dctrl
Control de dispositivos regula el acceso a los dispositivos de almacenamiento externo y a los recursos de red conectados a los equipos. El control de dispositivos ayuda a evitar la pérdida y la fuga de datos y, junto con la exploración de archivos, ayuda a protegerse frente a los riesgos de seguridad.
Puede configurar las políticas de Control de dispositivos para clientes internos y externos. Los administradores de OfficeScan suelen configurar una política más estricta para los clientes externos.
Las políticas constituyen una configuración granular en el árbol de clientes de OfficeScan. Puede aplicar determinadas políticas a grupos de clientes o clientes individuales. A su vez, también puede aplicar una única política a todos los clientes.
Después de implementar las políticas, los clientes utilizan los criterios de ubicación que haya definido en la pantalla Ubicación del equipo (consulte Ubicación del equipo) para determinar sus ubicaciones y la política que se va a aplicar. Los clientes cambian de política cada vez que cambia la ubicación.
Importante:
La función Control de dispositivos solo es compatible con plataformas de 32 bits.
De forma predeterminada, la función Control de dispositivos está desactivada en las versiones de 32 bits de Windows Server 2003 y Windows Server 2008. Antes de activar la función Control de dispositivos en estas plataformas del servidor, lea las directrices y prácticas recomendadas que se describen en Servicios del cliente.
Los tipos de dispositivos que OfficeScan puede supervisar dependen de que esté activada la licencia de protección de datos. La protección de datos es un módulo con licencia individual y se ha de activar antes de poder utilizarse. Para obtener información detallada acerca de la licencia de protección de datos, consulte Licencia de protección de datos.
|
Tipos de dispositivos |
|
Tipo de dispositivo |
Protección de datos activada |
Protección de datos no activada |
|
Dispositivos de almacenamiento |
||
|
CD/DVD |
Supervisado |
Supervisado |
|
Disquetes |
Supervisado |
Supervisado |
|
Unidades de red |
Supervisado |
Supervisado |
|
Dispositivos de almacenamiento USB |
Supervisado |
Supervisado |
|
Dispositivos sin almacenamiento |
||
|
Puertos COM y LPT |
Supervisado |
No supervisado |
|
Interfaz IEEE 1394 |
Supervisado |
No supervisado |
|
Dispositivos de imagen |
Supervisado |
No supervisado |
|
Dispositivos infrarrojo |
Supervisado |
No supervisado |
|
Módems |
Supervisado |
No supervisado |
|
Tarjeta PCMCIA |
Supervisado |
No supervisado |
|
Llave de impresión de pantalla |
Supervisado |
No supervisado |
Para obtener una lista de los modelos de dispositivo compatibles, consulte:
http://docs.trendmicro.com/es-es/enterprise/officescan.aspx
Los permisos de Control de dispositivos para dispositivos de almacenamiento se utilizan cuando:
Permite el acceso a dispositivos USB de almacenamiento, CD/DVD, disquetes y unidades de red. Puede conceder el acceso total a estos dispositivos o limitar el nivel de acceso.
Configure la lista de dispositivos USB de almacenamiento permitidos. La función Control de dispositivos le permite bloquear el acceso a todos los dispositivos USB de almacenamiento, excepto a aquellos que se hayan agregado a lista de dispositivos permitidos. Puede conceder el acceso total a los dispositivos permitidos o limitar el nivel de acceso.
