iOA 零信任安全管理系统外设和硬件端口

1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择终端管控策略 > 终端管控。
2. 在终端管控页面，选择外设和硬件端口，单击新建策略。
3. 在新建外设和硬件端口策略页面，配置相关参数。
3.1  输入策略名称，并输入策略描述等参数。
﻿
3.2 单击添加适用范围 ，您可以通过添加或排除用户、组织架构、自定义用户组和终端，来进行精细化的管控范围设置。
﻿
﻿
﻿
4. 根据实际需求，勾选 管理以下类型的设备、管理以下类型的端口、禁止其他设备和端口、外设和端口白名单 或 客户端手动安装外设和硬件设备端口策略描述文件，并配置相关参数，单击保存。
﻿
管理以下类型的设备
禁用、禁写或启用某类设备接入。
启用：允许使用此设备
禁用：表示完全禁止使用，无法读写该硬件设备。
禁写：针对可写的存储类的外设，禁止写入，让外设只能读取，这样可以禁止拷贝数据到这类外设上。
1. 勾选管理以下类型的设备，选择所需设备，单击编辑。
﻿
说明：
“已注册U盘”和“普通U盘”是互不干扰的，例如企业内只能使用“已注册U盘”，则可以禁用“普通U盘”，启用“已注册U盘”
2. 在编辑页面，启用或者禁用、禁写此设备，单击保存。
﻿
﻿
﻿
3. 示例：配置禁用普通 U 盘并保存。
﻿
4. 策略下发后，当适用范围内的终端插入 U 盘，右下角弹出设备禁用提示。
﻿
5. 配置为禁用后，插入外设。
管理以下类型的端口
用来禁止或启用外部硬件端口。
说明：
启用：允许使用此设备端口
禁用：表示完全禁止使用，无法读写该硬件设备。
USB 不会限制常见的鼠标和键盘设备。如果您使用了特殊的鼠标、键盘类 USB 接口，或蓝牙 USB 接口，可以通过 外设和端口白名单放行策略来允许其使用。
1. 勾选管理以下类型的端口，选择所需端口，单击编辑。
﻿
2. 在编辑页面，启用或者禁用此端口，单击保存。
﻿
禁止其他设备和端口
禁用其他设备端口。通过遍历设备驱动来查找设备类型。如果已设置外设和端口的禁用，则无法使用此功能，还可以通过此处的硬件设备自定义禁用类型。
1. 勾选禁止其他设备和端口，单击添加。
﻿
2. 在禁用其他设备和端口窗口中，选择所需设备，单击禁用。
﻿
外设和端口白名单
白名单放行策略，可以选择放行一些特殊设备，允许这类设备使用。例如：USB 接口类的设备、蓝牙接口类设备。
U盘、移动硬盘等外接存储设备，通过“外设和硬件端口”策略禁用后，将不可使用，如有部分外设需要正常使用，可通过“外设和端口白名单”进行加白处理。
说明：
外设和端口白名单仅能添加曾在安装 iOA 客户端的终端上插拔过的设备。
需要获取外设标识加白，您可以 通过设备禁用日志中的实例路径加白，或者在计算机管理中 通过 VID 和 PID 加白。
通过设备禁用日志中的实例路径加白
获取实例路径
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择日志审计 > 终端管控日志 > 设备禁用。
2. 在设备禁用日志处，复制实例路径，用于配置外设和端口白名单策略。
﻿
配置外设和端口白名单
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择终端管控策略 > 终端管控 > 外设和硬件端口。
2. 单击新建策略，勾选外设和端口白名单，单击添加。
﻿
3. 下拉选择标识，粘贴从设备禁用日志获取的实例路径，单击查询，勾选查询出的 U盘，单击加入白名单。
﻿
4. 外设成功加入白名单。
﻿
通过 VID 与 PID 加白
获取 VID 与 PID
方式1：通过 iOA 控制台日志获取
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择日志审计 > 终端管控日志 > USB 存储设备插拔。
2. 在 USB 存储设备插拔日志处，获取厂商编号 VID 和产品编号 PID。
注意：
如果是 CD 卡和读卡器的方式，可能 USB 存储设备插拔日志查找到的 VID、PID 不准确，需获取设备禁用日志里的实例路径后，通过设备禁用日志中的实例路径加白。
﻿
方式2：在计算机上获取 VID 与 PID
1. 打开计算机管理 > 设备管理器。
﻿
2. 插拔 U 盘，确定 U 盘设备，鼠标右键单击属性。
﻿
3. 在详细信息 > 硬件 Id 中，获取 VID、PID。
﻿
配置外设和端口白名单
1. 登录 iOA 零信任管理平台控制台，在左侧导航栏，选择终端管控策略 > 终端管控> 外设和硬件端口。
2. 单击新建策略，勾选外设和端口白名单，单击添加。
﻿
3. 下拉选择标识，输入 VID 或 PID，单击查询，勾选查询出的 U 盘，单击加入白名单。
﻿
4. 外设成功加入白名单。
﻿
客户端手动安装外设和硬件设备端口策略描述文件
说明：
macOS 系统功能，Windows 下无此功能。
该功能允许管理员或终端用户在客户端手动安装外设和硬件设备端口的策略描述文件。策略描述文件用于定义外设和硬件端口的使用规则，例如限制某些设备的使用或配置端口的访问权限。管理员可以根据实际需求上传和安装相应的描述文件，以实施特定的外设管理策略。
1. 若已 配置MDM推送证书，则无需勾选；若未配置，请勾选客户端手动安装外设和硬件设备端口策略描述文件。
﻿
2. 勾选此策略后，系统下发一个策略描述文件给 iOA 客户端，单击立即安装此描述文件。
﻿
3. 当用户安装了新的策略描述文件后，终端需要重启才能使新策略生效。这是因为策略文件可能会影响系统底层的硬件配置和权限管理，而这些更改通常需要在系统启动时加载。在安装描述文件后及时重启终端，以保证策略的正确实施。
4. 如果未安装策略描述文件，终端将运行在默认配置下，可能无法对特定外设或硬件端口进行限制。
外设和硬件端口

本页目录：

管理以下类型的设备

管理以下类型的端口

禁止其他设备和端口

外设和端口白名单

通过设备禁用日志中的实例路径加白

获取实例路径

配置外设和端口白名单

通过 VID 与 PID 加白

获取 VID 与 PID

方式1：通过 iOA 控制台日志获取

方式2：在计算机上获取 VID 与 PID

配置外设和端口白名单

客户端手动安装外设和硬件设备端口策略描述文件
