デバイスコントロールルールについて
Kaspersky Embedded Systems Security は、MTP 接続したモバイルデバイスに対して許可ルールを適用しません。
このルールは、現在保護対象デバイスに接続されているデバイスまたは接続されていたことがあるデバイスごとに一意に生成されます。ただし、このデバイスに関する情報がシステムレジストリに格納されている場合です。
デバイスコントロールの許可ルールを生成するには:
Kaspersky Embedded Systems Security でサポートされるデバイスコントロールルールの最大数は 3072 です。
デバイスコントロールルールの説明を以下に記載します。
ルールの種別
ルールの種別は常に[許可]です。既定では、デバイスが許可ルールの適用範囲に含まれていない場合、デバイスコントロールタスクにより、すべてのフラッシュドライブおよびその他の外部デバイスの接続がブロックされます。
ルール有効化の条件とルールの使用範囲
デバイスコントロールルールでは、デバイスインスタンスパスに基づいてフラッシュドライブおよびその他の外部デバイスが識別されます。デバイスインスタンスパスは、デバイスが接続されて外部デバイスまたは CD / DVD ドライブ(たとえば、IDE または SCSI)として登録された時に、システムによってデバイスに割り当てられる一意の基準です。
Kaspersky Embedded Systems Security では、接続に使用されているバスには関係なく、CD / DVD ドライブの接続が制御されます。このようなデバイスを USB 経由でマウントする際には、オペレーティングシステムにより、外部デバイスおよび CD / DVD ドライブ(たとえば、IDE または SCSI)という 2 つのデバイスインスタンスのパス値が登録されます。このようなデバイスを正常に接続するには、インスタンスの各パス値に対して許可ルールを設定する必要があります。
Kaspersky Embedded Systems Security ではデバイスインスタンスパスが自動的に定義され、得られた値が次の要素に構文解析されます:
- デバイスの製造元(VID)
- デバイスコントローラーの種別(PID)
- デバイスのシリアル番号
デバイスインスタンスパスは手動では設定できません。許可ルールの有効化の条件では、ルールの使用範囲が定義されます。既定では、新しく生成されたルールの使用範囲には、Kaspersky Embedded Systems Security がルール生成の基準としてプロパティを参照した初期デバイスが 1 台含まれています。作成したルールの値を設定するには、ルールの使用範囲を拡張するマスクを使用します。
初期デバイス値
Kaspersky Embedded Systems Security で許可ルールの生成に使用され、接続されているデバイスごとに Windows デバイス マネージャーに表示されるデバイスプロパティ。
初期デバイス値には次の情報が含まれています:
- デバイスインスタンスパス:Kaspersky Embedded Systems Security は、このプロパティに基づいてルール有効化の条件を定義し、次のフィールドに記入します:[製造元(VID)]、[コントローラーの種別(PID)]、[ルールのプロパティ]ウィンドウの[ルールの使用範囲]セクションにある[シリアル番号]。
- 説明的名称:製造元がデバイスのプロパティで設定するデバイスの説明的名称。
Kaspersky Embedded Systems Security では、ルールの生成時に初期デバイス値が自動的に定義されます。後でこれらの値を使用して、ルール生成の基本として使用されたデバイスを認識できます。初期デバイス値は編集できません。
説明
作成したデバイスコントロールルールごとに、[ユーザーまたはユーザーグループ]で情報を追加できます。たとえば、接続されているフラッシュドライブの名前を記録したり、その所有者を定義したりできます。この説明は、[デバイスコントロールルール]ウィンドウの対応する図に表示されます。
説明と初期デバイス値はルール適用での使用は許可されず、ユーザーがデバイスを簡単に識別する目的のみで規定されます。