En la siguiente tabla se muestran los permisos:
|
Permisos |
Archivos del dispositivo |
Archivos entrantes |
|
Acceso completo |
Operaciones permitidas: |
Operaciones permitidas: Esto significa que un archivo se puede guardar, mover y copiar en el dispositivo. |
|
Modificar |
Operaciones permitidas: Operaciones prohibidas: ejecutar |
Operaciones permitidas: |
|
Leer y ejecutar |
Operaciones permitidas: Operaciones prohibidas: |
Operaciones prohibidas: |
|
Leer |
Operaciones permitidas: Operaciones prohibidas: |
Operaciones prohibidas: |
|
Enumerar solo contenido del dispositivo |
Operaciones prohibidas: El dispositivo y los archivos que este contiene están visibles para el usuario (por ejemplo, desde el Explorador de Windows). |
Operaciones prohibidas: |
|
Bloquear |
Operaciones prohibidas: Ni el dispositivo ni los archivos que este contiene están visibles para el usuario (por ejemplo, desde el Explorador de Windows). |
Operaciones prohibidas: |
La función de exploración basada en archivos de OfficeScan complementa y puede invalidar los permisos de los dispositivos. Por ejemplo, si el permiso permite que se abra un archivo pero OfficeScan detecta que está infectado con malware, se llevará a cabo una acción de exploración específica sobre el archivo con el fin de eliminar el malware. Si la acción de exploración es limpiar, el archivo se abrirá una vez se haya limpiado. Sin embargo, si la acción es eliminar, el archivo se eliminará.
Los permisos avanzados son aplicables cuando se conceden permisos limitados a los dispositivos de almacenamiento. El permiso puede ser alguno de los siguientes:
Modificar
Leer y ejecutar
Leer
Enumerar solo contenido del dispositivo
Puede mantener limitados los permisos pero conceder permisos avanzados a determinados programas en los dispositivos de almacenamiento y en el equipo local.
Para definir programas, configure las siguientes listas de programas:
|
Listas de programas |
|
Lista de programas |
Descripción |
Entradas válidas |
|
Programas con acceso de lectura y escritura a los dispositivos de almacenamiento |
Esta lista contiene programas locales y programas en dispositivos de almacenamiento que disponen de acceso de lectura y escritura a los dispositivos. Un ejemplo de programa local es Microsoft Word (winword.exe), que suele encontrarse en C:\Archivos de programa\Microsoft Office\Office. Si el permiso para los dispositivos de almacenamiento USB es "Enumerar solo contenido del dispositivo" pero "C:\Archivos de programa\Microsoft Office\Office\winword.exe" está incluido en esta lista:
|
Ruta y nombre de programa Para obtener información detallada, consulte Especificar una ruta y nombre de programa. |
|
Programas de los dispositivos de almacenamiento con permiso de ejecución |
Esta lista contiene los programas en los dispositivos de almacenamiento que los usuarios o el sistema pueden ejecutar. Por ejemplo, si desea permitir a los usuarios instalar software desde un CD, agregue la ruta y el nombre del programa de instalación como, por ejemplo, "E:\Installer\Setup.exe", a esta lista. |
Ruta y nombre de programa o proveedor de firmas digitales Para obtener información detallada, consulte Especificar una ruta y nombre de programa o Especificar un proveedor de firmas digitales. |
Hay instancias cuando se necesita agregar un programa a ambas listas. Considere la función de bloqueo de datos en un dispositivo de almacenamiento USB que, si se activa, solicita a los usuarios un nombre de usuario válido y una contraseña antes de poder desbloquear el dispositivo. La función de bloqueo de datos utiliza un programa en el dispositivo denominado "Password.exe", cuya ejecución se debe permitir para que los usuarios puedan desbloquear el dispositivo correctamente. "Password.exe" también debe disponer de acceso de lectura y escritura al dispositivo para que los usuarios puedan cambiar el nombre de usuario o la contraseña.
Cada lista de programas de la interfaz de usuario puede contener hasta 100 programas. Si desea agregar más programas a una lista de programas, tendrá que agregarlos al archivo ofcscan.ini, que tiene cabida para 1.000 programas como máximo. Para obtener instrucciones sobre cómo agregar programas al archivo ofcscan.ini, consulte Para agregar programas a las listas de programa de Control de dispositivos mediante el archivo ofcscan.ini:.
Los programas agregados al archivo ofcscan.ini se implementarán al dominio raíz y sobrescribirán programas en clientes y dominios individuales.
Especificar un proveedor de firmas digitales
Especifique un proveedor de firmas digitales si confía en programas publicados por el proveedor. Por ejemplo, escriba Microsoft Corporation o Trend Micro, Inc. Puede obtener el proveedor de firmas digitales comprobando las propiedades de un programa (por ejemplo, haciendo clic con el botón derecho en el programa y seleccionando Propiedades).
