dctrl

Gerätesteuerung

Die Gerätesteuerung reguliert den Zugriff auf externe Speichergeräte und Netzwerkressourcen, die an Computer angeschlossen sind. Die Gerätesteuerung trägt dazu bei, Datenverluste und Datenlecks zu verhindern und bietet, gemeinsam mit der Virensuche, Schutz vor Sicherheitsrisiken.

Sie können Gerätesteuerungsrichtlinien für interne und externe Clients konfigurieren. In der Regel konfigurieren OfficeScan Administratoren eine strengere Richtlinie für externe Clients.

Richtlinien sind detaillierte Einstellungen in der OfficeScan Client-Hierarchie. Sie können bestimmte Richtlinien für Client-Gruppen oder einzelne Clients erzwingen. Sie können auch eine einzelne Richtlinie für alle Clients erzwingen.

Nachdem Sie die Richtlinien verteilt haben, verwenden die Clients die Standortkriterien, die Sie im Fenster Computer-Standort festgelegt haben (siehe Computerstandort), um deren Standort und die erforderliche Richtlinie zu bestimmen. Clients wechseln die Richtlinien mit jedem Standortwechsel.

Wichtig:

http://docs.trendmicro.com/de-de/enterprise/officescan.aspx

Berechtigungen für Speichergeräte

Gerätesteuerungsberechtigungen für Speichergeräte werden in folgenden Fällen verwendet:

Die folgende Tabelle enthält eine Liste der Berechtigungen:

Gerätesteuerungsberechtigungen für Speichergeräte

Berechtigungen

Dateien auf dem Gerät

Eingehende Dateien

Vollständiger Zugriff

Zulässige Operationen:
Kopieren, Verschieben, Öffnen, Speichern, Löschen, Ausführen

Zulässige Operationen:
Speichern, Verschieben, Kopieren

Das bedeutet, dass eine Datei kann auf dem Gerät gespeichert, verschoben und kopiert werden kann.

Ändern

Zulässige Operationen:
Kopieren, Verschieben, Öffnen, Speichern, Löschen

Unzulässige Aktionen: Ausführen

Zulässige Operationen:
Speichern, Verschieben, Kopieren

Lesen und Ausführen

Zulässige Operationen:
Kopieren, Öffnen, Ausführen

Unzulässige Aktionen:
Speichern, Verschieben, Löschen

Unzulässige Aktionen:
Speichern, Verschieben, Kopieren

Lesen

Zulässige Operationen:
Kopieren, Öffnen

Unzulässige Aktionen:
Speichern, Verschieben, Löschen, Ausführen

Unzulässige Aktionen:
Speichern, Verschieben, Kopieren

Nur Geräteinhalt auflisten

Unzulässige Aktionen:
Alle Aktionen

Die enthaltenen Geräte und Dateien werden dem Benutzer angezeigt (beispielsweise in Windows Explorer).

Unzulässige Aktionen:
Speichern, Verschieben, Kopieren

Sperren

Unzulässige Aktionen:
Alle Aktionen

Die enthaltenen Geräte und Dateien werden dem Benutzer nicht angezeigt (beispielsweise in Windows Explorer).

Unzulässige Aktionen:
Speichern, Verschieben, Kopieren

Die dateibasierte Suchfunktion in OfficeScan wird durch Geräteberechtigungen ergänzt und kann die Geräteberechtigungen überschreiben. Wenn die Berechtigung z. B. zulässt, dass eine Datei geöffnet werden kann, OfficeScan jedoch erkennt, dass die Datei mit Malware infiziert ist, wird eine bestimmte Suchaktion auf die Datei angewendet, um die Malware zu entfernen. Wenn als Suchaktion "Säubern" ausgewählt wird, wird die Datei nach dem Säubern geöffnet. Wird jedoch als Suchaktion "Löschen" ausgewählt, wird die Datei gelöscht.

Erweiterte Berechtigungen für Speichergeräte

Erweiterte Berechtigungen gelten, wenn Sie eingeschränkte Berechtigungen für Speichergeräte eingerichtet haben. Folgende Berechtigungen sind möglich:

Sie können die Berechtigungen weiterhin eingeschränkt lassen, jedoch bestimmten Programmen auf den Speichergeräten und auf dem lokalen Computer erweiterte Berechtigungen gewähren.

Um Programme zu definieren, konfigurieren Sie die folgende Programmliste:

Programmlisten

Programmliste

Beschreibung

Gültige Eingaben

Programme mit Lese- und Schreibzugriff auf Speichergeräte

Diese Liste enthält lokale Programme und Programme auf Speichergeräten, die über Lese- und Schreibzugriff auf die Geräte verfügen.

