Настройки доступа

На странице Настройки доступа можно разрешить или запретить доступ к устройствам определенных типов, а также включить или отключить уведомления операционной системы и оповещения контроля устройств.

Настройки доступа позволяют ограничить доступ пользователей к следующим типам устройств и портов:

Съемный (контроль доступа по типу устройства): устройства с любым интерфейсом подключения к компьютеру (USB, FireWire, PCMCIA, IDE, SATA, SCSI и т. д.), которые распознаны операционной системой как съемные устройства хранения (например, USB-накопители, устройства чтения смарт-карт, магнитооптические дисководы и т. д.) Модуль контроля устройств классифицирует все жесткие диски, подключенные через USB, FireWire и PCMCIA, как съемные устройства. Он также классифицирует некоторые жесткие диски (обычно с интерфейсами SATA и SCSI) как съемные устройства, если они поддерживают функцию горячего подключения и на них не выполняется операционная система.

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к съемным устройствам. Таким образом вы можете контролировать операции копирования данных на любой съемный носитель (или с него) на защищенном компьютере. Права доступа не влияют на устройства, которые зашифрованы BitLocker или FileVault (только для файловой системы HFS+).

Этот тип устройств поддерживается в Windows и macOS.
Зашифрованный съемный диск (контроль доступа по типу устройства): съемные устройства, которые зашифрованы средством шифрования диска BitLocker (в Windows) или FileVault (в macOS).

В macOS поддерживаются только зашифрованные съемные диски с файловой системой HFS+ (также известной как HFS Plus, Mac OS Extended или HFS Extended). Зашифрованные съемные диски с файловой системой APFS рассматриваются как съемные диски.

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к зашифрованным съемным устройствам. Таким образом вы можете контролировать операции копирования данных на любой зашифрованный съемный носитель (или с него) на защищенном компьютере. Права доступа распространяются только на устройства, которые зашифрованы BitLocker или FileVault (только для файловой системы HFS+).

Этот тип устройств поддерживается в Windows и macOS.
Принтеры (контроль доступа по типу устройства): физические принтеры с каким-либо интерфейсом для подключения к компьютеру (USB, LPT, Bluetooth и т. д.), а также принтеры, к которым компьютер обращается по сети.

Можно разрешить или запретить доступ к принтерам. Таким образом вы можете контролировать печать документов на любом принтере на защищенном компьютере.

После изменения настроек доступа для принтеров на Запретить, программы и процессы, которые получают доступ к принтерам, необходимо перезапустить для применения новых настроек доступа. Чтобы должным образом применить настройки доступа, перезапустите защищенные рабочие нагрузки.

Этот тип устройств поддерживается только в Windows.
Буфер обмена (контроль доступа по типу устройства): буфер обмена Windows.

Можно разрешить или запретить доступ к буферу обмена для контроля операций копирования и вставки через буфер обмена Windows на защищенном компьютере.

После изменения настроек доступа для буфера обмена, на Запретить, программы и процессы, которые получают доступ к буферу обмена, необходимо перезапустить для применения новых настроек доступа. Чтобы должным образом применить настройки доступа, перезапустите защищенные рабочие нагрузки.

Этот тип устройств поддерживается только в Windows.
Снимок экрана (контроль доступа по типу устройств): активирует захват снимков всего экрана, активного окна или выбранного раздела экрана.

Можно разрешить или запретить доступ к захвату экрана для контроля этой операции на защищенном компьютере.

После изменения настроек доступа для захвата с экрана на Запретить, программы и процессы, которые получают доступ к захвату экрана, необходимо перезапустить для применения новых настроек доступа. Чтобы должным образом применить настройки доступа, перезапустите защищенные рабочие нагрузки.

Этот тип устройств поддерживается только в Windows.
Мобильные устройства (контроль доступа по типу устройства): устройства (например, смартфоны Android и т. д.), которые обмениваются данными с компьютером по протоколу Media Transfer Protocol (MTP) через любой интерфейс для подключения к компьютеру (USB, IP, Bluetooth).

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к мобильным устройствам. Таким образом вы можете контролировать операции копирования данных на любое мобильное устройство на основе MTP (или с него) на защищенном компьютере.

После изменения настроек доступа для мобильных устройств на Только для чтения или Запретить, программы и процессы, которые получают доступ к мобильным устройствам, необходимо перезапустить для применения новых настроек доступа. Чтобы должным образом применить настройки доступа, перезапустите защищенные рабочие нагрузки.

Этот тип устройств поддерживается только в Windows.
Bluetooth (контроль доступа по типу устройства): внешние и внутренние устройства Bluetooth с любым интерфейсом для подключения к компьютеру (USB, PCMCIA и т. д.). Эта настройка контролирует использование устройств данного типа, а не обмен данными с использованием таких устройств.

Можно разрешить или запретить доступ к Bluetooth. Таким образом вы можете контролировать использование устройств Bluetooth на защищенном компьютере.

В macOS права доступа для Bluetooth не распространяются на устройства Bluetooth HID. Доступ к этим устройствам всегда разрешен, что позволяет исключить отключение беспроводных устройств HID (мыши и клавиатуры) в iMac и Mac Pro.

Этот тип устройств поддерживается в Windows и macOS.
Оптические диски (контроль доступа по типу устройства): внешние и внутренние приводы CD/DVD/BD (включая приводы с возможностью записи) с любым интерфейсом для подключения к компьютеру (IDE, SATA, USB, FireWire, PCMCIA и т. д.).

