创建策略以实现有效的设备控制和安全防护

目录

1. 为 Windows 创建设备访问控制策略
   • 可移动存储设备
   • CD-ROM
   • 蓝牙适配器
2. 为 Mac 创建设备访问控制策略
   • 可移动存储设备
3. 配置设备审计设置
4. 配置警报设置

设备控制策略对于管理和限制组织 IT 环境中外围设备的使用至关重要。定义这些策略是确保全面设备安全以及对设备使用和访问建立精确、细粒度控制的关键步骤。

要查看支持的设备列表，请单击此处

为 Windows 创建设备访问控制策略

导航至 Policies -> Policy Creation -> Create Policy -> 选择 Windows

1. 策略名称：
   输入要创建的策略名称。
2. 说明（可选）：
   添加说明以阐明策略的用途或关键详细信息

控制选项

设备访问控制使您能够管理和限制外围设备的使用，从而增强安全性。

1. 允许：允许外围设备的完整功能，并可在高级设置中针对特定设备提供附加控制。
2. 阻止：限制外围设备的所有功能。对于可移动存储和 CD-ROM 设备，高级控制允许阻止特定连接类型，例如 USB 或 SCSI。
3. 允许受信任的设备：允许管理员指定一个受信任设备列表，仅允许这些设备访问，同时阻止其他设备。
   有关创建受信任设备列表的说明，请单击此处。
4. 不更改：确保代理不会在终端上强制实施任何阻止或允许策略，适用于已应用组策略对象 (GPO) 的情况。
5. 只读：允许用户查看数据，但阻止在设备上对数据进行任何传输或修改。

高级设置

虽然控制选项适用于所有设备，但某些设备提供“高级设置”选项以配置细粒度控制。

可移动存储设备

“可移动存储设备”可控制 USB 驱动器、外部硬盘和虚拟驱动器的行为。

当选择“允许”或“允许受信任的设备”时，管理员可以访问高级设置，以更细粒度地控制设备配置。

• 文件访问设置
  1. 限制从可移动存储设备传输文件：控制从已连接的可移动存储设备向计算机传输文件
  2. 限制对可移动存储设备中文件的修改和传输：允许管理员启用或禁用修改可移动存储设备中文件的权限，从而防止更改文件内容，并限制从计算机向存储设备传输文件。
  3. 管理员可以根据特定文件扩展名及相应文件大小允许向可移动存储设备传输文件。
• 设备访问设置
  1. 禁用自动运行：当连接可移动存储设备时，阻止自动运行功能。
  2. 未加密设备的访问设置：
     • 未配置：不对未加密设备施加任何限制。
     • 阻止：限制使用未加密的可移动存储设备。
     • 只读：允许未加密的可移动存储设备以只读模式连接。
  3. 通知最终用户对设备进行加密以获得写入访问权限：当未加密设备选择“只读”时，此选项会在最终用户的计算机上启用弹出通知。该通知会提醒用户必须对设备进行加密，才能恢复写入功能。
  4. 加密方法：
     • 默认加密：使用系统指定的默认加密方法。
     • 128 位加密：使用 128 位加密来保护数据。
     • 256 位加密：使用 256 位加密以增强数据安全性。

• 文件影子设置

  1. 管理员能够根据需要启用或禁用文件影子。
  2. 如果启用了文件影子，请指定远程网络共享文件夹的路径。
  3. 选择授权用户用于访问存储影子文件副本的网络共享的凭据。
  4. 设置允许进行文件影子的最大文件大小。

  注意： 

  • 您可以输入 0 KB 到 1,048,576 KB（1 GB）之间的值。如果输入 0，则不会应用大小限制，所有文件（无论大小）都会被影子复制。
  • 仅当文件从计算机传输到可移动存储设备时，才会发生文件影子。
  场景：如果文件影子大小限制设置为 1 GB，则 2 GB 的文件不会被影子复制，因为它超过了指定限制。但是，如果限制设置为 0 KB，则不会应用大小限制，2 GB 的文件也会被影子复制，因为无论大小，所有文件都被允许。
  1. “排除扩展名”下列出的文件扩展名将被排除在文件影子之外。
  注意：如果远程路径不可访问，数据将存储在代理计算机本地，并在下一次刷新期间自动发送到远程路径。

CD-ROM

CD-ROM 控制对 CD/DVD 驱动器的访问，使您能够设置权限、限制写入功能并强制只读访问以保护数据。
当选择“允许”时，管理员可以访问高级设置以启用或禁用自动运行功能。

蓝牙适配器

蓝牙适配器用于管理对蓝牙设备的访问，使您能够设置权限并限制文件传输以保护数据。
当选择“允许”时，管理员可以启用或阻止文件传输功能

为 Mac 创建设备访问控制策略

导航至 Policies -> Policy Creation -> Create Policy -> 选择 Mac

1. 策略名称：
   输入要创建的策略名称。
2. 说明（可选）：
   添加说明以阐明策略的用途或关键详细信息

控制选项

设备访问控制使您能够管理和限制外围设备的使用，从而增强安全性。

1. 允许：允许外围设备的完整功能，并可在高级设置中针对特定设备提供附加的细粒度控制。
2. 阻止：阻止外围设备的所有功能。对于可移动存储和 CD-ROM 设备，高级控制允许阻止特定连接类型，例如 USB 或 SCSI。
3. 允许受信任的设备：允许管理员指定一个受信任设备列表，仅允许这些设备访问，同时阻止所有其他设备。 
   有关创建受信任设备列表的说明，请单击此处。
4. 不更改：确保代理不会在终端上强制实施任何阻止或允许策略，适用于管理员已应用组策略对象 (GPO) 的情况。
5. 只读：允许用户查看数据，但阻止在设备上对数据进行任何传输或修改。

高级设置

虽然控制选项适用于所有设备，但某些设备提供“高级设置”以配置细粒度控制。

可移动存储设备

对于 macOS，“可移动存储设备”提供了对 USB 驱动器、外部硬盘和虚拟驱动器的基本控制，允许管理员限制对可移动存储设备的文件修改和传输。

“限制对可移动存储设备中文件的修改和传输”允许管理员启用或禁用修改可移动存储设备中文件的权限。启用此选项后，将阻止更改可移动存储设备中的文件内容，并限制从计算机向存储设备传输文件。

配置设备审计设置

设备审计设置允许管理员配置与生成审计报告相关的审计参数和设置，以维持合规性和安全性。这有助于管理员清楚了解整个网络中的设备交互情况。

1. 监控所有设备活动可启用对所有设备活动的全面审计和跟踪。

   注意：禁用此设置将停止所有设备活动审计。

2. 管理员可以配置代理生成审计报告的频率
3. 启用“立即将被阻止设备的详细信息发送到服务器”可确保被阻止设备的报告实时发送到服务器。禁用后，这些报告将在下一次计划的代理报告周期内发送。

警报设置

警报设置允许管理员在连接被阻止的设备时为用户配置通知。

1. 关闭：用户不会收到任何提示其设备已被阻止的警报。
2. 默认通知：用户会收到标准消息，告知其设备已被阻止。

1. 自定义通知：管理员可以定义唯一的警报标题和消息，当用户插入被阻止的设备时将看到这些内容。此外，管理员还可以启用“临时访问请求”选项，允许用户请求临时权限以使用被阻止的设备。