dctrl
Le Contrôle des dispositifs régule l'accès aux périphériques de stockage externes et ressources réseau connectés aux ordinateurs. Le Contrôle des dispositifs prévient la perte et les fuites de données et, conjointement avec le scan de fichiers, contribue à la protection contre les risques de sécurité.
Vous pouvez configurer les stratégies de contrôle des dispositifs pour les clients internes et externes. Les administrateurs OfficeScan configurent généralement une stratégie plus stricte pour les clients externes.
Les stratégies sont des paramètres détaillés dans l'arborescence des clients OfficeScan. Vous pouvez appliquer des stratégies spécifiques à des groupes de clients ou à des clients individuels. Vous pouvez également appliquer une stratégie unique à tous les clients.
Une fois que vous avez déployé les stratégies, les clients utilisent les critères d'emplacement définis dans l'écran Emplacement de l'ordinateur (voir Emplacement de l'ordinateur) afin de déterminer leur emplacement et la stratégie à appliquer. Les clients changent de stratégie à chaque fois que l'emplacement change.
Important :
Le contrôle des dispositifs prend uniquement en charge les plates-formes 32 bits.
Par défaut, le contrôle des dispositifs est désactivé pour les versions 32 bits de Windows Server 2003 et Windows Server 2008. Avant d'activer le contrôle des périphériques sur ces plates-formes serveur, consultez les instructions et pratiques recommandées décrites dans Services client.
Les types de périphériques pouvant être surveillés par OfficeScan dépendent de l'activation de la licence de protection des données. La protection des données fait l'objet d'une licence distincte et doit être activée avant d'être utilisée. Pour plus d'informations sur la licence de protection des données, voir Licence de protection des données.
|
Types de périphériques |
|
Type de périphérique |
Protection des données activée |
Protection des données désactivée |
|
Périphériques de stockage |
||
|
CD/DVD |
Surveillé |
Surveillé |
|
Disquettes |
Surveillé |
Surveillé |
|
Lecteurs de réseau |
Surveillé |
Surveillé |
|
Périphériques de stockage USB |
Surveillé |
Surveillé |
|
Périphériques qui ne sont pas destinés au stockage |
||
|
Ports COM et LPT |
Surveillé |
Non surveillé |
|
Interface IEEE 1394 |
Surveillé |
Non surveillé |
|
Périphériques d'images |
Surveillé |
Non surveillé |
|
Périphériques infrarouges |
Surveillé |
Non surveillé |
|
Modems |
Surveillé |
Non surveillé |
|
Carte PCMCIA |
Surveillé |
Non surveillé |
|
Touche Impr. écran |
Surveillé |
Non surveillé |
Pour obtenir la liste des modèles de périphériques pris en charge, voir :
http://docs.trendmicro.com/fr-fr/enterprise/officescan.aspx
Les autorisations du contrôle des dispositifs pour les périphériques de stockage sont utilisées dans les cas suivants :
Lorsque vous autorisez l'accès aux périphériques de stockage USB, CD/DVD, disquettes et lecteurs de réseau. Vous pouvez accorder un accès complet ou limiter le niveau d'accès à ces périphériques.
Configurez la liste des périphériques de stockage USB approuvés. Le contrôle des dispositifs vous permet de bloquer l'accès à tous les périphériques de stockage USB, sauf ceux qui ont été ajoutés à la liste des périphériques approuvés. Vous pouvez accorder un accès complet aux périphériques approuvés ou limiter le niveau d'accès.
