功能說明:
裝置控制是在每個受保護電腦上的資料洩漏防禦用的代理程式功能,偵測並防止本機電腦上未經授權的資料存取和傳輸,作為Cyber Protection服務保護計劃的一部分。其對各式各樣的資料洩漏途徑提供細微的控制,包括使用卸除式媒體、印表機、虛擬和重新導向的裝置,以及Windows剪貼簿交換資料。
※ 在Windows上,裝置控制功能需要安裝資料洩漏防禦用代理程式。如果在其保護計劃中啟用「裝置控制」模組,則會為受保護的工作負載自動安裝該代理程式。
若只需要封鎖USB裝置,請參考步驟1、2、5。
其他介紹和進階功能,請詳閱本文步驟。
如需要更詳細內容,請參考原廠使用指南手冊:
裝置控制模組可以保護執行下列作業系統的電腦:
Microsoft Windows 7 Service Pack 1 以上
Microsoft Windows Server 2008 R2 – Windows Server 2022
macOS 10.15 (Catalina) – macOS 15 (Sequoia)
適用於 macOS 的資料洩漏防禦用代理程式僅支援 x64 處理器。不支援 Apple 晶片 ARM 型處理器。
※ 資料洩漏防禦只適用於Windows作業系統。
儘管其代理程式可能安裝在不支援的 macOS 系統上,因為它是 Mac 用代理程式的完整部分。
※ 請勿將資料洩漏防禦用代理程式安裝在 Hyper-V 叢集中的 Hyper-V 主機上,因為這可能會造成 BSOD 問題,主要是在具有叢集式共用磁碟區 (CSV) 的 Hyper-V 叢集中。
更多相關細節請參考原廠使用指南手冊:
https://www.acronis.com/tw/support/documentation/CyberProtectionService/#dc-device-control.html
1. 開啟Cyber Protect 主控台中保護計劃的「裝置控制」內啟用並設定裝置控制模組。
保護計劃>建立計劃或點選既有計劃編輯。
2. 確認計劃內已新增要控制的裝置,並啟用裝置控制模組。
3. 以下針對各項細部功能說明:
存取設定中可以允許或拒絕存取特定類型的裝置,以及啟用或停用作業系統通知和裝置控制警示。若要顯示相關通知在終端使用者,可勾選上方選項。
關於裝置各選項細節的差異,請參考原廠使用指南手冊:
https://www.acronis.com/tw/support/documentation/CyberProtectionService/#dc-settings.html
4. USB為連接至 USB 連接埠的任何裝置,但集線器除外。 可以對 USB 連接埠允許完整存取、允許唯讀存取,或拒絕存取,從而控制受保護電腦上連接到任何 USB 連接埠的裝置複製資料的作業。 Windows 和 macOS 都支援此裝置類型。
FireWire為IEEE 1394連接埠的任何裝置,但集線器除外。 您可以對 FireWire 連接埠允許完整存取、允許唯讀存取,或拒絕存取,從而控制受保護電腦上連接到任何 FireWire 連接埠的裝置複製資料的作業。
重新導向的裝置為導向至虛擬應用程式/桌面工作階段的對應磁碟機、USB 裝置以及剪貼簿。裝置控制在受保護 Windows 電腦上託管的虛擬化環境中,可識別透過 Microsoft RDP、Citrix ICA、VMware PCoIP 和 HTML5/WebSocket 遠端通訊協定重新導向的裝置。也可以控制在虛擬化環境執行之客體作業系統的 Windows 剪貼簿,以及在受保護 Windows 電腦上執行之主機作業系統的剪貼簿之間的資料複製作業。
注意事項:
※ 當卸除式裝置、加密的卸除式裝置、印表機或藍牙裝置連接至 USB 連接埠時,允許存取該裝置將優先於在 USB 介面層級設定的拒絕存取。如果您允許這種裝置類型,則無論是否拒絕存取 USB 連接埠,都允許存取裝置。
※ 當您將剪貼簿傳入和傳出的存取設定變更為「拒絕」時,必須重新啟動存取剪貼簿的應用程式和程序,才能強制執行新設定的存取設定。為確保已正確強制執行存取設定,請重新啟動受保護的工作負載。
※ 對裝置的存取同時受到其類型和介面的控制時,在介面層級拒絕存取優先。
例如,如果拒絕存取 USB 連接埠,則無論允許還是拒絕存取行動裝置,都會拒絕存取連接至 USB 連接埠的行動裝置。若要允許存取這種裝置,您必須同時允許其介面和類型。
※ 僅 Windows 支援此裝置類型,如果在 macOS 上使用的保護計劃的設定適用於僅在 Windows 上受支援的裝置類型,則在 macOS 上將忽略這些裝置類型的設定。
關於注意事項細節,請參考原廠使用指南手冊:
https://www.acronis.com/tw/support/documentation/CyberProtectionService/#dc-settings.html
5. 常見封鎖USB 範例設定:
