dctrl
Die Gerätesteuerung reguliert den Zugriff auf externe Speichergeräte und Netzwerkressourcen, die an Computer angeschlossen sind. Die Gerätesteuerung trägt dazu bei, Datenverluste und Datenlecks zu verhindern und bietet, gemeinsam mit der Virensuche, Schutz vor Sicherheitsrisiken.
Sie können Gerätesteuerungsrichtlinien für interne und externe Clients konfigurieren. In der Regel konfigurieren OfficeScan Administratoren eine strengere Richtlinie für externe Clients.
Richtlinien sind detaillierte Einstellungen in der OfficeScan Client-Hierarchie. Sie können bestimmte Richtlinien für Client-Gruppen oder einzelne Clients erzwingen. Sie können auch eine einzelne Richtlinie für alle Clients erzwingen.
Nachdem Sie die Richtlinien verteilt haben, verwenden die Clients die Standortkriterien, die Sie im Fenster Computer-Standort festgelegt haben (siehe Computerstandort), um deren Standort und die erforderliche Richtlinie zu bestimmen. Clients wechseln die Richtlinien mit jedem Standortwechsel.
Wichtig:
Die Gerätesteuerung unterstützt nur 32-Bit-Plattformen.
Die Gerätesteuerung ist standardmäßig auf 32-Bit-Versionen von Windows Server 2003 und Windows Server 2008 deaktiviert. Vor der Aktivierung der Gerätesteuerung auf diesen Plattformen lesen Sie die Richtlinien und bewährten Methoden, die in den Client-Diensten beschrieben werden.
Die Gerätearten, die OfficeScan überwachen kann, hängen davon ab, ob die Datenschutzlizenz aktiviert ist. Der Datenschutz ist ein separat lizenziertes Modul, das vor seiner Verwendung aktiviert werden muss. Weitere Informationen über die Datenschutzlizenz finden Sie unter Datenschutzlizenz.
Gerätetypen |
Gerätetyp |
Datenschutz aktiviert |
Datenschutz nicht aktiviert |
Speichereinheiten |
||
CD/DVD |
Überwacht |
Überwacht |
Disketten |
Überwacht |
Überwacht |
Netzlaufwerke |
Überwacht |
Überwacht |
USB-Speichergeräte |
Überwacht |
Überwacht |
Nicht-Speichergeräte |
||
COM- und LPT-Anschlüsse |
Überwacht |
Nicht überwacht |
IEEE 1394-Schnittstelle |
Überwacht |
Nicht überwacht |
Bildverarbeitungsgeräte |
Überwacht |
Nicht überwacht |
Infrarotgeräte |
Überwacht |
Nicht überwacht |
Modems |
Überwacht |
Nicht überwacht |
PCMCIA-Karte |
Überwacht |
Nicht überwacht |
Druck-Taste |
Überwacht |
Nicht überwacht |
Eine Liste aller unterstützten Gerätemodelle finden Sie unter:
http://docs.trendmicro.com/de-de/enterprise/officescan.aspx
Gerätesteuerungsberechtigungen für Speichergeräte werden in folgenden Fällen verwendet:
Erlauben Sie den Zugriff aus USB-Speichergeräte, CD/DVD, Disketten und Netzwerklaufwerke. Sie können den Zugriff auf diese Geräte entweder uneingeschränkt zulassen oder die Zugriffsstufe einschränken.
Konfigurieren Sie die Liste der zulässigen USB-Speichergeräte. Mit der Gerätesteuerung können Sie den Zugriff auf alle USB-Speichergeräte sperren, mit Ausnahme der Geräte, die Sie in der Liste zulässiger Geräte hinzugefügt haben. Sie können den Zugriff auf die zulässigen Geräte entweder uneingeschränkt zulassen oder die Zugriffsstufe einschränken.
