设备控制
设备控制组件允许您管理用户对已安装到或已连接到客户端设备的设备(例如,硬盘驱动器、摄像头或 Wi-Fi 模块)的访问。访问管理可保护客户端设备在连接外部设备时免受感染,并防止数据丢失或泄露。
KESL 容器不支持此功能。
当 Kaspersky Endpoint Security 启动时,“设备控制”组件会使用默认设置自动启用。
“设备控制”从以下几个方面来控制用户访问:
- 由“设备控制”分类的设备类型,例如打印机、可移动驱动器或 CD/DVD 驱动器。下列其中一种访问模式可应用于每种设备类型:
- 允许,允许访问此类型的设备。
- 阻止,阻止对此类型设备的访问。
- 基于总线:根据用于连接设备的总线的访问模式,允许或阻止对设备的访问。
- 按规则:根据访问规则,允许或阻止对设备的访问。设备访问规则是用于确定哪些用户可以访问已安装在客户端设备上或与其连接的设备,以及在什么时间访问的一组选项。
当连接禁止的设备时,应用程序将拒绝规则中指定的用户访问该设备并显示通知。尝试在此设备上读取和写入期间,应用程序会静默阻止规则中指定的用户读取/写入。
如果您尝试对访问模式设置为“按照规则”的设备执行操作,但访问时未找到已激活的规则,则该操作将被阻止。
- 连接总线。连接总线是用于将设备连接到客户端设备的接口(例如 USB 或 FireWire)。下列其中一种访问模式可应用于连接总线:
- 允许:允许访问通过此连接总线连接的设备。
- 阻止:拒绝访问使用此连接总线连接的设备。
例如,可能拒绝访问所有通过 USB 连接的设备。
默认情况下,所有设备类型均选择取决于连接总线访问模式。连接总线选择允许访问模式。“设备控制”相应地授予用户对所有设备的完全访问权限。
以下 Linux 内核不支持通过系统设备驱动程序按设备类型或连接总线阻止设备:3.10、5.14、5.15、5.17、6.1。在这些内核上,在按规则访问模式下,仅阻止打开文件和读取目录(即获取文件和目录的名称)。在不支持 fanotify 的系统上,也不支持阻止读取目录。
首次启用“设备控制”时,它会为所有检测到的具有已知设备或总线类型的设备生成一个“DeviceAllowed”事件。除非这些设备的控制设置发生变化,否则后续组件运行时不会生成重复事件。
当“设备控制”被禁用时,应用程序将解除对被阻止设备的访问的阻止。
您可以启用、禁用和配置“设备控制”:
- 选择当尝试访问设备控制设置禁止访问的设备时应用程序的操作模式:阻止或仅通知有关访问设备的尝试。
- 根据类型选择设备访问模式。
- 为设备连接时使用的总线选择访问模式。
- 通过将单个设备添加到受信任设备的列表中,将其从“设备控制”范围中移除。受信任设备是用户拥有完全访问权限的设备。您可以通过标识符或标识符掩码将设备添加到受信任设备的列表中。您还可以限制对特定 USB 设备的访问或仅访问 USB 驱动器;对其他 USB 设备的访问将被拒绝。
如果您通过命令行管理应用程序,则可以通过在客户端设备上运行
kesl-control --get-device-list
来查看连接设备的 ID。如果您通过 Kaspersky Security Center 管理应用程序,则有关安装在客户端设备上或与其连接的设备的信息可以发送到管理服务器。默认情况下,信息共享功能处于启用状态。
如果客户端设备受活动策略的控制并与网络代理同步(按照网络代理策略属性中指定的频率执行,默认情况下每 15 分钟一次),则会传输有关设备的信息。
- 定义设备的访问计划:仅硬盘驱动器、可移动驱动器、软盘驱动器和 CD/DVD 驱动器。
在常规应用程序设置中,如果禁用在扫描期间阻止对文件进行访问,则您无法使用设备访问计划来阻止对设备的访问。
- 您可以根据设备的类型定义设备访问规则。在指定时间允许或阻止指定用户的访问。
“设备控制”忽略挂载点排除项。可以通过“设备控制”设置限制对挂载在排除点的设备的访问。