Le tableau suivant répertorie les autorisations :
|
Autorisations |
Fichiers présents sur le périphérique |
Fichiers entrants |
|
Accès complet |
Opérations autorisées : |
Opérations autorisées : En d'autres termes, un fichier peut être enregistré, déplacé et copié sur le périphérique. |
|
Modifier |
Opérations autorisées : Opérations interdites : Exécuter |
Opérations autorisées : |
|
Lire et exécuter |
Opérations autorisées : Opérations interdites : |
Opérations interdites : |
|
Lire |
Opérations autorisées : Opérations interdites : |
Opérations interdites : |
|
Répertorier le contenu des dispositifs uniquement |
Opérations interdites : Le dispositif et les fichiers qu'il contient sont visibles par l'utilisateur (par exemple, dans l'Explorateur Windows). |
Opérations interdites : |
|
Bloquer |
Opérations interdites : Le dispositif et les fichiers qu'il contient ne sont pas visibles par l'utilisateur (par exemple, dans l'Explorateur Windows). |
Opérations interdites : |
La fonction de scan de fichiers d'OfficeScan complète et, le cas échéant, annule les autorisations relatives aux périphériques. Si, par exemple, l'une d'entre elles autorise l'ouverture d'un fichier mais qu'OfficeScan détecte que celui-ci est infecté par un programme malveillant, une action de scan spécifique est exécutée sur le fichier pour éliminer ce programme. Si l'action de scan est Nettoyer, le fichier s'ouvre une fois le nettoyage effectué. Si, en revanche l'action de scan est Supprimer, le fichier est supprimé.
Les autorisations avancées sont appliquées lorsque vous accordez des autorisations limitées aux périphériques de stockage. L'autorisation peut être :
Modifier
Lire et exécuter
Lire
Répertorier le contenu des dispositifs uniquement
Vous pouvez continuer de limiter les autorisations tout en accordant des autorisations avancées à certains programmes des périphériques de stockage et de l'ordinateur local.
Pour définir des programmes, configurez les listes de programmes suivantes :
|
Listes des programmes |
|
Liste des programmes |
Description |
Entrées valides |
|
Programmes disposant d'un accès en lecture et écriture sur les périphériques de stockage |
Cette liste contient des programmes locaux ainsi que des programmes de périphériques de stockage ayant un droit de lecture et d'écriture sur les périphériques. Microsoft Word (winword.exe) est un exemple de programme local. Il est généralement situé sous C:\Program Files\Microsoft Office\Office. Si l'autorisation pour les périphériques de stockage USB est \"Répertorier le contenu des dispositifs uniquement\" mais que \"C:\Program Files\Microsoft Office\Office\winword.exe" est inclus dans cette liste :
|
Nom et chemin d'accès du programme Pour plus d'informations, voir Spécifier le nom et le chemin d'accès d'un programme. |
|
Programmes présents sur les périphériques de stockage et autorisés à s'exécuter |
Cette liste contient des programmes se trouvant sur les périphériques de stockage et que les utilisateurs ou le système peuvent exécuter. Par exemple, si vous souhaitez autoriser les utilisateurs à installer un logiciel à partir d'un CD, ajoutez le nom et le chemin d'accès du programme d'installation, comme "E:\Installer\Setup.exe", à cette liste. |
Chemin d'accès et nom du programme ou fournisseur de la signature numérique Pour plus d'informations, voir Spécifier le nom et le chemin d'accès d'un programme ou Spécifier un fournisseur de signature numérique. |
Dans certains cas vous devrez ajouter un programme aux deux listes. Prenez par exemple la fonctionnalité de verrouillage de données d'un périphérique de stockage USB qui, si elle est activée, invite l'utilisateur à fournir un nom et un mot de passe avant de déverrouiller le périphérique. La fonctionnalité de verrouillage de données utilise le programme "Password.exe" sur le périphérique. Il doit être autorisé à s'exécuter afin que les utilisateurs puissent déverrouiller le périphérique. "Password.exe" doit également avoir le droit de lecture et écriture sur le périphérique afin que les utilisateurs puissent modifier leur nom d'utilisateur ou leur mot de passe.
