デバイスコントロール
デバイスコントロールは、コンピューターに内蔵ないし接続されているデバイスへのユーザーアクセスを管理します(例:ハードディスク、カメラ、Wi-Fi モジュール)。これにより、こうしたデバイスが接続されたときにコンピューターを感染から保護し、データの損失や漏洩を防ぐことができます。
デバイスへのアクセスの判定基準
デバイスコントロールは、次の情報に基づいてアクセスをコントロールできます。
- デバイス種別:プリンター、リムーバブルドライブ、CD/DVD ドライブなどの種別。
次のようにデバイスアクセスを設定できます:
- 許可:
- ブロック:
- バスの種類に依存(Wi-Fi を除く):
- 例外を除きブロック(Wi-Fi のみ):
- 接続バス:接続バスとは、コンピューターへのデバイスの接続に使用されるインターフェイスです(例:USB、FireWire)。これにより、たとえば USB など特定の接続バスを使用して接続されるすべてのデバイスの接続を制限できます。
次のようにデバイスアクセスを設定できます:
- 許可:
- ブロック:
- 信頼するデバイス:「信頼するデバイス」は、信頼するデバイスの設定で指定されたユーザーが常にフルアクセスできるデバイスです。
次のデータに基づいて信頼するデバイスを追加できます。
- ID によるデバイス:各デバイスには固有の識別子があります(ハードウェア ID、または HWID)。これらの ID は、オペレーティングシステムのツールを使用してデバイスのプロパティで確認できます。デバイス ID の例:
SCSI\CDROM&VEN_NECVMWAR&PROD_VMWARE_SATA_CD00\5&354AE4D7&0&000000
.特定のデバイスを複数追加する場合は、ID でデバイスを追加すると便利です。 - モデルによるデバイス:各デバイスには製造元 ID (VID)および製品 ID (PID)があります。これらの ID は、オペレーティングシステムのツールを使用してデバイスのプロパティで確認できます。VID および PID の入力用テンプレート:
VID_1234&PID_5678
.組織内で特定のモデルのデバイスを使用する場合は、モデルでデバイスを追加すると便利です。この方法を使用することで、このモデルのデバイスをすべて追加できます。 - ID マスクによるデバイス:ID が類似する複数のデバイスを使用している場合、マスクを使用してデバイスを信頼リストに追加できます。
*
文字は、任意の文字列を置き換えます。Kaspersky Endpoint Security では、マスクでの「?
」記号の使用をサポートしていません。例:WDC_C*
- モデルマスクによるデバイス:同一の VID または PID を持つ複数のデバイス(たとえば、製作元が同じデバイス)を使用している場合、マスクを使用してデバイスを信頼リストへ追加できます。
*
文字は、任意の文字列を置き換えます。Kaspersky Endpoint Security では、マスクでの「?
」記号の使用をサポートしていません。例:「VID_05AC & PID_ *
」。
- ID によるデバイス:各デバイスには固有の識別子があります(ハードウェア ID、または HWID)。これらの ID は、オペレーティングシステムのツールを使用してデバイスのプロパティで確認できます。デバイス ID の例:
デバイスコントロールは、アクセスルールを使用してデバイスへのユーザーアクセスを管理します。デバイスコントロールでは、デバイスの接続や切断のイベントを保存することもできます。イベントを保存するには、ポリシー内でイベントの記録を設定する必要があります。
デバイスへのアクセスが接続バスに依存する場合( ステータスの場合)、Kaspersky Endpoint Security ではデバイスの接続イベントと切断イベントが保存されません。Kaspersky Endpoint Security でデバイスの接続イベントと切断イベントを保存するには、デバイスへのアクセスを許可する( ステータス)か、デバイスを信頼リストに追加します。
デバイスコントロールでブロックされているデバイスがコンピューターに接続された場合、Kaspersky Endpoint Security はアクセスをブロックし通知を表示します(以下の図を参照)。
デバイスコントロールの通知
デバイスコントロールの動作アルゴリズム
ユーザーがデバイスをコンピューターに接続すると、Kaspersky Endpoint Security はデバイスへのアクセスを許可するかどうかを決定します(以下の図を参照)。
デバイスコントロールの動作アルゴリズム
デバイスが接続されてアクセスが許可されている状況で、アクセスをブロックするようにアクセスルールを編集できます。この場合、(フォルダーの内容の表示や、読み取りまたは書き込みの実行など)次にデバイスへのアクセスが試行されたときに、Kaspersky Endpoint Security はアクセスをブロックします。ファイルシステムのないデバイスは、次回デバイスが接続されたときにのみブロックされます。
Kaspersky Endpoint Security がインストールされているコンピューターのユーザーが、誤ってブロックされたと考えられるデバイスへのアクセスを要求できるようにするには、アクセス要求の手順を伝えます。