裝置控制

裝置控制模組關閉 裝置控制模組運用每個受保護電腦上的資料洩漏防禦代理程式功能子集,偵測並防止本機電腦通道上未經授權的資料存取和傳輸,作為保護計劃的一部分。這些包括使用者對週邊裝置和連接埠的存取、文件列印、剪貼簿複製/貼上作業、媒體格式化和退出作業,以及與本機連線行動裝置的同步。裝置控制模組對允許使用者在受保護的電腦上存取的裝置和連接埠的類型,以及使用者可以在這些裝置上執行的動作,提供精細的情境控制。運用每個受保護電腦上的資料洩漏防禦用代理程式關閉 資料洩漏防禦系統的用戶端元件,可透過套用環境和內容分析技術的組合,並強制執行集中管理的資料洩漏防禦政策,保護其主機電腦,免於未經授權者使用、傳輸和儲存機密、受保護或敏感的資料。網路保護提供一個功能全面的資料洩漏防禦代理程式。但是,代理程式在受保護電腦上的功能受限於網路保護授權使用的一組資料洩漏防禦功能,並取決於套用至該電腦的保護計劃。功能子集,偵測並防止本機電腦通道上未經授權的資料存取和傳輸,作為 Cyber Protection 服務保護計劃的一部分。其對各式各樣的資料洩漏途徑提供細微的控制,包括使用卸除式媒體、印表機、虛擬和重新導向的裝置,以及 Windows 剪貼簿交換資料。

此模組適用於按工作負載授權的 Cyber Protect Essentials、Cyber Protect Standard 以及 Cyber Protect Advanced 版本。

在 Windows 電腦上,裝置控制功能需要安裝資料洩漏防禦用代理程式。如果在其保護計劃中啟用 [裝置控制] 模組,則會為受保護的工作負載自動安裝該代理程式。

裝置控制模組依賴代理程式的資料洩漏防禦關閉 一種整合式技術和組織措施的系統,旨在偵測和防止組織內外部未經授權的實體有意和無意地洩露/存取機密、受保護或敏感的資料,或將此類資料傳輸到不受信任的環境。功能,強制對受保護電腦上的資料存取和傳輸作業,執行情境控制。這些包括使用者對週邊裝置和連接埠的存取、文件列印、剪貼簿複製/貼上作業、媒體格式化和退出作業,以及與本機連線行動裝置的同步。資料洩漏防禦用代理程式包含裝置控制模組所有中央管理和系統管理元件的架構,因此其必須安裝在要使用裝置控制模組保護的每部電腦上。此代理程式會根據其接收自受保護電腦所套用之保護計劃的裝置控制設定,允許、限制或拒絕使用者動作。

無論是直接在受保護電腦上使用,還是在受保護電腦上託管的虛擬化環境中重新導向,裝置控制模組都可以控制對各種週邊裝置的存取。此模組可辨識在 Microsoft Remote Desktop Server、Citrix XenDesktop / XenApp / XenServer,以及 VMware Horizon 中重新導向的裝置。它也可以控制在 VMware Workstation / Player、Oracle VM VirtualBox 或 Windows Virtual PC 上執行之客體作業系統的剪貼簿,以及在受保護電腦上執行之主機作業系統的剪貼簿之間的資料複製作業。

裝置控制模組可以保護執行下列作業系統的電腦:

  • Microsoft Windows 7 Service Pack 1 和更新版本
  • Microsoft Windows Server 2008 R2 和更新版本
  • macOS 10.15 (Catalina) 和更新版本
  • macOS 11.2.3 (Big Sur) 和更新版本
適用於 macOS 的資料洩漏防禦用代理程式僅支援 x64 處理器 (不支援 Apple Silicon ARM 型處理器)。

資料洩漏防禦用代理程式可能安裝在不支援的 macOS 系統上,因為它是 Mac 用代理程式的完整部分。在此情況下,Cyber Protect 主控台將會顯示資料洩漏防禦用代理程式已安裝在電腦上,但是裝置控制功能將無法運作。裝置控制功能僅適用於資料洩漏防禦用代理程式支援的 macOS 系統。

使用資料洩漏防禦用代理程式搭配 Hyper-V 的限制

請勿將資料洩漏防禦用代理程式安裝在 Hyper-V 叢集中的 Hyper-V 主機上,因為這可能會造成 BSOD 問題,主要是在具有叢集式共用磁碟區 (CSV) 的 Hyper-V 叢集中。

如果您使用下列任何版本的 Hyper-V 用代理程式,您需要手動移除資料洩漏防禦用代理程式:

  • 15.0.26473 (C21.02)

  • 15.0.26570 (C21.02 HF1)

  • 15.0.26653 (C21.03)

  • 15.0.26692 (C21.03 HF1)

  • 15.0.26822 (C21.04)

若要移除資料洩漏防禦用代理程式,請在 Hyper-V 主機上,手動執行安裝程式,然後清除 [資料洩漏防禦用代理程式] 核取方塊,或執行下列命令:

<installer_name> --remove-components=agentForDlp –quiet

您可以在服務主控台中保護計劃的 [裝置控制] 區段內啟用並設定裝置控制模組。如需指示,請參閱啟用或停用裝置控制的步驟

[裝置控制] 區段會顯示模組設定的摘要:

  • 存取設定 - 顯示具有受限 (拒絕或唯讀) 存取權之裝置類型和連接埠的摘要 (如果有的話)。否則,指明允許所有裝置類型。按一下此摘要可檢視或變更存取設定 (請參閱檢視或變更存取設定的步驟)。
  • 裝置類型允許名單 - 透過從裝置存取控制排除,顯示允許的裝置子類別數量 (如果有的話)。否則,指明允許名單是空的。按一下此摘要可檢視或變更允許的裝置子類別選項 (請參閱從存取控制排除裝置子類別的步驟)。
  • USB 裝置允許名單 - 透過從裝置存取控制排除,顯示允許的 USB 裝置/型號數量 (如果有的話)。否則,指明允許名單是空的。按一下此摘要可檢視或變更允許的 USB 裝置/型號清單 (請參閱從存取控制排除各個 USB 裝置的步驟)。
  • 排除 - 顯示針對 Windows 剪貼簿、螢幕擷取畫面擷取、印表機和行動裝置設定的存取控制排除數目。
相關主題連結圖示另請參閱