Die folgende Tabelle enthält eine Liste der Berechtigungen:
Berechtigungen |
Dateien auf dem Gerät |
Eingehende Dateien |
Vollständiger Zugriff |
Zulässige Operationen: |
Zulässige Operationen: Das bedeutet, dass eine Datei kann auf dem Gerät gespeichert, verschoben und kopiert werden kann. |
Ändern |
Zulässige Operationen: Unzulässige Aktionen: Ausführen |
Zulässige Operationen: |
Lesen und Ausführen |
Zulässige Operationen: Unzulässige Aktionen: |
Unzulässige Aktionen: |
Lesen |
Zulässige Operationen: Unzulässige Aktionen: |
Unzulässige Aktionen: |
Nur Geräteinhalt auflisten |
Unzulässige Aktionen: Die enthaltenen Geräte und Dateien werden dem Benutzer angezeigt (beispielsweise in Windows Explorer). |
Unzulässige Aktionen: |
Sperren |
Unzulässige Aktionen: Die enthaltenen Geräte und Dateien werden dem Benutzer nicht angezeigt (beispielsweise in Windows Explorer). |
Unzulässige Aktionen: |
Die dateibasierte Suchfunktion in OfficeScan wird durch Geräteberechtigungen ergänzt und kann die Geräteberechtigungen überschreiben. Wenn die Berechtigung z. B. zulässt, dass eine Datei geöffnet werden kann, OfficeScan jedoch erkennt, dass die Datei mit Malware infiziert ist, wird eine bestimmte Suchaktion auf die Datei angewendet, um die Malware zu entfernen. Wenn als Suchaktion "Säubern" ausgewählt wird, wird die Datei nach dem Säubern geöffnet. Wird jedoch als Suchaktion "Löschen" ausgewählt, wird die Datei gelöscht.
Erweiterte Berechtigungen gelten, wenn Sie eingeschränkte Berechtigungen für Speichergeräte eingerichtet haben. Folgende Berechtigungen sind möglich:
Ändern
Lesen und Ausführen
Lesen
Nur Geräteinhalt auflisten
Sie können die Berechtigungen weiterhin eingeschränkt lassen, jedoch bestimmten Programmen auf den Speichergeräten und auf dem lokalen Computer erweiterte Berechtigungen gewähren.
Um Programme zu definieren, konfigurieren Sie die folgende Programmliste:
Programmlisten |
Programmliste |
Beschreibung |
Gültige Eingaben |
Programme mit Lese- und Schreibzugriff auf Speichergeräte |
Diese Liste enthält lokale Programme und Programme auf Speichergeräten, die über Lese- und Schreibzugriff auf die Geräte verfügen. Ein Beispiel für ein solches lokales Programm ist Microsoft Word (winword.exe), das normalerweise unter C:\Program Files\Microsoft Office\Office gespeichert ist. Wenn die Berechtigung für die USB-Speichergeräte "Nur Geräteinhalt auflisten" lautet, "C:\Program Files\Microsoft Office\Office\winword.exe" jedoch in dieser Liste enthalten ist:
|
Programmpfad und -name Weitere Informationen finden Sie unter Programmpfad und -name angeben. |
Programme auf Speichergeräten, die ausgeführt werden dürfen |
Diese Liste enthält Programme auf Speichergeräten, die von Benutzern oder vom System ausgeführt werden können. Wenn Sie beispielsweise festlegen möchten, dass Benutzer Software von einer CD installieren können, fügen Sie den Pfad und den Namen des Installationsprogramms, z. B. "E:\Installer\Setup.exe", zu dieser Liste hinzu. |
Programmpfad und -name oder Anbieter der digitalen Signatur Weitere Informationen finden Sie unter Programmpfad und -name angeben oder Anbieter der digitalen Signatur festlegen. |
In manchen Fällen müssen Sie ein Programm zu beiden Listen hinzufügen. Beispiel: Wenn die Funktion zum Sperren von Daten auf einem USB-Speichergerät aktiviert ist, wird der Benutzer zur Eingabe eines gültigen Benutzernamens und Kennworts aufgefordert, um das Gerät zu entsperren. Die Funktion zum Sperren der Daten verwendet ein Programm auf dem Gerät mit der Bezeichnung "Password.exe". Dieses Programm muss ausführbar konfiguriert sein, damit der Benutzer das Gerät entsperren kann. "Password.exe" muss außerdem Lese- und Schreibzugriff auf das Gerät besitzen, damit der Benutzer den Benutzernamen oder das Kennwort ändern kann.
Jede Programmliste auf der Benutzeroberfläche kann bis zu 100 Programme enthalten. Wenn Sie mehr Programme zu einer Programmliste hinzufügen möchten, müssen Sie diese zur Datei ofcscan.ini hinzufügen, die bis zu 1.000 Programme enthalten kann. Anweisungen zum Hinzufügen von Programmen zur Datei ofcscan.ini finden Sie unter Programme mit der Datei ofcscan.ini zur Programmliste für die Gerätesteuerung hinzufügen:.