針對卸除式儲存裝置、加密的卸除式、行動裝置封鎖,即可封鎖絕大多數USB裝置。
如上面所述注意事項,裝置的優先層級會高於連接連接埠。
6. 裝置類型允許名單,可以選擇要從裝置存取控制排除的裝置子類別。無論裝置控制模組中的存取設定為何,都允許存取這些裝置。
此選項可讓您拒絕某個特定類型的所有裝置,但此類型裝置的某些子類別除外。這可能非常實用,例如,當您需要拒絕存取所有 USB 連接埠,同時允許使用 USB 鍵盤和滑鼠時。
將裝置類型加入允許名單時,請考慮以下情況:
僅能透過裝置類型允許名單,允許整個裝置子類別。無法在允許某個特定裝置型號的同時,拒絕其他所有相同子類別的裝置。關於如何允許個別的裝置/型號,請參閱下方7的USB 裝置允許名單。
您只能從裝置子類別的封閉式清單中選擇裝置類型。如果允許的裝置屬於不同的子類別,則無法透過使用裝置類型允許名單來允許該裝置。若要在拒絕 USB 連接埠時允許 USB的裝置,請參閱下方7的USB 裝置允許名單。
裝置類型允許名單僅適用於使用標準 Windows 驅動程式的裝置。裝置控制可能無法辨識部分具有專屬驅動程式之 USB 裝置的子類別。因此,您無法使用裝置類型允許名單,允許對此類 USB 裝置的存取。在此情況下,您可以根據裝置/型號允許存取,請參閱下方7的USB 裝置允許名單。
7. USB 裝置允許名單用在允許使用特定 USB 裝置,而與其他任何裝置控制設定無關。
可以將個別的裝置或裝置型號新增至允許名單,以停用這些裝置的存取控制。例如,如果將擁有唯一 ID 的USB裝置新增至允許名單,表示即使拒絕其他任何 USB 裝置,您也允許使用該特定裝置。
若要將裝置新增至允許名單,您必須先將其新增至 USB 裝置資料庫,可以透過從該資料庫中選擇已偵測到的裝置,將裝置新增至允許名單,或是手動新增至資料庫。
關於相關細節,請參考原廠使用指南手冊:
若要新增特定USB裝置,請點選新增置資料庫。針對每個裝置,清單都會提供下列資訊:
描述 – 描述可以作為裝置可讀取的識別碼。裝置描述旁的藍色圖示表示裝置目前連接至電腦。如果裝置未連接至該電腦,圖示會呈現灰色。
裝置 ID – 作業系統指派給裝置的識別碼。此識別碼的格式如下:
USB\VID_<vendor ID>&PID_<product ID>\<serial number>
其中 <serial number> 是指定該裝置的唯一參數。若只要封鎖同類型裝置,則輸入至<product ID>即可。
以本教學範例:USB\VID_0BDA&PID_9210(該同系列裝置皆適用)。
USB\VID_0BDA&PID_9210\MSFT30012345679457(唯一指定裝置)。
關於相關細節,請參考原廠使用指南手冊:
8. 關於手動查看儲存裝置的硬體ID,請參考以下方式:
插入USB儲存裝置。
對該裝置點選右鍵>內容硬體>選擇USB儲存裝置>內容。
詳細資料>屬性>裝置例項路徑>值>右鍵複製>確定。
屬性相關說明:
裝置例項路徑:
-
- 唯一識別系統中某個特定實體裝置的實例。
- 它是系統內部管理裝置的 ID,不會與其他裝置重複。
- 常用於排錯、註冊表設定等需要精準指到單一裝置實體的情境。
用來唯一識別某個特定裝置ID。
硬體識別碼:
- 是根據裝置的 製造商、裝置類型、型號(Device ID) 等產生的識別碼。
- 越靠前的硬體 ID 越具體(越嚴格),用於最精準的匹配。
用來精準匹配裝置專屬的ID。
相容識別碼:
- 在找不到完全匹配的硬體 ID 時,用來尋找相容(次佳)驅動程式。
- 是較為「模糊」的匹配方式,代表該裝置也可以使用其他驅動。
用來匹配可相容但非專屬的ID。
9. 從存取控制排除程序可透過插入程序,控制對 Windows 剪貼簿、螢幕擷取畫面擷取、印表機和行動裝置的存取。如果程序未遭到攔截,對這些裝置的存取將不會受到控制。
新增您要從存取控制排除的程序。
例如,C:\Folder\subfolder\process.exe。
也可以使用萬用字元:
* 可取代任意數目的字元。
? 可取代一個字元。
例如:
C:\Folder\*
*\Folder\SubFolder?\*
*\process.exe
無論上述剪貼簿、螢幕擷取畫面擷取、印表機和行動裝置的存取設定為何,已排除的程序都可以存取這些裝置。
※ 在 macOS 上不支援從存取控制排除程序。如果在已套用的保護計劃中設定排除程序的清單,將會遭到忽略。
此功能可以指定將不會遭到攔截的程序的清單。剪貼簿 (本機和重新導向的)、螢幕擷取畫面擷取、印表機和行動裝置存取控制將不會套用到這類程序。
例如,您套用拒絕存取印表機的保護計劃,然後啟動 Microsoft Word 應用程式。嘗試從此應用程式列印將會遭到封鎖。但是如果您將 Microsoft Word 程序新增至排除清單,則應用程式將不會遭到封鎖,但是從其他應用程式列印仍將遭到封鎖。
關於相關細節,請參考原廠使用指南手冊: