管理对移动设备的访问
Kaspersky Endpoint Security 允许您控制对运行 Android 和 iOS 的移动设备上的数据的访问。移动设备属于便携式设备 (MTP) 类别。因此,要配置对移动设备的数据访问,您需要编辑便携式设备(MTP)的访问设置。
当某个移动设备连接到计算机时,操作系统会确定设备类型。如果计算机上安装了 Android 调试桥 (ADB)、iTunes 或其等效应用程序,操作系统会将移动设备识别为 ADB 或 iTunes 设备。在所有其他情况下,操作系统可能将移动设备类型识别为用于文件传输的便携式设备 (MTP)、用于图像传输的 PTP 设备(相机)或其他设备。设备类型取决于移动设备的型号和所选的 USB 连接模式。Kaspersky Endpoint Security 允许您在 ADB 应用程序、iTunes 或文件管理器中为移动设备上的数据配置单独的访问权限。在所有其他情况下,设备控制允许根据便携式设备(MTP)访问规则访问移动设备。
对移动设备的访问
移动设备属于便携式设备 (MTP) 类别,因此它们的设置相同。你可以
选择以下访问移动设备的模式之一
:
-
允许
。Kaspersky Endpoint Security 允许完全访问移动设备。您可以使用文件管理器或 ADB 和 iTunes 应用程序在移动设备上打开、创建、修改、复制或删除文件。您还可以通过将移动设备连接到计算机的 USB 端口来为设备的电池充电。
-
阻止
。Kaspersky Endpoint Security 在文件管理器以及 ADB 和 iTunes 应用程序中限制对移动设备的访问。该应用程序只允许访问
受信任的移动设备
。您还可以通过将移动设备连接到计算机的 USB 端口来为设备的电池充电。
-
取决于连接总线
。Kaspersky Endpoint Security 允许根据
USB 连接状态
(
允许
或
阻止
)连接到移动设备。
-
根据规则
。Kaspersky Endpoint Security 根据规则限制对移动设备的访问。在规则中,您可以配置访问权限(读/写),选择可以访问移动设备的用户或用户组,并配置移动设备的访问计划。您还可以限制通过 ADB 和 iTunes 应用程序对移动设备数据的访问。
配置移动设备访问规则
便携式设备(MTP)、ADB 设备和 iTunes 设备的访问规则配置不同。对于便携式设备(MTP)和 ADB 设备,您可以为单个用户或用户组配置规则,并为规则的应用时间创建时间表。对于 iTunes 设备,您不能这样做。您只能允许或拒绝所有用户通过 iTunes 应用程序访问数据。
如何在管理控制台(MMC)中配置移动设备访问规则
-
打开 Kaspersky Security Center Administration Console。
-
在控制台树中,选择“
策略
”。
-
选择必要的策略并双击以打开策略属性。
-
在策略窗口中,选择
安全控制
→
设备控制
。
-
在“
设备控制设置
”下,选择“
设备类型
”选项卡。
该表列出了设备控制组件分类中存在的所有设备的访问规则。
-
在上下文菜单中,对于“
便携式设备(MTP)
”设备类型,配置移动设备访问模式:
允许
、
阻止
或者
取决于连接总线
。
-
要配置移动设备访问规则,请双击打开规则列表。
-
配置移动设备访问规则:
-
在“
访问规则
”块中单击“
添加
”按钮。
这将打开添加新移动设备访问规则的窗口。
-
在“
优先级
”字段,设置规则写入优先级。规则包含以下属性:用户账户、计划、权限(读/写/ADB 访问)和优先级。
规则具有特定优先级。如果用户被添加到若干组,Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高,优先级越高。也就是说,0 值具有最低优先级。
例如,您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此,给管理员组分配优先级 1,给 Everyone 组分配优先级 0。
阻止规则的优先级高于允许规则的优先级。换句话说,如果一个用户被添加到若干组且所有规则的优先级一样,Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
-
在“
用户和组规则
”下,选择用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当
无法使用域用户账户
时。
-
单击“
确定
”。
-
在“
所选访问规则的计划
”下,为用户配置移动设备访问计划。
无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
-
在文件管理器中配置用户对移动设备的访问权限(
读取
/
写入
)。
-
使用“
通过 ADB 访问
”复选框配置通过 ADB 应用程序对移动设备上数据的访问。
如果清除该复选框,当连接移动设备时,ADB 应用程序将无法检测到该设备。
-
在“
通过 iTunes 访问
”下,配置通过 iTunes 应用程序对移动设备上数据的访问。
Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
-
保存更改。
如何在 Web Console 和云控制台中配置移动设备访问规则
-
在 Web Console 的主窗口中,选择“
资产(设备)
” → “
策略和配置文件
”。
-
单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
-
选择
应用程序设置
选项卡。
-
选择
安全控制
→
设备控制
。
-
在“
设备控制设置
”区域,单击“
设备和 wi-fi 网络的访问规则
”链接。
该表列出了设备控制组件分类中存在的所有设备的访问规则。
-
选择“
便携式设备(MTP)
”设备类型。
这将打开便携式设备 (MTP) 访问权限。
-
在“
配置设备访问规则
”下,配置移动设备访问模式:
允许
、
阻止
、
取决于连接总线
或者
根据规则
。
-
如果您选择“
根据规则
