Настройки безопасности (для устройств)

 

Дополнительные настройки безопасности дают возможность полностью блокировать определённые типы устройств, но разрешить использование отдельных классов устройств.

 

Например, вы можете полностью закрыть доступ к USB-порту, но разрешить использование любых мышей и клавиатур с USB-интерфейсом.

 

DeviceLock поддерживает заранее предопределённые классы устройств для дополнительных настроек безопасности:

 

- Управлять доступом к USB HID - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к устройствам ввода (клавиатура, мышь), подключенным к USB-портам. Если настройка отключена, то эти устройства продолжат работу в обычном режиме, и аудит для них также будет отключен.

 

- Управлять доступом к USB-принтерам - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к принтерам, подключенным к USB-портам. Если настройка отключена, то даже при заблокированном USB-порте принтеры будут работать в обычном режиме, и аудит для них также будет отключен.

 

- Управлять доступом к USB-сканерам и устройствам обработки изображения - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к сканерам и цифровым фотоаппаратам, подключенным к USB-портам. Если настройка отключена, то даже при заблокированном USB-порте эти устройства будут работать в обычном режиме и аудит для них также будет отключен.

 

- Управлять доступом к USB Bluetooth-адаптерам - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к Bluetooth-адаптерам, подключенным к USB-портам. Если настройка отключена, то даже при заблокированном USB-порте Bluetooth-адаптеры будут работать в обычном режиме, и аудит для них также будет отключен.

 

Эта настройка влияет только на контроль доступа и аудит на уровне интерфейса (USB). Если устройство принадлежит к обоим уровням, контроль доступа и аудит для уровня типа (Bluetooth) будут выполняться в любом случае.

 

- Управлять доступом к устройствам хранения USB - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к устройствам хранения данных (таким как флеш-диски), подключенным к USB-портам. Если настройка отключена, то даже при заблокированном USB-порте эти устройства будут работать в обычном режиме, и аудит для них также будет отключен.

 

Эта настройка влияет только на контроль доступа и аудит на уровне интерфейса (USB). Если устройство принадлежит к обоим уровням, контроль доступа и аудит для уровня типа (Съемные устройства, Гибкий диск, Оптический привод или Жесткий диск) будут выполняться в любом случае.

 

- Управлять доступом к сетевым картам USB и FireWire - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к сетевым картам, подключенным к USB или FireWire-портам. Если настройка отключена, то даже при заблокированном USB/FireWire-порте эти устройства будут работать в обычном режиме и аудит для них также будет отключен.

 

- Управлять доступом к устройствам хранения FireWire - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к устройствам хранения данных, подключенным к FireWire-портам. Если настройка отключена, то даже при заблокированном FireWire-порте эти устройства будут работать в обычном режиме, и аудит для них также будет отключен.

 

Эта настройка влияет только на контроль доступа и аудит на уровне интерфейса (FireWire). Если устройство принадлежит к обоим уровням, контроль доступа и аудит для уровня типа (Съемные устройства, Гибкий диск, Оптический привод или Жесткий диск) будут выполняться в любом случае.

 

- Управлять доступом к последовательным модемам (внутренним и внешним) - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к модемам, подключенным к COM-портам. Если настройка отключена, то даже при заблокированном COM-порте эти устройства будут работать в обычном режиме, и аудит для них также будет отключен.

 

- Управлять доступом к виртуальным оптическим приводам - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать доступ к виртуальным CD/DVD/BD-приводам. Если настройка отключена, то даже при заблокированном DVD/CD/BD-ROM виртуальные диски будут работать в обычном режиме, и аудит для них также будет отключен. Эта настройка имеет силу только для ОС начиная с Windows 2000.

 

- Управлять доступом к виртуальным принтерам - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать отправку документов на виртуальные принтеры, т.е. принтеры, которые печатают не на реальном физическом устройстве, а, например, перенаправляют печать в файл. Если настройка отключена, то даже при заблокированном физическом принтере виртуальные принтеры будут печатать как обычно, и аудит для них также будет отключен. Эта настройка имеет силу только для ОС начиная с Windows 2000.

 

- Управлять доступом для операций копирования/вставки буфера обмена в пределах одного приложения - если настройка включена, то Сервис DeviceLock может контролировать и протоколировать операции копирования/вставки в/из буфера обмена в пределах приложения. Если настройка отключена, то даже при заблокированном буфере обмена операции копирования/вставки в пределах одного приложения будут разрешены, и аудит для них также будет отключен.

 

- Блокировать FireWire-контроллер при запрете доступа - если настройка включена, то Сервис DeviceLock может отключать FireWire-контроллер при наличии у учетной записи Все разрешения "Нет доступа" для типа FireWire-порт.

 

- Трактовать ТС перенаправляемые USB-устройства как обычные - если включено, то Сервис DeviceLock управляет доступом ко всем USB-устройствам, переданным внутрь сеансов Citrix XenDesktop/MS RemoteFX в соответствии с правами, заданными для типа USB-порт. В противном случае, Сервис DeviceLock будет управлять доступом ко всем USB-устройствам, переданным внутрь сеансов Citrix XenDesktop/MS RemoteFX, в соответствии с набором прав Доступ к USB-устройствам для ТС-устройства.

 

- Переключать PostScript-принтер в не PostScript-режим - если включено, то Сервис DeviceLock переводит принтеры PostScript в режим работы обычных принтеров. Это позволяет решить проблему, из-за которой Сервис DeviceLock не может корректно выполнить теневое копирование и анализ данных для печати на принтерах, использующих драйвер PostScript.

 

 

Дополнительные настройки безопасности подобны белому списку устройств, но имеют три важных отличия:

 

1. Используя настройки безопасности, вы можете разрешить использование целого класса устройств; но вы не можете разрешить использование только одной конкретной модели, пока все остальные устройства этого же класса являются заблокированными.

 

2. Используя настройки безопасности, вы можете выбрать устройство только из списка предопределенных классов. Если устройство не принадлежит ни одному из предопределенных классов, оно не может быть разрешено через настройки безопасности.

 

3. Используя настройки безопасности, вы не можете контролировать доступ к устройствам для пользователей или групп. Настройки безопасности влияют сразу на всех пользователей локального компьютера.

 

Примечание: Дополнительные настройки безопасности гарантированно работают только для устройств, управляемых стандартными драйверами Windows. Некоторые устройства, использующие драйвера сторонних производителей, не могут быть отнесены Сервисом DeviceLock к тому или иному классу. Такие устройства рекомендуется авторизовывать индивидуально с помощью белого списка устройств.