代理设置:设备控制

工具 > 安全和遵从性 > 代理设置 > 安全 > 端点安全 > 设备控制

使用此对话框可创建和编辑“设备控制”设置。

该对话框包含以下页面。

关于“常规设置”页面

使用该页面来为设置命名以及在使用此设置配置的客户端上启用设备控制。

  • 名称:标识设置。此名称显示在主“设备控制”窗口中。
  • 启用设备控制:在使用此设置配置的客户端上打开“设备控制”。

关于“存储卷”页面

使用此页面来为连接到配置有此设置的客户端的存储卷指定选项。

  • 存储卷:为任何安装设置后没有在客户端出现的存储卷指定访问级别。(请注意,如果安装设置时连接了包含卷的设备,则 Ivanti Endpoint Security 服务将允许在未来使用该设备,即使该设备是可移动的。)
    • 全部权限:允许对连接存储卷的读写权限。
    • 只读权限:允许用户读取连接的存储卷,但不允许写入。
    • 强制加密:在连接的存储卷上强制进行文件加密。部署一个加密实用工具,在采用此设置的客户端所连接的存储设备上启用文件加密。写入存储设备时加密文件;从该设备读取时解密文件。只有提供正确密码 (在 USB 存储设备上创建加密文件夹时定义) 后才可访问。

      重要说明:请先在 USB 设备上创建加密文件夹:当存储设备配置文件加密时,用户在将文件复制到设备前必须先使用加密实用工具(转到开始 Ivanti 管理 > Ivanti 加密实用程序)创建一个加密文件夹。创建加密文件夹时指定密码。如果启用“允许密码提示”选项(见下文),则向用户提供一个选项,输入助其记起密码的提示,但并非必须输入密码提示。
    • 没有权限:阻止使用连接到客户端(使用“设备控制”设置配置)的存储卷。您可在“设备”页面选择特定的设备类型,以自定义仍允许使用的 USB 设备类型。
  • 例外:点击此项可创建存储卷访问级别的例外。可以根据硬件 ID、媒体序列或总线类型添加例外。Endpoint Manager 2024 及更高版本还支持导入和导出例外列表(CSV 格式)。

    右键点击代理设置并选择导出可将其导出。您可以对代理设置 > 安全性 > 端点安全 > 设备控制中的设备控制代理设置执行此操作。

    先编辑设备控制代理设置,然后再从导出的代理设置导入例外列表。在设备页面上,选择例外选项卡,右键点击设备控制例外,然后选择导入
  • 加密选项:
    • 分配给加密的存储空间:指定存储设备上可用于加密文件的空间。
    • 允许密码提示:让最终用户输入可帮助其记起加密文件夹密码的提示。密码提示不能与密码本身完全相同。密码提示的长度不得超过 99 个字符。(注意,即使密码提示字段可输入文本,但用户并非必须输入提示。)
  • 通知最终用户:当用户连接未授权的存储设备时显示消息框。

关于“配置例外”(用于存储卷)对话框

使用此对话框,为存储卷创建例外的访问级别。

  • 说明:输入您想用于标识例外的描述。
  • 参数:选择参数类型(硬件 ID、卷序列号或总线类型)。
  • 值:如果选择了硬件 ID 参数,请输入字符串值。
  • 访问:指定例外访问级别(全部权限、只读权限、仅加密、没有权限)。

关于“设备”页面

使用此页面上的选项卡配置设备、界面与管理例外。

“设备”选项卡

选择设备,然后在访问列中,选择是否允许阻止始终允许此设备。

通知最终用户:当用户连接未授权的设备时显示消息框。

“界面”选项卡

选择界面,然后在访问列中,选择是否允许禁止此设备。

禁用无线 LAN 802.11X:阻止无线 LAN802.11X 连接。

通知最终用户:当用户连接未授权的设备时显示消息框。

“例外”选项卡

使用“例外”选项卡为检测到的设备配置例外。“例外”选项卡允许特定设备连接,即使已阻止该设备的访问。使用配置例外窗口顶部的筛选器筛选列表。选择例外情况的设备,并决定是否需要基于实例路径或硬件 ID 的例外。通过单击“添加”将所选例外添加至例外列表。

关于“卷影复制”页面

使用此页面,在使用此设置配置的受管设备上启用和配置卷影复制。

卷影复制通过在本地目录为从设备复制/复制到设备的文件创建副本(或卷影),使您可以对这些文件进行追踪。

  • 启用卷影复制:在使用此设置的受管设备上打开卷影复制。
  • 仅记录事件:日志文件只记录文件复制操作,而不记录被复制的实际文件。
  • 本地缓存设置:指定卷影复制文件和日志文件在本地驱动器上的存储位置。
  • 例外:单击以创建例外。您可基于硬件 ID、媒介序列号或总线类型添加例外。

关于 CD/DVD/Blu-ray 页面

使用此页面控制 CD/DVD/Blu-ray 连接

  • CD/DVD/Blu-ray 驱动器:选择要为这些驱动器设置的访问级别。如果要为特定驱动器或驱动器类型设置例外,可单击例外
  • 设备/接口:使用复选框来阻止设备和接口访问客户端。
  • 例外:单击以创建例外的被阻止程序和接口。您可基于 hardware_id、类别、服务、枚举器、vendor_id、device_id 或 vendor_device_id 添加例外。
  • CD/DVD 驱动器:指定 CD/DVD 驱动器的访问级别。
  • 例外:单击以为 CD/DVD 驱动器创建例外的访问级别。您可基于硬件 ID、媒介序列号或总线类型添加例外。
  • 通知最终用户:当用户连接未授权的设备时显示消息框。