使用设备控制模块

作为 Cyber Protection 服务保护计划的一部分，设备控制模块作为保护计划的一部分，设备控制模块利用每台受保护计算机上的数据丢失保护代理程序的功能子集，来检测和防止通过本地计算机通道对数据进行未经授权的访问和传输。这包括用户访问外围设备和端口、文档打印、剪贴板复制/粘贴操作、媒体格式和弹出操作，以及与本地连接的移动设备的同步。设备控制模块提供对以下对象的精细化相关控制：受保护计算机上允许用户访问的设备类型和端口，以及用户可以在这些设备上执行的操作。利用每台受保护计算机上的适用于防止数据丢失的代理程序通过应用上下文和内容分析技术的组合，并强制集中管理数据丢失预防策略，数据丢失预防系统的客户端组件保护其主机计算机避免未授权使用、传输和存储机密、受保护或敏感数据。Cyber Protection 提供全功能的数据丢失预防代理程序。但是，受保护计算机上的代理程序功能受限于可用于 Cyber Protection 中的许可的数据丢失预防功能集，并取决于应用于该计算机的保护计算。的功能子集，来检测和防止通过本地计算机通道对数据进行未经授权的访问和传输。它提供了对广泛数据泄漏途径的精细控制，这些途径包括使用可移动媒体、打印机、虚拟和重定向的设备以及 Windows 剪贴板进行的数据交换。

该模块可用于 Cyber Protect Essentials、Cyber Protect Standard 和 Cyber Protect Advanced 版本，这些版本都按工作负载给予许可。

在 Windows 计算机上，设备控制功能要求安装适用于防止数据丢失的代理程序。如果在其保护计划中启用了设备控制模块，它将自动安装以用于受保护的工作负载。

设备控制模块依赖于代理程序的数据丢失保护集成技术和公司措施系统，旨在检测和预防意外的或有意的泄漏/公司内外未经授权的实体访问机密、受保护或敏感数据，或将此类数据传输给不受信任的环境。功能，来强制执行对受保护计算机上的数据访问和传输操作的相关控制。这包括用户访问外围设备和端口、文档打印、剪贴板复制/粘贴操作、媒体格式和弹出操作，以及与本地连接的移动设备的同步。适用于防止数据丢失的代理程序包括设备控制模块的所有集中管理和管控组件，因此它必须安装在要通过设备控制模块进行保护的每台计算机上。代理程序根据它从应用于受保护计算机的保护计划接收的设备控制设置，允许、限制或拒绝用户操作。

设备控制模块控制对各种外围设备的访问，不管是直接在受保护的计算机上使用，还是在受保护计算机上托管的虚拟环境中重定向。它识别在 Microsoft Remote Desktop Server、Citrix XenDesktop / XenApp / XenServer 和 VMware Horizon 中重定向的设备。它还控制以下两个剪贴板之间的数据复制操作：运行在 VMware Workstation / Player、Oracle VM VirtualBox 或 Windows Virtual PC 上的来宾操作系统的剪贴板，以及运行在受保护计算机上的主机操作系统的剪贴板。

设备控制模块可以保护运行以下操作系统的计算机：

设备控制

Microsoft Windows 7 Service Pack 1 及更高版本
Microsoft Windows Server 2008 R2 及更高版本
macOS 10.15 (Catalina)
macOS 11.2.3 (Big Sur)
macOS 12 (Monterey)
macOS 13 (Ventura)

面向 macOS 的适用于防止数据丢失的代理程序仅支持 x64 处理器。不支持基于 ARM 的 Apple Silicon 处理器。

数据丢失预防

Microsoft Windows 7 Service Pack 1 及更高版本
Microsoft Windows Server 2008 R2 及更高版本

适用于防止数据丢失的代理程序可能安装在不受支持的 macOS 系统上，因为它是适用于 Mac 的代理程序的重要组成部分。在此情况下，Cyber Protect 中控台将指示适用于防止数据丢失的代理程序已安装在计算机上，但设备控制和防止数据丢失功能将不起作用。设备控制功能仅在适用于防止数据丢失的代理程序支持的 macOS 系统上起作用。

使用 Hyper-V 的适用于防止数据丢失的代理程序的使用限制

不要在 Hyper-V 簇中的 Hyper-V 主机上安装适用于防止数据丢失的代理程序，因为它可能导致 BSOD 问题，主要在使用群集共享卷 (CSV) 的 Hyper-V 簇中。

如果您使用以下任意版本的适用于 Hyper-V 的代理程序，则需要手动删除适用于防止数据丢失的代理程序：

15.0.26473 (C21.02)
15.0.26570 (C21.02 HF1)
15.0.26653 (C21.03)
15.0.26692 (C21.03 HF1)
15.0.26822 (C21.04)

要删除适用于防止数据丢失的代理程序，则在 Hyper-V 主机，手动运行安装程序，并清除“适用于防止数据丢失的代理程序”复选框，或运行以下命令：

<installer_name> --remove-components=agentForDlp –quiet

可以在 Cyber Protect 中控台中的保护计划的设备控制部分中，启用和配置设备控制模块。有关说明，请参见启用或禁用设备控制的步骤。

设备控制部分显示模块配置的概要：

访问设置 - 显示具有受限（拒绝或只读）访问权限的设备类型和端口的概要（如果有）。否则，表示允许所有设备类型。单击此概要以查看或更改访问权限设置（请参见查看或更改访问权限设置的步骤）。
设备类型允许列表 - 显示通过从设备访问控制中排除所允许的设备子类数量（如果有）。否则，表示允许列表为空。单击此概要以查看或更改允许的设备子类的选择（请参见从访问控制排除设备子类的步骤）。
USB 设备允许列表 - 显示通过从设备访问控制中排除所允许的 USB 设备/型号的数量（如果有）。否则，表示允许列表为空。单击此概要以查看或更改允许的 USB 设备/型号的列表（请参见从访问控制排除单个 USB 设备的步骤）。
排除 - 显示已为 Windows 剪贴板、屏幕截图捕获、打印机和移动设备设置了多少个访问控制排除。