Proveedor de firmas digitales para el programa cliente de OfficeScan (PccNTMon.exe)
Especificar una ruta y nombre de programa
El nombre y la ruta de programa deben tener 259 caracteres como máximo y solo pueden contener caracteres alfanuméricos (A-Z, a-z, 0-9). No es posible especificar solo el nombre del programa.
Puede usar comodines en lugar de letras de unidad y nombres de programas. Puede utilizar un signo de interrogación (?) para representar datos de un solo carácter, como por ejemplo la letra de una unidad. Utilice un asterisco (*) para representar datos de varios caracteres, como por ejemplo el nombre de un programa.
No se pueden utilizar comodines para representar nombres de carpeta. Se debe especificar el nombre exacto de una carpeta.
Los comodines se utilizan correctamente en los ejemplos siguientes:
|
Uso correcto de comodines |
|
Ejemplo |
Datos coincidentes |
|
?:\Password.exe |
El archivo "Password.exe" ubicado directamente en cualquier unidad |
|
C:\Archivos de programa\Microsoft\*.exe |
Cualquier archivo ejecutable (*.exe) en C:\Archivos de programa\Microsoft |
|
C:\Archivos de programa\*.* |
Cualquier archivo en C:\Archivos de programa que tenga una extensión de archivo |
|
C:\Archivos de programa\a?c.exe |
Cualquier archivo .exe en C:\Archivos de programa que tenga 3 caracteres empezando por la letra "a" y terminando por la letra "c" |
|
C:\* |
Cualquier archivo ubicado directamente en la unidad C:\, con o sin extensiones de archivo |
Los comodines se utilizan incorrectamente en los ejemplos siguientes:
|
Uso incorrecto de comodines |
|
Ejemplo |
Motivo |
|
??:\Buffalo\Password.exe |
?? representa dos caracteres y las letras de unidad solo tienen un único carácter alfabético. |
|
*:\Buffalo\Password.exe |
* representa datos de varios caracteres y las letras de unidad solo tienen un único carácter alfabético. |
|
C:\*\Password.exe |
No se pueden utilizar comodines para representar nombres de carpeta. Se debe especificar el nombre exacto de una carpeta. |
|
C:\?\Password.exe |
Puede permitir o bloquear el acceso a dispositivos sin almacenamiento. No hay permisos granulares o avanzados para estos dispositivos.
Para gestionar el acceso a dispositivos externos (protección de datos activada):
Equipos en red > Administración de clientes
En el árbol de clientes, haga clic en el icono del dominio raíz 
para incluir todos los clientes o seleccionar dominios o clientes específicos.
Haga clic en Configuración > Configuración de Control de dispositivos.
Haga clic en la pestaña Clientes externos para definir la configuración en clientes externos o en la pestaña Clientes internos para definir la configuración en clientes internos.
Seleccione Activar Control de dispositivos.
En el caso de que se encuentre en la pestaña Clientes externos, puede aplicar la configuración en los clientes internos si selecciona Aplicar toda la configuración en los clientes internos.
En el caso de que se encuentre en la pestaña Clientes internos, puede aplicar la configuración a los clientes externos si selecciona Aplicar toda la configuración a clientes externos.
Seleccione si desea bloquear o permitir la función de ejecución automática (autorun.inf) en los dispositivos de almacenamiento USB.
Definir la configuración para dispositivos de almacenamiento.
Seleccione un permiso para cada dispositivo de almacenamiento. Para obtener información detallada acerca de los permisos, consulte Permisos para dispositivos de almacenamiento.
Configure las notificaciones y los permisos avanzados si el permiso de un dispositivo de almacenamiento es alguno de los siguientes:
Modificar
Leer y ejecutar
Leer
Enumerar solo contenido del dispositivo
Aunque puede configurar notificaciones y permisos avanzados para un dispositivo de almacenamiento específico en la interfaz de usuario, los permisos y notificaciones se aplican realmente a todos los dispositivos de almacenamiento. Esto significa que cuando se hace clic en Permisos avanzados y notificaciones para CD/DVD, realmente está definiendo permisos y notificaciones para todos los dispositivos de almacenamiento.