”模式,则必须为设备添加访问规则。为此,在“
用户
”下,单击“
添加
”按钮并配置移动设备访问规则:
-
在“
设备访问规则
”字段,设置规则写入优先级。规则包含以下属性:用户账户、计划、权限(读/写/ADB 访问)和优先级。
规则具有特定优先级。如果用户被添加到若干组,Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高,优先级越高。也就是说,0 值具有最低优先级。
例如,您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此,给管理员组分配优先级 1,给 Everyone 组分配优先级 0。
阻止规则的优先级高于允许规则的优先级。换句话说,如果一个用户被添加到若干组且所有规则的优先级一样,Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
-
在“
用户
”下,选择要访问移动设备的用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当
无法使用域用户账户
时。
-
在“
设备访问计划
”下,为用户配置移动设备访问计划。
无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
-
在文件管理器中配置用户对移动设备的访问权限(
读取
/
写入
)。
-
使用“
通过 ADB 访问
”复选框配置通过 ADB 应用程序对移动设备上数据的访问。
如果清除该复选框,当连接移动设备时,ADB 应用程序将无法检测到该设备。
-
在“
通过 iTunes 访问
”下,配置通过 iTunes 应用程序对移动设备上数据的访问。
Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
-
保存更改。
如何在应用程序界面中配置移动设备访问规则
-
打开
主应用程序窗口
并单击
按钮。
-
在应用程序设置窗口中,选择“
安全控制
” → “
设备控制
”。
-
在“
访问设置
”块中单击“
设备和 Wi-Fi 网络
”按钮。
打开的窗口显示包含在设备控制组件分类的所有设备的访问规则。
设备控制组件中的设备类型
-
在“
对存储设备的访问权限
”区域,单击“
便携式设备(MTP)
”链接。
这将打开一个包含便携式设备 (MTP) 访问规则的窗口。
-
在“
访问
”下,配置移动设备访问模式:
允许
、
阻止
、
取决于连接总线
或者
根据规则
。
-
如果您选择“
根据规则
”模式,则必须为设备添加访问规则:
-
在“
用户权限
”块中单击“
添加
”按钮。
这将打开添加新移动设备访问规则的窗口。
-
在“
优先级
”字段,设置规则写入优先级。规则包含以下属性:用户账户、计划、权限(读/写/ADB 访问)和优先级。
规则具有特定优先级。如果用户被添加到若干组,Kaspersky Endpoint Security 基于具有最高优先级的规则规范设备访问。Kaspersky Endpoint Security 允许分配 0 到 10000 的优先级。值越高,优先级越高。也就是说,0 值具有最低优先级。
例如,您可以授予只读权限到 Everyone 组并授予读/写权限到管理员组。为此,给管理员组分配优先级 1,给 Everyone 组分配优先级 0。
阻止规则的优先级高于允许规则的优先级。换句话说,如果一个用户被添加到若干组且所有规则的优先级一样,Kaspersky Endpoint Security 基于任何现有的阻止规则规范设备访问。
-
在“
状态
”下,打开移动设备访问规则。
-
在“
访问规则
”下,为用户配置移动设备访问权限。
-
在“
用户
”下,选择要访问移动设备的用户或用户组。您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当
无法使用域用户账户
时。
-
在“
设备访问计划
”下,为用户配置设备访问计划。
无法为 ADB 设备配置单独的访问计划。您可以为 ADB 设备和便携式设备 (MTP) 配置通用访问计划。
-
在“
通过 iTunes 访问
”下,配置通过 iTunes 应用程序对移动设备上数据的访问。
Kaspersky Endpoint Security 通过 iTunes 应用程序为所有用户应用移动设备访问设置。无法为 iTunes 设备配置单独的访问计划。
-
保存更改。
因此,用户对移动设备的访问会根据规则受到限制。如果您在 ADB 和 iTunes 应用程序中禁止访问移动设备,当您连接移动设备时,ADB 和 iTunes 应用程序将无法检测到该移动设备。
受信任的移动设备
受信任的设备
是指在受信任设备设置中指定的用户可随时进行完全访问的设备。
添加受信任的移动设备
的过程与添加其他类型的受信任设备完全相同。您可以按 ID 或设备型号添加移动设备。
要按 ID 添加受信任的移动设备,您需要一个唯一的 ID(硬件 ID–HWID)。您可以使用操作系统工具在设备属性中找到 ID(参见下图)。设备管理器工具允许您执行此操作。便携式设备(MTP)和 ADB、iTunes 设备的 ID 即使对于相同的移动设备也是不同的。便携式设备 (MTP) 的 ID 可能如下所示:
15131JECB07440
。ADB 设备的 ID 可能如下所示:
6&370DEC2A&0&0001
。如果要添加多个特定设备,则按 ID 添加设备很方便。您也可以使用掩码。
如果在将设备连接到计算机后安装了 ADB 或 iTunes 应用程序,则该设备的唯一 ID 可能会重置。这意味着 Kaspersky Endpoint Security 会将此设备识别为新设备。如果该设备受信任,请再次将其添加到受信任列表。
要按设备型号添加受信任的移动设备,您需要其供应商 ID(VID)和产品 ID(PID)。您可以使用操作系统工具在设备属性中找到 ID(参见下图)。用于输入 VID 和 PID 的模板:
VID_18D1&PID_4EE5
。如果在组织中使用特定型号的设备,则按型号添加设备很方便。这样,您可以添加该型号的所有设备。
设备管理器中的设备 ID