Chaque liste de programmes de l'interface utilisateur peut contenir jusqu'à 100 programmes. Si vous souhaitez ajouter plus de programmes à une liste de programmes, vous devrez les ajouter dans le fichier ofcscan.ini qui peut accepter un maximum de 1 000 programmes. Pour plus d'informations sur l'ajout de programmes dans le fichier ofcscan.ini , voir Pour ajouter des programmes aux listes de programmes de contrôle des dispositifs à l'aide du fichier ofcscan.ini :.
Les programmes ajoutés au fichier ofcscan.ini seront déployés sur le domaine racine et remplaceront les programmes des clients ou domaines individuels.
Spécifier un fournisseur de signature digitale
Spécifiez un fournisseur de signature digitale si vous faites confiance aux programmes de ce fournisseur. Par exemple, entrez Microsoft Corporation ou Trend Micro, Inc. Vous pouvez obtenir le fournisseur de signature digitale en vérifiant les propriétés d'un programme (par exemple, en cliquant avec le bouton droit sur le programme et en sélectionnant Propriétés).
Fournisseur de signature digitale pour le programme client OfficeScan (PccNTMon.exe)
Spécifier le nom et le chemin d'accès d'un programme
Le nome et le chemin d'accès d'un programme doivent compter 259 caractères au maximum et ne peuvent contenir que des caractères alphanumérique (A-Z, a-z, 0-9). Il est impossible de spécifier uniquement le nom du programme.
Vous pouvez utiliser des caractères génériques pour remplacer les lettres de lecteur et les noms de programmes. Utilisez un point d'interrogation (?) pour remplacer un seul caractère, comme la lettre d'un lecteur. Utilisez un astérisque (*) pour remplacer plusieurs caractères, comme un nom de programme.
Les caractères génériques ne peuvent pas être utilisés pour remplacer des noms de dossiers. Le nom exact du dossier doit être spécifié.
Les caractères génériques peuvent être utilisés dans les exemples suivants :
|
Utilisation correcte des caractères génériques |
|
Exemple |
Données correspondantes |
|
?:\\password.exe |
Le fichier "Password.exe" situé dans n'importe quel lecteur |
|
C:\Program Files\Microsoft\*.exe |
Tout fichier .exe de C:\Program Files\Microsoft |
|
C:\Program Files\*.* |
Tout fichier sous C:\Program Files qui possède une extension |
|
C:\Program Files\a?c.exe |
Tout fichier .exe sous C:\Program Files dont le nom est composé de 3 caractères, commençant par la lettre "a" et se terminant par la lettre "c" |
|
C:\* |
Tout fichier se trouvant directement sous C:\ drive, qu'il possède ou non une extension |
Les caractères génériques ne peuvent pas être utilisés dans les exemples suivants :
|
Utilisation incorrecte des caractères génériques |
|
Exemple |
Cause |
|
??:\Buffalo\Password.exe |
?? représente deux caractères alors qu'une lettre de lecteur n'est composée que d'un seul caractère alphabétique. |
|
*:\Buffalo\Password.exe |
* représente plusieurs caractères alors qu'une lettre de lecteur n'est composée que d'un seul caractère alphabétique. |
|
C:\*\Password.exe |
Les caractères génériques ne peuvent pas être utilisés pour remplacer des noms de dossiers. Le nom exact du dossier doit être spécifié. |
|
C:\?\Password.exe |
Vous pouvez autoriser ou bloquer l'accès à des périphériques qui ne sont pas destinés au stockage. Il n'y a pas d'autorisation détaillée ou avancée pour ces périphériques.
Pour gérer l'accès aux périphériques externes (protection des données activée) :
Ordinateurs en réseau > Gestion des clients
Dans l'arborescence client, cliquez sur l'icône du domaine racine 
pour intégrer tous les clients ou sélectionner des domaines ou des clients spécifiques.
Cliquez sur Paramètres > Paramètres de contrôle des dispositifs.
Pour configurer une stratégie applicable aux clients externes, cliquez sur l'onglet Clients externes ; pour configurer une stratégie applicable aux clients internes, cliquez sur Clients internes.
Sélectionnez Activer le contrôle des dispositifs.