Para obtener información detallada acerca de los permisos avanzados y cómo definir programas correctamente con permisos avanzados, consulte Permisos avanzados para dispositivos de almacenamiento.
Haga clic en Permisos avanzados y notificaciones. Se abrirá una nueva pantalla.
Debajo de Programas con acceso de lectura y escritura a los dispositivos de almacenamiento, escriba un nombre de archivo y una ruta de programa y, a continuación, haga clic en Agregar. No se acepta el proveedor de firmas digitales.
Debajo de Programas de los dispositivos de almacenamiento con permiso de ejecución, escriba el nombre y la ruta del programa o el proveedor de firmas digitales y, a continuación, haga clic en Agregar.
Seleccione Mostrar un mensaje de notificación en el equipo cliente cuando OfficeScan detecte un acceso no autorizado al dispositivo.
El acceso no autorizado al dispositivo se refiere a operaciones del dispositivo prohibidas. Por ejemplo, si el permiso del dispositivo es "Lectura", los usuarios no podrán guardar, mover, eliminar ni ejecutar un archivo en el dispositivo. Para obtener una lista de operaciones de dispositivo prohibidas basadas en los permisos, consulte Permisos para dispositivos de almacenamiento.
Puede modificar el mensaje de notificación. Para obtener información detallada, consulte Notificaciones de Control de dispositivos.
Haga clic en Atrás.
Si el permiso para dispositivos de almacenamiento USB es Bloquear, configure una lista de dispositivos permitidos. Los usuarios pueden acceder a estos dispositivos y puede controlar el nivel de acceso mediante los permisos.
Haga clic en Dispositivos permitidos.
Escriba el nombre del proveedor de dispositivos.
Escriba el modelo y el ID de serie del dispositivo.
Utilice la herramienta de lista de dispositivos para realizar consultas en los dispositivos que estén conectados a puntos finales. La herramienta proporciona el distribuidor, el modelo y el ID de serie de cada dispositivo. Para obtener información detallada, consulte Herramienta de lista de dispositivos.
Seleccione el permiso para el dispositivo. Para obtener información detallada acerca de los permisos, consulte Permisos para dispositivos de almacenamiento.
Para agregar más dispositivos, haga clic en el icono 
.
Haga clic en Atrás.
Para dispositivos sin almacenamiento, seleccione Permitir o Bloquear.
En caso de que haya seleccionado dominios o clientes en el árbol de clientes, haga clic en Guardar. En caso de que haya hecho clic en el icono del dominio raíz, seleccione alguna de las siguientes opciones:
Aplicar a todos los clientes: esta opción aplica la configuración a todos los clientes existentes y a los nuevos clientes que se añadan a un dominio existente o futuro. Los futuros dominios son dominios todavía no creados en el momento en que haya realizado la configuración.
Aplicar solo a futuros dominios: esta opción aplica la configuración a los clientes que se añadan a futuros dominios. Esta opción no aplica la configuración a los clientes que se hayan añadido a un dominio existente.
Para gestionar el acceso a dispositivos externos (protección de datos no activada):
Equipos en red > Administración de clientes
En el árbol de clientes, haga clic en el icono del dominio raíz 
para incluir todos los clientes o seleccionar dominios o clientes específicos.
Haga clic en Configuración > Control de dispositivos. Configuración.
Haga clic en la pestaña Clientes externos para definir la configuración en clientes externos o en la pestaña Clientes internos para definir la configuración en clientes internos.
Seleccione Activar Control de dispositivos.
En el caso de que se encuentre en la pestaña Clientes externos, puede aplicar la configuración en los clientes internos si selecciona Aplicar toda la configuración en los clientes internos.
En el caso de que se encuentre en la pestaña Clientes internos, puede aplicar la configuración a los clientes externos si selecciona Aplicar toda la configuración a clientes externos.
