Контроль устройств

Компонент Контроль устройств позволяет управлять доступом пользователей к устройствам, которые установлены на клиентском устройстве или подключены к нему (например, жестким дискам, камерам или модулям Wi-Fi). Управление доступом позволяет защитить клиентское устройство от заражения при подключении внешних устройств и предотвратить потерю или утечку данных.

Эта функциональность не поддерживается в KESL-контейнере.

Компонент Контроль устройств включается автоматически с параметрами по умолчанию при запуске приложения Kaspersky Endpoint Security.

Контроль устройств управляет доступом на следующих уровнях:

• Тип устройства по классификации компонента Контроль устройств (например, принтеры, съемные диски, CD/DVD-приводы). Для каждого типа устройств может применяться один из следующих режимов доступа:
  • Разрешать – предоставлять доступ к устройствам этого типа.
  • Блокировать – запрещать доступ к устройствам этого типа.
  • В зависимости от шины подключения – разрешать или запрещать доступ к устройствам в зависимости от режима доступа для шины, по которой подключено устройство.
  • По правилам – разрешать или запрещать доступ к устройствам в зависимости от правил доступа к устройствам. Правило доступа к устройству – это набор параметров, которые определяют, какие пользователи и в какое время могут получить доступ к устройствам, установленным на клиентском устройстве или подключенным к нему.

    При подключении устройства, доступ к которому запрещен, приложение запрещает указанным в правиле пользователям доступ к этому устройству и выводит уведомление. При попытке чтения и записи на этом устройстве приложение запрещает чтение/запись указанным в правиле пользователям без вывода уведомления.

    Если при попытке совершить операцию с устройством, для которого установлен режим доступа По правилам, не нашлось правила, активного на момент доступа, то операция с устройством будет запрещена.

• Шина подключения. Шина подключения – это интерфейс, с помощью которого устройства подключаются к клиентскому устройству (например, USB, FireWire). Для шин подключения может применяться один из следующих режимов доступа:
  • Разрешать – предоставлять доступ к устройствам, подключенным по этой шине подключения.
  • Блокировать – запрещать доступ к устройствам, подключенным по этой шине подключения.

  Например, может быть запрещен доступ ко всем устройствам, подключенным по шине USB.

По умолчанию для всех типов устройств выбран режим доступа В зависимости от шины подключения, для шин подключения выбран режим доступа Разрешать. В соответствии с этими параметрами Контроль устройств предоставляет пользователям полный доступ ко всем устройствам.

Блокировка устройств по типу устройства и по шине подключения через системный драйвер устройства не поддерживается на ядрах ОС Linux: 3.10, 5.14, 5.15, 5.17, 6.1. На этих ядрах, а также при режиме доступа По правилам блокируются только открытие файлов и чтение директорий (то есть получение имен файлов и директорий). На системах, не поддерживающих fanotify, не поддерживается блокировка чтения директорий.

При первом включении компонента Контроль устройств для всех обнаруженных устройств с известным типом устройства или шины формируется событие Доступ к устройству разрешен, а при следующих запусках повторные события для этих устройств не формируются, если не было изменений в параметрах контроля для этих устройств.

При выключении компонента Контроль устройств приложение разблокирует доступ к заблокированным устройствам.

Вы можете включать и выключать Контроль устройств, а также настраивать параметры работы компонента:

• Выбирать режим работы приложения при попытке доступа к устройству, к которому запрещен доступ в соответствии с параметрами Контроля устройств: блокировать или только информировать о попытке доступа к устройству.
• Выбирать режим доступа к устройствам в зависимости от их типа.
• Выбирать режим доступа для шины, по которой подключаются устройства.
• Исключать отдельные устройства из области действия Контроля устройств, добавляя их в список доверенных устройств. Доверенные устройства – это устройства, к которым у пользователей есть полный доступ. Вы можете добавлять устройства в список доверенных по идентификатору или маске идентификатора устройства. Например, вы можете разрешить доступ к конкретным USB-устройствам или только к USB-накопителям, при этом доступ к остальным USB-устройства будет запрещен.

  Если вы управляете приложением с помощью командной строки, вы можете посмотреть идентификаторы подключенных устройств, выполнив на клиентском устройстве команду kesl-control --get-device-list.

  Если вы управляете приложением с помощью Kaspersky Security Center, информация об устройствах, установленных на клиентских устройствах или подключенных к ним, может передаваться на Сервер администрирования. Передача информации включена по умолчанию.

  Информация об устройствах передается, если клиентское устройство находится под управлением активной политики и выполнена синхронизация с Агентом администрирования (выполняется с частотой, указанной в свойствах политики Агента администрирования, по умолчанию – каждые 15 минут).

• Настраивать расписание доступа для устройств (только для жестких дисков, съемных дисков, дискет и CD/DVD-приводов).

  Если в общих параметрах приложения выключена блокировка доступа к файлам во время проверки, то заблокировать доступ к устройствам с помощью расписания доступа для устройств невозможно.

• Настраивать правила доступа к устройствам в зависимости от их типа. Вы можете разрешать или запрещать доступ для указанных пользователей в указанное время.

Контроль устройств игнорирует исключение точек монтирования. Доступ к устройству, смонтированному в исключенной точке монтирования, может быть ограничен в соответствии с настроенными параметрами Контроля устройств.