Ein Beispiel für ein solches lokales Programm ist Microsoft Word (winword.exe), das normalerweise unter C:\Program Files\Microsoft Office\Office gespeichert ist. Wenn die Berechtigung für die USB-Speichergeräte "Nur Geräteinhalt auflisten" lautet, "C:\Program Files\Microsoft Office\Office\winword.exe" jedoch in dieser Liste enthalten ist:

  • Ein Benutzer hat Lese- und Schreibzugriff auf sämtliche Dateien auf dem USB-Speichergerät, auf die über Microsoft Word zugegriffen werden kann.

  • Ein Benutzer kann eine Microsoft Word-Datei auf dem USB-Speichergerät speichern, sie dorthin verschieben oder kopieren.

Programmpfad und -name

Weitere Informationen finden Sie unter Programmpfad und -name angeben.

Programme auf Speichergeräten, die ausgeführt werden dürfen

Diese Liste enthält Programme auf Speichergeräten, die von Benutzern oder vom System ausgeführt werden können.

Wenn Sie beispielsweise festlegen möchten, dass Benutzer Software von einer CD installieren können, fügen Sie den Pfad und den Namen des Installationsprogramms, z. B. "E:\Installer\Setup.exe", zu dieser Liste hinzu.

Programmpfad und -name oder Anbieter der digitalen Signatur

Weitere Informationen finden Sie unter Programmpfad und -name angeben oder Anbieter der digitalen Signatur festlegen.

In manchen Fällen müssen Sie ein Programm zu beiden Listen hinzufügen. Beispiel: Wenn die Funktion zum Sperren von Daten auf einem USB-Speichergerät aktiviert ist, wird der Benutzer zur Eingabe eines gültigen Benutzernamens und Kennworts aufgefordert, um das Gerät zu entsperren. Die Funktion zum Sperren der Daten verwendet ein Programm auf dem Gerät mit der Bezeichnung "Password.exe". Dieses Programm muss ausführbar konfiguriert sein, damit der Benutzer das Gerät entsperren kann. "Password.exe" muss außerdem Lese- und Schreibzugriff auf das Gerät besitzen, damit der Benutzer den Benutzernamen oder das Kennwort ändern kann.

Jede Programmliste auf der Benutzeroberfläche kann bis zu 100 Programme enthalten. Wenn Sie mehr Programme zu einer Programmliste hinzufügen möchten, müssen Sie diese zur Datei ofcscan.ini hinzufügen, die bis zu 1.000 Programme enthalten kann. Anweisungen zum Hinzufügen von Programmen zur Datei ofcscan.ini finden Sie unter Programme mit der Datei ofcscan.ini zur Programmliste für die Gerätesteuerung hinzufügen:.

Anbieter der digitalen Signatur festlegen

Legen Sie einen Anbieter der digitalen Signatur fest, wenn Sie Programmen von diesem Anbieter vertrauen. Geben Sie beispielsweise Microsoft Corporation oder Trend Micro, Inc. ein. Sie können den Anbieter der digitalen Signatur über die Eigenschaften eines Programms abrufen (indem Sie beispielsweise mit der rechten Maustaste auf das Programm klicken und Eigenschaften auswählen).

 

Anbieter der digitalen Signatur für das OfficeScan Client-Programm (PccNTMon.exe)

Programmpfad und -name angeben

Ein Programmpfad und -name darf maximal 259 Zeichen umfassen und nur alphanumerische Zeichen (A-Z, a-z, 0-9) enthalten. Es ist nicht möglich, nur den Programmnamen anzugeben.

Als Ersatz für Laufwerksbuchstaben und Programmnamen können Platzhalterzeichen verwendet werden. Verwenden Sie ein Fragezeichen (?), um ein einzelnes Zeichen darzustellen, z. B. einen Laufwerksbuchstaben. Verwenden Sie einen Stern (*), um mehrere Zeichen darzustellen, z. B. einen Programmnamen.

In den folgenden Beispielen wurden die Platzhalter richtig verwendet:

Richtige Verwendung von Platzhaltern

Beispiel

Übereinstimmende Daten

?:\Password.exe

Die Datei "Password.exe", die sich direkt auf einem beliebigen Laufwerk befindet

C:\Program Files\Microsoft\*.exe

Eine beliebige .exe-Datei unter C:\Program Files\Microsoft

C:\Program Files\*.*

Eine beliebige Datei unter C:\Program Files mit einer Dateierweiterung

C:\Program Files\a?c.exe

Eine beliebige .exe-Datei unter C:\Program Files mit 3 Buchstaben, die mit dem Buchstaben "a" beginnt und mit dem Buchstaben "c" endet

C:\*

Alle Dateien, die sich direkt auf dem Laufwerk C:\ befinden, und zwar mit oder ohne Dateierweiterung

In den folgenden Beispielen wurden die Platzhalter falsch verwendet:

Falsche Verwendung von Platzhaltern

Beispiel

Grund

??:\Buffalo\Password.exe

?? stellt zwei Zeichen dar, und Laufwerksbuchstaben bestehen nur aus einem alphabetischen Zeichen.

