝置時防護電腦免受感染,並防止遺失或洩漏資料。
裝置存取等級
“裝置控制”控制以下等級的存取權限:
- 裝置類型。例如,印表機、卸除式磁碟機和 CD/DVD 磁碟機。
您可以按如下方式配置裝置存取權限:
- 允許 –
。 - 封鎖 –
。 - 按規則(僅限印表機和攜帶式裝置) –
。 - 取決於連線匯流排(Wi-Fi 除外) –
。 - 封鎖但帶有例外(僅限 Wi-Fi) – 。
- 允許 –
- 連線匯流排。連線匯流排是用於將裝置連線至電腦的介面(範例 USB 或 FireWire)。因此,您可以限制所有裝置的連線(例如,透過 USB)。
您可以按如下方式配置裝置存取權限:
- 允許 – 。
- 封鎖 – 。
- 允許 –
- 受信任裝置。信任的裝置是指在信任裝置設定中指定的使用者可隨時進行完全存取的裝置。
您可以根據以下資料新增受信任裝置:
- 透過裝置 ID每個裝置都有一個唯一識別碼(硬體 ID 或 HWID)。您可以使用作業系統工具在裝置內容中檢視 ID。裝置 ID 範例:
SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000。如果要新增多個特定裝置,則按 ID 新增裝置很方便。 - 透過裝置型號每個裝置都有一個供應商 ID (VID) 和一個產品 ID (PID)。您可以使用作業系統工具在裝置內容中檢視 ID。用於輸入 VID 和 PID 的範本:
VID_1234&PID_5678。如果在組織中使用特定型號的裝置,則按型號新增裝置很方便。這樣,您可以新增該型號的所有裝置。 - 透過裝置 ID 遮罩如果您使用具有相似 ID 的多個裝置,則可以使用遮罩將裝置新增到受信任清單。
*字元可替換任意一組字元。輸入遮罩時,Kaspersky Endpoint Security 不支援?字元。例如,WDC_C*。 - 依型號遮罩列出的裝置如果您使用具有相似 VID 或 PID 的多個裝置(例如,同一製造商的裝置),則可以使用遮罩將裝置新增到受信任清單。
*字元可替換任意一組字元。輸入遮罩時,Kaspersky Endpoint Security 不支援?字元。例如,VID_05AC & PID_ *。
- 透過裝置 ID每個裝置都有一個唯一識別碼(硬體 ID 或 HWID)。您可以使用作業系統工具在裝置內容中檢視 ID。裝置 ID 範例:
“裝置控制”透過使用存取規則來管理使用者對裝置的存取。“裝置控制”還允許您儲存裝置連線/斷開連線事件。要儲存事件,您需要在政策中配置事件註冊。
如果對裝置的存取權限取決於連線介面( 狀態),Kaspersky Endpoint Security 不會儲存裝置連線/斷開連線事件。要使 Kaspersky Endpoint Security 儲存裝置連線/斷開連線事件,請允許存取相應的裝置類型( 狀態)或將裝置新增到信任清單。
當被“裝置控制”封鎖的裝置連線到電腦時,Kaspersky Endpoint Security 將封鎖存取並顯示通知(請參見下圖)。
“裝置控制”通知
裝置控制執行演算法
Kaspersky Endpoint Security 在使用者將裝置連接到電腦之後做出是否允許存取該裝置的決定(請參見下圖)。
裝置控制執行演算法
如果已連線裝置並允許存取,您可以編輯存取規則並封鎖存取。在這種情況下,下次有人嘗試存取該裝置(例如檢視資料夾樹或執行讀取或寫入操作)時,Kaspersky Endpoint Security 會封鎖存取。沒有檔案系統的裝置僅在該裝置下一次連接時被封鎖。
如果已安裝有 Kaspersky Endpoint Security 的電腦上的使用者需要請求被錯誤封鎖的裝置的存取權限,則向該使用者傳送請求存取說明。
裝置控制元件設定
參數 | 描述 |
|---|---|
允許臨時存取請求 (僅在卡巴斯基安全管理中心主控台中可用) | 如果選中此方塊,“請求存取”按鈕將在 Kaspersky Endpoint Security 的本機介面中可用。使用者可以使用該按鈕來請求臨時存取被封鎖的裝置。 |
裝置和 Wi-Fi 網路
| 該表包含根據裝置控制元件的分類所有可能的裝置類型,包括這些裝置類型各自的存取狀態。 |
連接介面 | 符合“裝置控制”元件分類的所有可用連線匯流排的清單,包括這些連線匯流排各自的存取狀態。 |
受信任裝置 | 被授權存取這些裝置的受信任裝置和使用者的清單。 |
橋接防護 | 橋接防護透過封鎖為一台電腦同時建立多個網路連線來禁止建立橋接器。這樣可以防護公司網路避免未受防護和未經授權的網路上的攻擊。 橋接防護根據裝置的優先順序封鎖建立多個連線。裝置在清單中的位置越高,優先順序越高。 如果活動連線和新連線屬於同一類型(例如 Wi-Fi),則 Kaspersky Endpoint Security 會封鎖活動連線並允許建立新連線。 如果活動連線和新連線屬於不同類型(例如,網路介面卡和 Wi-Fi),則 Kaspersky Endpoint Security 會封鎖具有較低優先順序的連線,允許具有較高優先順序的連線。 橋接防護支援以下類型的裝置的操作:網路介面卡、Wi-Fi 和數據機。 |
訊息範本 | 有關封鎖的訊息當使用者嘗試存取封鎖的裝置時所顯示的訊息的範本。當使用者嘗試對被封鎖使用的裝置內容執行操作時,也會顯示此訊息。 傳送郵件給管理員當使用者確信裝置的存取權限或裝置內容操作被錯誤地禁止時,傳送給 LAN 管理員的訊息的範本。在使用者請求提供存取權限後,Kaspersky Endpoint Security 會向卡巴斯基安全管理中心傳送一個事件:傳送給管理員的裝置存取封鎖訊息。事件描述包含一條給管理員的訊息,其中包含被替換的變數。您可以使用預定義事件選擇使用者請求在 Kaspersky Security Center 控制台中檢視這些事件。如果您的組織沒有部署卡巴斯基安全管理中心或者沒有連線到管理伺服器,應用程式將向管理員傳送一條訊息到指定的電子郵件信箱。 |