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к оптическим дискам. Таким образом вы можете контролировать операции копирования данных на любой оптический диск (или с него) на защищенном компьютере.

Этот тип устройств поддерживается в Windows и macOS.
Дисководы гибких дисков (контроль доступа по типу устройства): внешние и внутренние дисководы гибких дисков с любым интерфейсом для подключения к компьютеру (IDE, USB, PCMCIA и т. д.). Некоторые модели дисководов гибких дисков операционная система распознает как съемные диски. В этом случае модуль контроля устройств также идентифицирует эти дисководы как съемные устройства.

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к дисководам для гибких дисков. Таким образом вы можете контролировать операции копирования данных на любой дисковод для гибких дисков (или с него) на защищенном компьютере.

Этот тип устройств поддерживается только в Windows.
USB (контроль доступа по интерфейсу устройства): все устройства, подключенные к порту USB, за исключением концентраторов.

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к порту USB. Таким образом вы можете контролировать операции копирования данных на устройства, подключенные через порт USB (или с них), на защищенном компьютере.

Этот тип устройств поддерживается в Windows и macOS.
FireWire (контроль доступа по интерфейсу устройства): все устройства, подключенные к порту FireWire (IEEE 1394), за исключением концентраторов.

Можно разрешить полный доступ, доступ только для чтения или запретить доступ к порту FireWire. Таким образом вы можете разрешить или запретить копирование данных на любое устройство, подключенное к порту FireWire (или с него) на защищенном компьютере.

Этот тип устройств поддерживается в Windows и macOS.
Перенаправленные устройства (контроль доступа по интерфейсу устройства): подключенные диски (жесткий, съемный и оптические диски), устройства USB и буфер обмена, перенаправленный в сеансы виртуального приложения/рабочего стола.

Модуль контроля устройств распознает устройства, перенаправленные через протоколы удаленного взаимодействия Microsoft RDP, Citrix ICA, VMware PCoIP и HTML5/WebSockets в средах виртуализации Microsoft RDS, Citrix XenDesktop, Citrix XenApp, Citrix XenServer и VMware Horizon, размещенных на защищенных компьютерах Windows. Он также может контролировать операции копирования данных между буфером обмена Windows гостевых операционных систем в VMware Workstation, VMware Player, Oracle VM VirtualBox или Windows Virtual PC и буфером операционной системы сервера виртуальных машин на защищенном компьютере Windows.

Этот тип устройств поддерживается только в Windows.

Доступ к перенаправленным устройствам можно настроить следующим образом:
- Подключенные диски: разрешите полный доступ, доступ только для чтения или запретите доступ. Таким образом вы можете контролировать операции копирования данных на любой жесткий, съемный или оптический диск (или с него), перенаправленный в сеанс, размещенный на защищенном компьютере.
- Данные, входящие в буфер обмена: разрешите или запретите доступ. Таким образом вы можете контролировать операции копирования данных через буфер обмена в сеанс, размещенный на защищенном компьютере.
  После изменения настроек доступа для данных, входящих в буфер обмена, на Запретить, программы и процессы, которые получают доступ к буферу обмена, необходимо перезапустить для применения новых настроек доступа. Чтобы должным образом применить настройки доступа, перезапустите защищенные рабочие нагрузки.
- Данные, исходящие из буфера обмена: разрешите или запретите доступ. Таким образом вы можете контролировать операции копирования данных через буфер обмена из сеанса, размещенного на защищенном компьютере.
  После изменения настроек доступа для данных, исходящих из буфера обмена, на Запретить, программы и процессы, которые получают доступ к буферу обмена, необходимо перезапустить для применения новых настроек доступа. Чтобы должным образом применить настройки доступа, перезапустите защищенные рабочие нагрузки.
- Порты USB: разрешите или запретите доступ. Таким образом вы можете контролировать операции копирования данных на устройства, подключенные к любому порту USB, перенаправленному в сеанс, размещенный на защищенном компьютере, или с этих устройств.

Настройки управления устройствами одинаково действуют для всех пользователей. Например, если запретить доступ к съемным устройствам, ни один пользователь не сможет копировать данные на такие устройства (или с них) на защищенном компьютере. Можно избирательно разрешить доступ к отдельным устройствам USB, исключив их из контроля доступа (см. Список разрешений типов устройства и Список разрешений устройств USB).

Если доступ к устройству контролируется как по его типу, так и по его интерфейсу, то запрет доступа на уровне интерфейса имеет приоритет. Например, если доступ к портам USB запрещен (на уровне интерфейса устройства), то доступ к мобильным устройствам, подключенным к порту USB, будет запрещен независимо от того, разрешен или запрещен доступ к мобильным устройствам (по типу устройства). Чтобы разрешить доступ к такому устройству, необходимо разрешить как его интерфейс, так и его тип.

Если план защиты, который используется в macOS, имеет настройки для типов устройств, которые поддерживаются только в Windows, то эти настройки будут проигнорированы в macOS.

Когда съемное устройство, зашифрованное съемное устройство, принтер или устройство Bluetooth подключено к порту USB, то разрешение доступа к этому устройству переопределяет запрет доступа, заданный на уровне интерфейса USB. Если вы разрешаете такой тип устройства, то доступ к данному устройству будет разрешен, даже если доступ к порту USB запрещен.