Seleccione si desea bloquear o permitir la función de ejecución automática (autorun.inf) en los dispositivos de almacenamiento USB.
Seleccione el permiso para cada dispositivo. Para obtener información detallada acerca de los permisos, consulte Permisos para dispositivos de almacenamiento.
Configure las notificaciones y los permisos avanzados si el permiso de un dispositivo es alguno de los siguientes:
Modificar
Leer y ejecutar
Leer
Enumerar solo contenido del dispositivo
No hay necesidad de configurar notificaciones y permisos avanzados si el permiso de todos los dispositivos es Acceso completo.
Para obtener información detallada acerca de los permisos avanzados y cómo definir programas correctamente con permisos avanzados, consulte Permisos avanzados para dispositivos de almacenamiento.
Debajo de Programas con acceso de lectura y escritura a los dispositivos de almacenamiento, escriba un nombre de archivo y una ruta de programa y, a continuación, haga clic en Agregar. No se acepta el proveedor de firmas digitales.
Debajo de Programas de los dispositivos de almacenamiento con permiso de ejecución, escriba el nombre y la ruta del programa o el proveedor de firmas digitales y, a continuación, haga clic en Agregar.
Seleccione Mostrar un mensaje de notificación en el equipo cliente cuando OfficeScan detecte un acceso no autorizado al dispositivo.
El acceso no autorizado al dispositivo se refiere a operaciones del dispositivo prohibidas. Por ejemplo, si el permiso del dispositivo es "Lectura", los usuarios no podrán guardar, mover, eliminar ni ejecutar un archivo en el dispositivo. Para obtener una lista de operaciones de dispositivo prohibidas basadas en los permisos, consulte Permisos para dispositivos de almacenamiento.
Puede modificar el mensaje de notificación. Para obtener información detallada, consulte Notificaciones de Control de dispositivos.
En caso de que haya seleccionado dominios o clientes en el árbol de clientes, haga clic en Guardar. En caso de que haya hecho clic en el icono del dominio raíz, seleccione alguna de las siguientes opciones:
Aplicar a todos los clientes: esta opción aplica la configuración a todos los clientes existentes y a los nuevos clientes que se añadan a un dominio existente o futuro. Los futuros dominios son dominios todavía no creados en el momento en que haya realizado la configuración.
Aplicar solo a futuros dominios: esta opción aplica la configuración a los clientes que se añadan a futuros dominios. Esta opción no aplica la configuración a los clientes que se hayan añadido a un dominio existente.
Para agregar programas a las listas de programa de Control de dispositivos mediante el archivo ofcscan.ini:
Para obtener información detallada acerca de las listas de programas y cómo definir correctamente programas que se puedan agregar a las listas, consulte Permisos avanzados para dispositivos de almacenamiento.
En el equipo del servidor de OfficeScan, acceda a < Carpeta de instalación de servidor >\PCCSRV.
Abra el archivo "ofcscan.ini" con un editor de texto.
Para agregar programas con acceso de lectura y escritura a los dispositivos de almacenamiento:
Localice las siguientes líneas:
[DAC_APPROVED_LIST]
Count=x
Sustituya "x" por el número de programas en la lista de programas.
Debajo de "Count=x", agregue programas escribiendo lo siguiente:
Item<número>=<nombre y ruta del programa o proveedor de firmas digitales>
Por ejemplo:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Archivos de programa\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Para agregar programas de los dispositivos de almacenamiento con permiso de ejecución:
Localice las siguientes líneas:
[DAC_EXECUTABLE_LIST]
Count=x
Sustituya "x" por el número de programas en la lista de programas.
Debajo de "Count=x", agregue programas escribiendo lo siguiente:
Item<número>=<nombre y ruta del programa o proveedor de firmas digitales>
Por ejemplo:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Guarde y cierre el archivo ofcscan.ini.
Abra OfficeScan Web Console, vaya a Equipos en red > Configuración general del cliente.
Haga clic en Guardar para implementar las listas de programas a todos los clientes.
Consulte también: