设备控制警报

通过跟踪用户访问受控类型、端口或接口的尝试,设备控制维护一个事件日志。特定事件可以引发记录在服务中控台中的警报。例如,设备控制模块可以配置为防止使用可移动设备,当用户试图与此类设备传输数据时,会记录一条警报。

当配置设备控制模块时,可以为设备类型(屏幕截图捕获除外)或端口下列出的大多数项目启用警报。如果警报已启用,则用户每次尝试执行不允许的操作时都会生成警报。例如,如果对可移动设备的访问限制为只读,并且为该设备类型选中了显示警报选项,则每当受保护计算机上的用户尝试将数据复制到可移动设备时都会生成警报。

若要在服务中控台中查看警报,请转到仪表板 > 警报。在每个设备控制警报中,中控台提供以下有关各自事件的信息:

  • 类型 - 警告。
  • 状态 - 显示“外围设备访问已被阻止”。
  • 消息 - 显示“已阻止对‘<计算机名称>’上的‘<设备类型或端口>’的访问”。例如,“已阻止对‘<accountant-pc>’上的‘<可移动>’的访问”。
  • 日期和时间 - 事件发生时的日期和时间。
  • 设备 - 发生事件的计算机的名称。
  • 计划名称 - 引发事件的保护计划的名称。
  • - 事件中涉及的设备类型或端口。例如,在被拒绝的用户尝试访问可移动设备的事件中,此字段读取“可移动”设备。
  • 操作 - 引发事件的操作。例如,在被拒绝的用户尝试将数据复制到设备的事件中,此字段读取“写入”。有关详细信息,请参阅操作字段值
  • 名称 - 事件目标对象的名称,例如用户尝试复制的文件,或用户尝试使用的设备。如果不能识别目标对象,则不会显示。
  • 信息 - 有关事件目标设备的其他信息,例如 USB 设备的设备 ID。如果没有有关目标设备的其他可用信息,则不会显示。
  • 用户 - 引发事件的用户名。
  • 进程 - 指向引发事件的应用程序可执行文件的完全限定路径。在某些情况下,可能显示进程名称而不是路径。如果进程信息不可用,则不会显示。

如果警报应用于 USB 设备(包括可移动设备和加密的可移动设备),那么管理员可以直接从警报中将设备添加到允许列表,这可防止设备控制模块限制对特定设备的访问。单击允许此 USB 设备会在设备控制模块的配置中将其添加到 USB 设备允许列表,还会将其添加到 USB 设备数据库供将来参考。

另请参见查看设备控制警报的步骤