Si vous vous trouvez dans l'onglet Clients externes, vous pouvez appliquer les paramètres aux clients internes en sélectionnant Appliquer tous les paramètres aux clients internes.
Si vous êtes dans l'onglet Clients internes, vous pouvez appliquer les paramètres aux clients externes en sélectionnant Appliquer tous les paramètres aux clients externes.
Autorisez ou bloquez la fonction AutoRun (autorun.inf) sur les périphériques de stockage USB.
Configurez les paramètres pour les périphériques de stockage.
Sélectionnez une autorisation pour chaque périphérique de stockage. Pour plus d'informations sur les permissions, voir Autorisations pour les périphériques de stockage.
Configurez des autorisations avancées et des notifications si l'autorisation pour un périphérique de stockage est l'une des suivantes :
Modifier
Lire et exécuter
Lire
Répertorier le contenu des dispositifs uniquement
Bien que vous puissiez configurer des autorisation avancées et des notifications pour un périphérique de stockage spécifique dans l'interface utilisateur, les autorisations et les notifications sont en fait attribuées à tous les périphériques de stockage. Cela signifie que lorsque vous cliquez sur Autorisations avancées et notifications pour un CD ou un DVD, vous définissez des autorisations et des notifications pour tous les périphériques de stockage.
Pour plus d'informations sur les autorisations avancées et la manière de définir correctement des programmes avec des autorisations avancées, voir Autorisations avancées pour les périphériques de stockage.
Cliquez sur Autorisations avancées et notifications. Un nouvel écran s'affiche.
Sous Programmes ayant un droit de lecture et d'écriture sur des périphériques des stockage, entrez le nom et le chemin d'accès d'un programme, puis cliquez sur Ajouter. Le fournisseur de la signature digitale n'est pas accepté.
Sous Programmes présents sur les périphériques de stockage et autorisés à s'exécuter, entrez le nom et le chemin d'accès du programme ou le fournisseur de la signature digitale, puis cliquez sur Ajouter.
Sélectionnez Afficher un message de notification sur l'ordinateur client lorsqu'OfficeScan détecte un accès non autorisé à un périphérique.
Un accès non autorisé à un périphérique fait référence à des opérations interdites. Par exemple, si l'autorisation pour le périphérique est "Lire", les utilisateurs ne pourront pas enregistrer, déplacer, supprimer ou exécuter un fichier sur le périphérique. Pour une liste d'opérations interdites sur le périphériques sur base des autorisations, voir Autorisations pour les périphériques de stockage.
Vous pouvez modifier le message de notification. Pour plus d'informations, voir Notifications du contrôle des dispositifs.
Cliquez sur Retour.
Si l'autorisation pour les périphériques de stockage USB est Bloquer, configurez une liste de périphériques approuvés. Les utilisateurs peuvent accéder à ces périphériques et vous pouvez contrôler le niveau d'accès en utilisant les autorisations.
Cliquez sur Périphériques approuvés.
Entrez le nom du fournisseur de périphérique.
Entrez le modèle et le numéro de série.
À l'aide de l'outil Liste de dispositifs, interrogez les dispositifs reliés aux points finaux. L'outil indique, pour chaque périphérique, le nom du fournisseur, le modèle et le numéro de série. Pour plus d'informations, voir Outil Liste de dispositifs.
Sélectionnez l'autorisation pour le périphérique. Pour plus d'informations sur les permissions, voir Autorisations pour les périphériques de stockage.
Pour ajouter plusieurs périphériques, cliquez sur l'icône 
.
Cliquez sur Retour.
Pour chaque périphérique non destiné au stockage, sélectionnez Autoriser ou Bloquer.
Si vous avez sélectionné un ou plusieurs domaines ou clients dans l'arborescence client, cliquez sur Enregistrer. Si vous avez cliqué sur l'icône du domaine racine, choisissez parmi les options suivantes :
Appliquer à tous les clients : applique les paramètres à tous les clients existants et à tout nouveau client ajouté à un domaine existant/futur. Les domaines futurs sont des domaines qui ne sont pas encore créés au moment de la configuration des paramètres.