*:\Buffalo\Password.exe

* stellt mehrere Zeichen dar, und Laufwerksbuchstaben bestehen nur aus einem alphabetischen Zeichen.

C:\*\Password.exe

Platzhalter können nicht für Ordnernamen verwendet werden. Sie müssen den exakten Namen eines Ordners angeben.

C:\?\Password.exe

Berechtigungen für Nicht-Speichergeräte

Sie können den Zugriff auf Geräte, die keine Speichergeräte sind, zulassen oder sperren. Für diese Geräte gibt es keine Feineinstellungen oder erweiterten Berechtigungen.

  1. Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.

  2. Klicken Sie auf Einstellungen > Einstellungen der Gerätesteuerung.

  3. Klicken Sie auf die Registerkarte Externe Clients, um Einstellungen für externe Clients zu konfigurieren, oder auf die Registerkarte Interne Clients, um Einstellungen für interne Clients zu konfigurieren.

  4. Wählen Sie Gerätesteuerung aktivieren.

  5. Auf der Registerkarte Externe Clients können Sie Einstellungen auf interne Clients anwenden, indem Sie Einstellungen auf interne Clients anwenden wählen.

  6. Auf der Registerkarte Interne Clients können Sie Einstellungen auf externe Clients anwenden, indem Sie Einstellungen auf externe Clients anwenden wählen.

  7. Erlauben oder sperren Sie die Autostart-Funktion (autorun.inf) auf USB-Speichergeräten.

  8. Konfigurieren Sie die Einstellungen für Speichergeräte.

    1. Wählen Sie eine Berechtigung für jedes Speichergerät. Weitere Informationen über Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.

    2. Konfigurieren Sie erweiterte Berechtigungen und Benachrichtigungen, falls eine der folgenden Berechtigungen für ein Speichergerät vorliegt:

    3. Sie können zwar auf der Benutzeroberfläche erweiterte Berechtigungen und Benachrichtigungen für ein bestimmtes Speichergerät konfigurieren, die Berechtigungen und Benachrichtigungen werden dann jedoch auf alle Speichergeräte angewendet. Wenn Sie also für CD/DVD auf Erweiterte Berechtigungen und Benachrichtigungen klicken, definieren Sie in Wahrheit die Berechtigungen und Benachrichtigungen für alle Speichergeräte.

      1. Klicken Sie auf Erweiterte Berechtigungen und Benachrichtigungen. Es öffnet sich ein neues Fenster.

      2. Geben Sie unterhalb von Programme mit Lese- und Schreibzugriff auf Speichergeräte den Pfad und Dateinamen für ein Programm ein, und klicken Sie auf Hinzufügen. Anbieter der digitalen Signatur werden nicht akzeptiert.

      3. Geben Sie unterhalb von Programme auf Speichergeräten, die ausgeführt werden dürfen den Pfad und Namen des Programms oder den Anbieter der digitalen Signatur ein, und klicken Sie auf Hinzufügen.

      4. Wählen Sie Bei unbefugtem Gerätezugriff eine Benachrichtigung auf dem Client-Computer anzeigen.

        • Unerlaubter Gerätezugriff bezeichnet unzulässige Geräteaktionen. Wenn die Geräteberechtigung beispielsweise "Lesen" lautet, dürfen Benutzer keine Dateien auf dem Gerät speichern, verschieben, löschen oder ausführen. Eine Liste unzulässiger Geräteoperationen auf Basis von Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.

        • Sie können die Benachrichtigungsmeldung ändern. Weitere Informationen finden Sie unter Gerätesteuerungsbenachrichtigungen.

      5. Klicken Sie auf Zurück.

    4. Wenn die Berechtigung für USB-Speichergeräte "Sperren" lautet, konfigurieren Sie eine Liste zulässiger Geräte. Benutzer können auf diese Geräte zugreifen, und Sie können die Zugriffsstufe durch Berechtigungen steuern.

      1. Klicken Sie auf Zulässige Geräte.

      2. Geben Sie den Gerätehersteller ein.

      3. Geben Sie das Gerätemodell und die Seriennummer ein.

        • Verwenden Sie Device List, um Geräte abzufragen, die mit dem Endpunkt verbunden sind. Das Tool liefert den Hersteller, das Modell und die Seriennummer für jedes Gerät. Weitere Informationen finden Sie unter Device List.

      4. Wählen Sie die Berechtigung für dieses Gerät. Weitere Informationen über Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.

      5. Um weitere Geräte hinzuzufügen, klicken Sie auf das Symbol.

      6. Klicken Sie auf Zurück.

  9. Bei allen Geräten, die keine Speichergeräte sind, wählen Sie Zulassen oder Sperren.

  10. Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:

  1. Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.

  2. Klicken Sie auf Einstellungen > Gerätesteuerung. Einstellungen.

  3. Klicken Sie auf die Registerkarte Externe Clients, um Einstellungen für externe Clients zu konfigurieren, oder auf die Registerkarte Interne Clients, um Einstellungen für interne Clients zu konfigurieren.

  4. Wählen Sie Gerätesteuerung aktivieren.

  5. Auf der Registerkarte Externe Clients können Sie Einstellungen auf interne Clients anwenden, indem Sie Einstellungen auf interne Clients anwenden wählen.

  6. Auf der Registerkarte Interne Clients können Sie Einstellungen auf externe Clients anwenden, indem Sie Einstellungen auf externe Clients anwenden wählen.

  7. Erlauben oder sperren Sie die Autostart-Funktion (autorun.inf) auf USB-Speichergeräten.

  8. Wählen Sie die Berechtigung für jedes Gerät. Weitere Informationen über Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.

  9. Konfigurieren Sie erweiterte Berechtigungen und Benachrichtigungen, falls eine der folgenden Berechtigungen für ein Gerät vorliegt:

  10. Sie müssen keine erweiterten Berechtigungen und Benachrichtigungen konfigurieren, wenn die Berechtigung für alle Geräte "Vollständiger Zugriff" lautet.

    1. Geben Sie unterhalb von Programme mit Lese- und Schreibzugriff auf Speichergeräte den Pfad und Dateinamen für ein Programm ein, und klicken Sie auf Hinzufügen. Anbieter der digitalen Signatur werden nicht akzeptiert.

    2. Geben Sie unterhalb von Programme auf Speichergeräten, die ausgeführt werden dürfen den Pfad und Namen des Programms oder den Anbieter der digitalen Signatur ein, und klicken Sie auf Hinzufügen.

    3. Wählen Sie Bei unbefugtem Gerätezugriff eine Benachrichtigung auf dem Client-Computer anzeigen.

  11. Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:

  1. Navigieren Sie auf dem OfficeScan Server-Computer zu < Installationsordner des Servers >\PCCSRV.

  2. Öffnen Sie die Datei ofcscan.ini mit Hilfe eines Texteditors.

  3. Programme mit Lese- und Schreibzugriff auf Speichergeräte hinzufügen:

    1. Suchen Sie die folgenden Zeilen:

    2. [DAC_APPROVED_LIST]

      Count=x

    3. Ersetzen Sie das "x" durch die Anzahl der Programme in der Programmliste.

    4. Fügen Sie unterhalb von "Count=x" Programme hinzu, indem Sie Folgendes eingeben:

    Item<number>=<Programmpfad und -name oder Anbieter der digitalen Signatur> 

    Beispiel:

    [DAC_APPROVED_LIST]

    Count=3

    Item0=C:\Program Files\program.exe

    Item1=?:\password.exe

    Item2=Microsoft Corporation

  4. Programme auf Speichergeräten, die ausgeführt werden dürfen, hinzufügen:

    1. Suchen Sie die folgenden Zeilen:

    2. [DAC_EXECUTABLE_LIST]

      Count=x

    3. Ersetzen Sie das "x" durch die Anzahl der Programme in der Programmliste.

    4. Fügen Sie unterhalb von "Count=x" Programme hinzu, indem Sie Folgendes eingeben:

    Item<number>=<Programmpfad und -name oder Anbieter der digitalen Signatur>

    Beispiel:

    [DAC_EXECUTABLE_LIST]

    Count=3

    Item0=?:\Installer\Setup.exe

    Item1=E:\*.exe

    Item2=Trend Micro, Inc.

  5. Speichern und schließen Sie die Datei ofscan.ini.

  6. Öffnen Sie die OfficeScan Webkonsole, und gehen Sie zu Netzwerkcomputer > Allgemeine Client-Einstellungen.

  7. Klicken Sie auf Speichern, um die Programmlisten auf alle Clients zu verteilen.

Siehe auch: