Quando si lavora con dispositivi di archiviazione dati quali CD/DVD e dispositivi basati su USB come le chiavette USB, le organizzazioni devono tenere presente quanto segue:
• La funzione di esecuzione automatica non attiva alcuna infezione.
• I dati o le applicazioni non necessari non intasano i sistemi.
Questa funzione consente di administrators per creare policy con diritti variabili (capacità di autenticazione del dispositivo). Ad esempio, administrators possono bloccare l'accesso completo ai dispositivi rimovibili, dare accesso di sola lettura e nessun accesso di scrittura in modo che nulla possa essere scritto sui dispositivi esterni. Possono anche personalizzare l'accesso a admin dispositivi configurati. Una volta applicata la policy a un gruppo, vengono applicati anche i diritti di accesso. È possibile utilizzare l'elenco delle eccezioni per escludere i dispositivi dalla policy di controllo dispositivi.
- Su Windows XP SP1 e sui sistemi operativi precedenti, non sarà possibile bloccare dispositivi diversi dai dispositivi di archiviazione USB.
- La funzione Controllo avanzato dispositivo non è supportata dal chip M1 di Apple.
Creazione di una politica per Advanced Device Control
Per creare una politica per Advanced Controllo dispositivo, segui questi passaggi:
-
Accedere al Seqrite Endpoint Security Console web.
-
Vai su Impostazioni profilo > Impostazioni client > Advanced Device Control.
-
Per abilitare il controllo del dispositivo, selezionare permettere Advanced Device Control Casella di controllo.
-
Nella sezione Seleziona criterio di accesso per tipi di dispositivo, seleziona una categoria tra le seguenti opzioni:
- Dispositivo di archiviazione
- Lettori di schede
- Wireless
- Dispositivi mobili e portatili
- Interfaccia
- Telecamere
- Altri
-
Per il dispositivo corrispondente in quella categoria seleziona una delle seguenti opzioni:
- Bloccare
- Consentire
- Sola lettura
Le opzioni in qualsiasi categoria sono disponibili solo se si seleziona la casella di controllo della categoria principale.
-
Per salvare l'impostazione, fare clic su Salva politica.
Questa policy viene applicata a tutti i dispositivi configurati nell'elenco. Anche se aggiungi un dispositivo, verrà applicata la stessa policy, a meno che tu non personalizzi la policy.
Autorizza connessioni Wi-Fi
È possibile aggiungere punti di accesso Wi-Fi autorizzati in modo che venga stabilita solo la connessione Wi-Fi autorizzata.
Per aggiungere punti di accesso autorizzati, seguire questi passaggi:
- Seleziona il Wireless Casella di controllo.
- Per Wi-Fi, seleziona Consentire or Blocca se è disponibile la connessione cablata opzione. Il personalizzare IL MENU il collegamento è abilitatoled.
- Clicca su personalizzare IL MENU collegamento.Viene visualizzata la finestra di dialogo Connessioni Wi-Fi autorizzate.
- Se selezioni Consenti per tutti i punti di accesso Wi-Fi, potranno essere stabilite tutte le connessioni Wi-Fi.
- Se selezioni Consenti solo per i punti di accesso Wi-Fi autorizzati, immetti i dati di rete per creare la connessione Wi-Fi autorizzata come segue:
- Inserisci l'SSID.
- Sebbene il nome della casella di testo sia Indirizzo MAC, immettere BSSID nella casella di testo.
- Clicchi Aggiungi.
- Clicchi OK**. **
Se non è necessario, è possibile eliminare il punto di accesso utilizzando il pulsante Elimina.
Note:
Per client Windows
- Per la crittografia parziale è supportato solo NTFS.
- Le unità penna USB con stile di partizione GPT (GUID Partition Table) non possono essere aggiunte per l'autorizzazione.
- Se un dispositivo autorizzato e crittografato viene formattato, il dispositivo verrà trattato come non autorizzato. Quindi, Administrator sarà necessario aggiungere nuovamente il dispositivo in Controllo dispositivi e configurare i criteri di conseguenza.
- I dispositivi USB connessi ai sistemi nella rete del server SEPS 7.6 non verranno enumerati in Admin Impostazioni > Server > Gestisci dispositivi > Aggiungi dispositivi > Elenco dispositivi di rete.
- Per applicare i diritti di accesso al dispositivo, alcuni dispositivi (ad esempio i telefoni Nokia e BlackBerry) potrebbero richiedere il riavvio del sistema o il ricollegamento del dispositivo.
- Sul blocco del controller SATA da Advanced Controllo dispositivi: potresti visualizzare spesso messaggi di blocco del controller SATA anche quando il blocco effettivo non viene eseguito.
- Mentre è in corso una sessione di Webcam o Bluetooth, la modifica del diritto di accesso in blocco non interromperà la sessione in corso. Potrebbe essere necessario ricollegare il dispositivo o riavviare il sistema affinché i diritti di accesso vengano applicati.
- Il lettore CD/DVD esterno non verrà enumerato in Admin Impostazioni > Server > Gestisci dispositivi > Aggiungi dispositivi > Elenco dispositivi di rete; non è possibile creare regole di eccezione per lo stesso.
Per client Mac
- Se è selezionata l'opzione Sola lettura in Advanced Controllo dispositivo di SEPS e un dispositivo USB è collegato, tale dispositivo potrebbe non essere accessibile dal riquadro di sinistra nel Finder per qualche tempo.