Programme, die zur Datei ofcscan.ini hinzugefügt wurden, werden an die Stammdomäne verteilt und überschreiben Programme auf einzelnen Domänen und Clients.
Anbieter der digitalen Signatur festlegen
Legen Sie einen Anbieter der digitalen Signatur fest, wenn Sie Programmen von diesem Anbieter vertrauen. Geben Sie beispielsweise Microsoft Corporation oder Trend Micro, Inc. ein. Sie können den Anbieter der digitalen Signatur über die Eigenschaften eines Programms abrufen (indem Sie beispielsweise mit der rechten Maustaste auf das Programm klicken und Eigenschaften auswählen).
Anbieter der digitalen Signatur für das OfficeScan Client-Programm (PccNTMon.exe)
Programmpfad und -name angeben
Ein Programmpfad und -name darf maximal 259 Zeichen umfassen und nur alphanumerische Zeichen (A-Z, a-z, 0-9) enthalten. Es ist nicht möglich, nur den Programmnamen anzugeben.
Als Ersatz für Laufwerksbuchstaben und Programmnamen können Platzhalterzeichen verwendet werden. Verwenden Sie ein Fragezeichen (?), um ein einzelnes Zeichen darzustellen, z. B. einen Laufwerksbuchstaben. Verwenden Sie einen Stern (*), um mehrere Zeichen darzustellen, z. B. einen Programmnamen.
Platzhalter können nicht für Ordnernamen verwendet werden. Sie müssen den exakten Namen eines Ordners angeben.
In den folgenden Beispielen wurden die Platzhalter richtig verwendet:
Richtige Verwendung von Platzhaltern |
Beispiel |
Übereinstimmende Daten |
?:\Password.exe |
Die Datei "Password.exe", die sich direkt auf einem beliebigen Laufwerk befindet |
C:\Program Files\Microsoft\*.exe |
Eine beliebige .exe-Datei unter C:\Program Files\Microsoft |
C:\Program Files\*.* |
Eine beliebige Datei unter C:\Program Files mit einer Dateierweiterung |
C:\Program Files\a?c.exe |
Eine beliebige .exe-Datei unter C:\Program Files mit 3 Buchstaben, die mit dem Buchstaben "a" beginnt und mit dem Buchstaben "c" endet |
C:\* |
Alle Dateien, die sich direkt auf dem Laufwerk C:\ befinden, und zwar mit oder ohne Dateierweiterung |
In den folgenden Beispielen wurden die Platzhalter falsch verwendet:
Falsche Verwendung von Platzhaltern |
Beispiel |
Grund |
??:\Buffalo\Password.exe |
?? stellt zwei Zeichen dar, und Laufwerksbuchstaben bestehen nur aus einem alphabetischen Zeichen. |
*:\Buffalo\Password.exe |
* stellt mehrere Zeichen dar, und Laufwerksbuchstaben bestehen nur aus einem alphabetischen Zeichen. |
C:\*\Password.exe |
Platzhalter können nicht für Ordnernamen verwendet werden. Sie müssen den exakten Namen eines Ordners angeben. |
C:\?\Password.exe |
Sie können den Zugriff auf Geräte, die keine Speichergeräte sind, zulassen oder sperren. Für diese Geräte gibt es keine Feineinstellungen oder erweiterten Berechtigungen.
Zugriff auf externe Geräte verwalten (Datenschutz aktiviert):
Netzwerkcomputer > Client-Verwaltung
Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.
Klicken Sie auf Einstellungen > Einstellungen der Gerätesteuerung.
Klicken Sie auf die Registerkarte Externe Clients, um Einstellungen für externe Clients zu konfigurieren, oder auf die Registerkarte Interne Clients, um Einstellungen für interne Clients zu konfigurieren.
Wählen Sie Gerätesteuerung aktivieren.
Auf der Registerkarte Externe Clients können Sie Einstellungen auf interne Clients anwenden, indem Sie Einstellungen auf interne Clients anwenden wählen.
Auf der Registerkarte Interne Clients können Sie Einstellungen auf externe Clients anwenden, indem Sie Einstellungen auf externe Clients anwenden wählen.
Erlauben oder sperren Sie die Autostart-Funktion (autorun.inf) auf USB-Speichergeräten.
Konfigurieren Sie die Einstellungen für Speichergeräte.
Wählen Sie eine Berechtigung für jedes Speichergerät. Weitere Informationen über Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.
Konfigurieren Sie erweiterte Berechtigungen und Benachrichtigungen, falls eine der folgenden Berechtigungen für ein Speichergerät vorliegt:
Ändern
Lesen und Ausführen
Lesen
Nur Geräteinhalt auflisten
Sie können zwar auf der Benutzeroberfläche erweiterte Berechtigungen und Benachrichtigungen für ein bestimmtes Speichergerät konfigurieren, die Berechtigungen und Benachrichtigungen werden dann jedoch auf alle Speichergeräte angewendet. Wenn Sie also für CD/DVD auf Erweiterte Berechtigungen und Benachrichtigungen klicken, definieren Sie in Wahrheit die Berechtigungen und Benachrichtigungen für alle Speichergeräte.
Weitere Informationen über erweiterte Berechtigungen und das richtige Definieren von Programmen mit erweiterten Berechtigungen finden Sie unter Erweiterte Berechtigungen für Speichergeräte.
Klicken Sie auf Erweiterte Berechtigungen und Benachrichtigungen. Es öffnet sich ein neues Fenster.
Geben Sie unterhalb von Programme mit Lese- und Schreibzugriff auf Speichergeräte den Pfad und Dateinamen für ein Programm ein, und klicken Sie auf Hinzufügen. Anbieter der digitalen Signatur werden nicht akzeptiert.
Geben Sie unterhalb von Programme auf Speichergeräten, die ausgeführt werden dürfen den Pfad und Namen des Programms oder den Anbieter der digitalen Signatur ein, und klicken Sie auf Hinzufügen.
Wählen Sie Bei unbefugtem Gerätezugriff eine Benachrichtigung auf dem Client-Computer anzeigen.
Unerlaubter Gerätezugriff bezeichnet unzulässige Geräteaktionen. Wenn die Geräteberechtigung beispielsweise "Lesen" lautet, dürfen Benutzer keine Dateien auf dem Gerät speichern, verschieben, löschen oder ausführen. Eine Liste unzulässiger Geräteoperationen auf Basis von Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.
Sie können die Benachrichtigungsmeldung ändern. Weitere Informationen finden Sie unter Gerätesteuerungsbenachrichtigungen.
Klicken Sie auf Zurück.
Wenn die Berechtigung für USB-Speichergeräte "Sperren" lautet, konfigurieren Sie eine Liste zulässiger Geräte. Benutzer können auf diese Geräte zugreifen, und Sie können die Zugriffsstufe durch Berechtigungen steuern.
Klicken Sie auf Zulässige Geräte.
Geben Sie den Gerätehersteller ein.
Geben Sie das Gerätemodell und die Seriennummer ein.
Verwenden Sie Device List, um Geräte abzufragen, die mit dem Endpunkt verbunden sind. Das Tool liefert den Hersteller, das Modell und die Seriennummer für jedes Gerät. Weitere Informationen finden Sie unter Device List.
Wählen Sie die Berechtigung für dieses Gerät. Weitere Informationen über Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.
Um weitere Geräte hinzuzufügen, klicken Sie auf das Symbol.
Klicken Sie auf Zurück.
Bei allen Geräten, die keine Speichergeräte sind, wählen Sie Zulassen oder Sperren.
Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:
Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenen Clients und auf neu zu einer vorhandenen / zukünftigen Domäne hinzukommende an. Zukünftige Domänen sind Domänen, die bei der Konfiguration der Einstellungen noch nicht vorhanden waren.
Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nur auf Clients an, die zu zukünftigen Domänen hinzukommen. Bei dieser Option werden die Einstellungen nicht auf Clients angewendet, die neu zu einer vorhandenen Domäne hinzukommen.
Zugriff auf externe Geräte verwalten (Datenschutz nicht aktiviert):
Netzwerkcomputer > Client-Verwaltung
Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.
Klicken Sie auf Einstellungen > Gerätesteuerung. Einstellungen.
Klicken Sie auf die Registerkarte Externe Clients, um Einstellungen für externe Clients zu konfigurieren, oder auf die Registerkarte Interne Clients, um Einstellungen für interne Clients zu konfigurieren.
Wählen Sie Gerätesteuerung aktivieren.
Auf der Registerkarte Externe Clients können Sie Einstellungen auf interne Clients anwenden, indem Sie Einstellungen auf interne Clients anwenden wählen.
Auf der Registerkarte Interne Clients können Sie Einstellungen auf externe Clients anwenden, indem Sie Einstellungen auf externe Clients anwenden wählen.
Erlauben oder sperren Sie die Autostart-Funktion (autorun.inf) auf USB-Speichergeräten.
Wählen Sie die Berechtigung für jedes Gerät. Weitere Informationen über Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.
Konfigurieren Sie erweiterte Berechtigungen und Benachrichtigungen, falls eine der folgenden Berechtigungen für ein Gerät vorliegt:
Ändern
Lesen und Ausführen
Lesen
Nur Geräteinhalt auflisten
Sie müssen keine erweiterten Berechtigungen und Benachrichtigungen konfigurieren, wenn die Berechtigung für alle Geräte "Vollständiger Zugriff" lautet.
Weitere Informationen über erweiterte Berechtigungen und das richtige Definieren von Programmen mit erweiterten Berechtigungen finden Sie unter Erweiterte Berechtigungen für Speichergeräte.
Geben Sie unterhalb von Programme mit Lese- und Schreibzugriff auf Speichergeräte den Pfad und Dateinamen für ein Programm ein, und klicken Sie auf Hinzufügen. Anbieter der digitalen Signatur werden nicht akzeptiert.
Geben Sie unterhalb von Programme auf Speichergeräten, die ausgeführt werden dürfen den Pfad und Namen des Programms oder den Anbieter der digitalen Signatur ein, und klicken Sie auf Hinzufügen.
Wählen Sie Bei unbefugtem Gerätezugriff eine Benachrichtigung auf dem Client-Computer anzeigen.
Unerlaubter Gerätezugriff bezeichnet unzulässige Geräteaktionen. Wenn die Geräteberechtigung beispielsweise "Lesen" lautet, dürfen Benutzer keine Dateien auf dem Gerät speichern, verschieben, löschen oder ausführen. Eine Liste unzulässiger Geräteoperationen auf Basis von Berechtigungen finden Sie unter Berechtigungen für Speichergeräte.
Sie können die Benachrichtigungsmeldung ändern. Weitere Informationen finden Sie unter Gerätesteuerungsbenachrichtigungen.
Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:
Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenen Clients und auf neu zu einer vorhandenen / zukünftigen Domäne hinzukommende an. Zukünftige Domänen sind Domänen, die bei der Konfiguration der Einstellungen noch nicht vorhanden waren.
Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nur auf Clients an, die zu zukünftigen Domänen hinzukommen. Bei dieser Option werden die Einstellungen nicht auf Clients angewendet, die neu zu einer vorhandenen Domäne hinzukommen.
Programme mit der Datei ofcscan.ini zur Programmliste für die Gerätesteuerung hinzufügen:
Weitere Informationen über Programmlisten und das richtige Definieren von Programmen, die zu diesen Listen hinzugefügt werden können, finden Sie unter Erweiterte Berechtigungen für Speichergeräte.
Navigieren Sie auf dem OfficeScan Server-Computer zu < Installationsordner des Servers >\PCCSRV.
Öffnen Sie die Datei ofcscan.ini mit Hilfe eines Texteditors.
Programme mit Lese- und Schreibzugriff auf Speichergeräte hinzufügen:
Suchen Sie die folgenden Zeilen:
[DAC_APPROVED_LIST]
Count=x
Ersetzen Sie das "x" durch die Anzahl der Programme in der Programmliste.
Fügen Sie unterhalb von "Count=x" Programme hinzu, indem Sie Folgendes eingeben:
Item<number>=<Programmpfad und -name oder Anbieter der digitalen Signatur>
Beispiel:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Programme auf Speichergeräten, die ausgeführt werden dürfen, hinzufügen:
Suchen Sie die folgenden Zeilen:
[DAC_EXECUTABLE_LIST]
Count=x
Ersetzen Sie das "x" durch die Anzahl der Programme in der Programmliste.
Fügen Sie unterhalb von "Count=x" Programme hinzu, indem Sie Folgendes eingeben:
Item<number>=<Programmpfad und -name oder Anbieter der digitalen Signatur>
Beispiel:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Speichern und schließen Sie die Datei ofscan.ini.
Öffnen Sie die OfficeScan Webkonsole, und gehen Sie zu Netzwerkcomputer > Allgemeine Client-Einstellungen.
Klicken Sie auf Speichern, um die Programmlisten auf alle Clients zu verteilen.
Siehe auch: