デバイスコントロール
デバイスコントロールコンポーネントは、クライアントデバイスに搭載または接続されたデバイス(例:ハードディスク、カメラ、Wi-Fi モジュールなど)へのユーザーアクセスを管理します。アクセス管理では、外部デバイスの接続時に感染からクライアントデバイスを保護したり、データの消失や漏洩を防止したりできます。
この機能は、KESL コンテナではサポートされていません。
デバイスコントロールコンポーネントは、Kaspersky Endpoint Security の起動時に既定で自動的に有効になります。
デバイスコントロールは、ユーザーアクセスを次のレベルで管理します:
- デバイスコントロールによって分類されたデバイス タイプ(プリンタ、リムーバブルドライブ、CD / DVD ドライブなど)。次のアクセスモードのいずれかを各デバイスタイプに適用できます:
- 許可:この種別のデバイスに対するアクセスが許可されます。
- ブロック:この種別のデバイスに対するアクセスをブロックします。
- バスに依存:デバイスが接続されているバスに設定されたアクセスモードに応じて、デバイスへのアクセスを許可またはブロックします。
- ルール別:デバイスへのアクセスを、アクセスルールに従って許可またはブロックします。デバイスアクセスルールは、クライアントデバイスにインストールまたは接続されているデバイスにアクセス可能なユーザーとその時間を決定する一連の設定項目です。
禁止されたデバイスが接続されると、アプリケーションはルールで指定されたユーザーに対してデバイスへのアクセスを拒否し、通知を表示します。このデバイスで読み取りと書き込みを試行している間、アプリケーションは、ルールで指定されたユーザーの読み取りと書き込みをサイレントにブロックします。
アクセスモードが[ルール別]に設定されているデバイスで操作を実行しようとした時にアクセス時にアクティブなルールが存在しない場合、操作はブロックされます。
- 接続バス:接続バスは、デバイスをクライアントデバイスに接続するために使用するインターフェイスです(USB または FireWire など)。次のアクセスモードのいずれかを接続バスに適用できます:
- 許可:この接続バスを使用して接続されたデバイスへのアクセスを許可します。
- ブロック:この接続バスを使用して接続されたデバイスへのアクセスを拒否します。
たとえば、USB 経由で接続されているすべてのデバイスへのアクセスが拒否される場合があります。
既定では、すべてのデバイスの種別に対して「接続バスアクセスモードに依存する」が選択されています。接続バスに対してアクセス許可モードが選択されています。デバイスコントロールは、それに応じてユーザーにすべてのデバイスへの完全なアクセスを許可します。
システムデバイスドライバーを介してデバイスの種別または接続バスによってデバイスをブロックすることには、Linux カーネル 3.10、5.14、5.15、5.17、6.1 では対応していません。これらのカーネルとルールによるアクセスモードでは、ファイルのオープンとディレクトリの読み取り(つまり、ファイルとディレクトリの名前の取得)のみがブロックされます。fanotify をサポートしていないシステムでは、ディレクトリの読み取りのブロックにも対応していません。
デバイスコントロールを初めて有効にすると、既知のデバイスまたはバスタイプの検知されたすべてのデバイスに対して DeviceAllowed イベントが生成されます。これらのデバイスの管理設定が変更されない限り、後続のコンポーネントの実行時に繰り返しイベントが生成されることはありません。
デバイスコントロールが無効になっている場合、アプリケーションはブロックされているデバイスへのアクセスのブロックを解除します。
デバイスコントロールを有効、無効、および設定できます:
- デバイスコントロール設定によってアクセスが禁止されているデバイスにアクセスしようとした場合の動作モードを選択します。デバイスへのアクセスの試行をブロックするか、通知のみするかを選択します。
- タイプに応じてデバイスアクセスモードを選択します。
- デバイスが接続するバスのアクセスモードを選択します。
- 個々のデバイスを信頼するデバイスのリストに追加することで、デバイスコントロールの範囲から削除します。信頼するデバイスは、ユーザーによるフルアクセスが可能なデバイスです。信頼するデバイスのリストに、識別子または識別子マスクでデバイスを追加できます。たとえば、指定した USB デバイスへのアクセスを制限するか、USB ドライブのみに制限できます。他の USB デバイスへのアクセスはできません。
コマンドライン経由でアプリケーションを管理している場合は、クライアントデバイスで
kesl-control --get-device-list
を実行することで、接続されているデバイスの ID を表示できます。Kaspersky Security Center 経由でアプリケーションを管理している場合、クライアントデバイスにインストールまたは接続されているデバイスに関する情報を管理サーバーに送信できます。情報共有は既定で有効になっています。
デバイスに関する情報は、クライアントデバイスが現在のポリシーの制御下にあり、ネットワークエージェントと同期されている場合に転送されます(ネットワークエージェントのポリシーのプロパティで指定された頻度で実行され、既定では 15 分ごとに実行されます)。
- デバイスのアクセススケジュールを定義します:ハードドライブ、リムーバブルドライブ、フロッピーディスク、および CD / DVD ドライブのみ。
アプリケーションの全般設定で、スキャン中のファイルへのアクセスのブロックが無効になっている場合、デバイスアクセススケジュールを使用してデバイスへのアクセスをブロックすることはできません。
- デバイスのタイプに応じて、デバイスのアクセスルールを定義できます。指定した時間に指定したユーザーのアクセスを許可またはブロックします。
デバイスコントロールはマウントポイントの除外を無視します。除外ポイントにマウントされたデバイスへのアクセスは、デバイスコントロール設定で制限できます。