- Se un dispositivo USB è già collegato al computer e si sta installando un client Mac, il dispositivo potrebbe non essere visualizzato come montato per una frazione di secondo.
- Se durante l'installazione del client Mac viene collegato un dispositivo USB NTFS al computer, potrebbero essere visibili per alcuni secondi due copie dell'USB collegato.
- Se un dispositivo USB deve essere visualizzato come montato o smontato tramite comandi del terminale, la policy Controllo dispositivi non verrà applicata a tale dispositivo.
- Se si installa un client Mac su Mac OSx 10.9 mentre un dispositivo USB FAT è collegato alla macchina, tale dispositivo non verrà visualizzato come montato. Per visualizzare il dispositivo montato, è necessario scollegare il dispositivo e ricollegarlo.
- Potrebbe essere necessario ricollegare i dispositivi iDevice, lettori di schede interni, webcam, CD-DVD, telefoni cellulari e dispositivi crittografati HFS affinché vengano applicati i diritti di accesso.
- La funzionalità di eccezione non sarà applicabile per Bluetooth, Wi-Fi, Webcam, CD-DVD esterno.
- I telefoni cellulari, ad eccezione degli iDevice, collegati in modalità "Archiviazione di massa USB" verranno rilevati nella categoria dei dispositivi di archiviazione USB.
- I telefoni cellulari connessi in modalità MTP verranno rilevati nella categoria "Dispositivi portatili Windows".
- La funzionalità di blocco non funzionerà per il cellulare Blackberry se il cellulare è connesso al sistema Mac in Sync Media.
- Il dispositivo di archiviazione USB non verrà formattato con Mac OS esteso (Journaled, Crittografato) formato file.
- La funzione "Connessioni Wi-Fi autorizzate" non è supportata sul sistema operativo Mac.
- La funzionalità di blocco Bluetooth non funziona su macOS Monterey 12, anche se viene visualizzato il messaggio Controllo dispositivo bloccato.
Per client Linux
- I telefoni basati su MTP/PTP non sono supportati, mentre sono supportati i telefoni basati su UMS.
- L'opzione Sola lettura impostata per il CD/DVD interno sul server EPS viene considerata bloccata sul client Linux.
- Gli adattatori wireless non sono supportati.
- Il dongle USB Bluetooth potrebbe non essere supportato su alcuni sistemi operativi.
- In tutti i sistemi operativi Linux supportati, il vassoio interno del CD-DVD potrebbe aprirsi e chiudersi più volte se per il CD-DVD è impostata la modalità di blocco.
- Se la configurazione DC viene modificata dalla modalità Sola lettura alla modalità Consenti, le unità USB potrebbero non funzionare correttamente.
- I telefoni cellulari UMS non funzionano in modalità di sola lettura. Cambiare la modalità utilizzando l'opzione disponibile nel dispositivo lo collegherà all'endpoint. Se il dispositivo è scollegato, il dispositivo in una particolare modalità non cambia automaticamente la modalità.
- La funzionalità di eccezione non sarà applicabile per Bluetooth e CD-DVD esterno.
Aggiunta di eccezioni all'elenco di controllo dei dispositivi
È possibile aggiungere eccezioni per i dispositivi rimovibili utilizzati da persone autorizzate, in modo che tali dispositivi vengano esclusi dalla policy.
Per aggiungere dispositivi all'elenco delle eccezioni, è necessario prima autorizzare i dispositivi aggiungendoli al server come segue:
- Accedere al Seqrite Endpoint Security Console web.
- Vai su Admin Impostazioni profilo > server > Gestisci dispositivi.
- Clicchi Aggiungi dispositivi.
- Seleziona da Dispositivi di rete, Dispositivi USB o Altri dispositivi. Se vuoi aggiungere un dispositivo USB, seleziona Dispositivo USB e nella finestra di dialogo Aggiungi dispositivo, aggiungi il nome del dispositivo e fai clic su OK. Se vuoi aggiungere un dispositivo di rete, seleziona Dispositivi di rete. Viene visualizzato l'elenco dei dispositivi rilevati nella rete. Seleziona il dispositivo e fai clic su OK. Se vuoi aggiungere un altro dispositivo, seleziona l'opzione Altro dispositivo, seleziona il tipo di dispositivo e nella finestra di dialogo Aggiungi dispositivo, aggiungi i dettagli richiesti come; Nome dispositivo, ID fornitore dispositivo, ID prodotto e numero di serie. Fai clic su OK,
- Clicchi Impostazioni profilo > Impostazioni client > Advanced Device Control.Assicurarsi che l'opzione per Abilitare Advanced È selezionato Controllo dispositivo.
- Clicchi Eccezioni.
- Clicchi Aggiungi.
- Selezionare uno o più dispositivi da aggiungere all'eccezione tra quelli visualizzati nell'elenco.
- Clicchi OK.
- Clicchi Si alla finestra di dialogo di conferma Dispositivi gestiti.
- Impostare le autorizzazioni di accesso come richiesto.
- Clicchi Salva politica.
Le autorizzazioni impostate per il dispositivo aggiunto tramite l'opzione USB tramite numero di serie hanno la priorità più alta.
Aggiunta del dispositivo al server
Per sapere come aggiungere un dispositivo al server, vedere Gestisci dispositivi.