Appliquer aux domaines futurs uniquement : applique les paramètres uniquement aux clients ajoutés aux domaines futurs. Cette option ne permet pas d'appliquer les paramètres aux nouveaux clients ajoutés à un domaine existant.
Pour gérer l'accès aux périphériques externes (protection des données non activée) :
Ordinateurs en réseau > Gestion des clients
Dans l'arborescence client, cliquez sur l'icône du domaine racine 
pour intégrer tous les clients ou sélectionner des domaines ou des clients spécifiques.
Cliquez sur Paramètres > Contrôle des dispositifs. Paramètres.
Pour configurer une stratégie applicable aux clients externes, cliquez sur l'onglet Clients externes ; pour configurer une stratégie applicable aux clients internes, cliquez sur Clients internes.
Sélectionnez Activer le contrôle des dispositifs.
Si vous vous trouvez dans l'onglet Clients externes, vous pouvez appliquer les paramètres aux clients internes en sélectionnant Appliquer tous les paramètres aux clients internes.
Si vous êtes dans l'onglet Clients internes, vous pouvez appliquer les paramètres aux clients externes en sélectionnant Appliquer tous les paramètres aux clients externes.
Autorisez ou bloquez la fonction AutoRun (autorun.inf) sur les périphériques de stockage USB.
Sélectionnez l'autorisation pour chaque périphérique. Pour plus d'informations sur les permissions, voir Autorisations pour les périphériques de stockage.
Configurez des autorisations avancées et des notifications si l'autorisation pour un périphérique est l'une des suivantes :
Modifier
Lire et exécuter
Lire
Répertorier le contenu des dispositifs uniquement
Il n'est pas nécessaire de configurer des autorisation avancées et des notifications si l'autorisation définie pour tous les périphériques est Accès complet.
Pour plus d'informations sur les autorisations avancées et la manière de définir correctement des programmes avec des autorisations avancées, voir Autorisations avancées pour les périphériques de stockage.
Sous Programmes ayant un droit de lecture et d'écriture sur des périphériques des stockage, entrez le nom et le chemin d'accès d'un programme, puis cliquez sur Ajouter. Le fournisseur de la signature digitale n'est pas accepté.
Sous Programmes présents sur les périphériques de stockage et autorisés à s'exécuter, entrez le nom et le chemin d'accès du programme ou le fournisseur de la signature digitale, puis cliquez sur Ajouter.
Sélectionnez Afficher un message de notification sur l'ordinateur client lorsqu'OfficeScan détecte un accès non autorisé à un périphérique.
Un accès non autorisé à un périphérique fait référence à des opérations interdites. Par exemple, si l'autorisation pour le périphérique est "Lire", les utilisateurs ne pourront pas enregistrer, déplacer, supprimer ou exécuter un fichier sur le périphérique. Pour une liste d'opérations interdites sur le périphériques sur base des autorisations, voir Autorisations pour les périphériques de stockage.
Vous pouvez modifier le message de notification. Pour plus d'informations, voir Notifications du contrôle des dispositifs.
Si vous avez sélectionné un ou plusieurs domaines ou clients dans l'arborescence client, cliquez sur Enregistrer. Si vous avez cliqué sur l'icône du domaine racine, choisissez parmi les options suivantes :
Appliquer à tous les clients : applique les paramètres à tous les clients existants et à tout nouveau client ajouté à un domaine existant/futur. Les domaines futurs sont des domaines qui ne sont pas encore créés au moment de la configuration des paramètres.
Appliquer aux domaines futurs uniquement : applique les paramètres uniquement aux clients ajoutés aux domaines futurs. Cette option ne permet pas d'appliquer les paramètres aux nouveaux clients ajoutés à un domaine existant.
Pour ajouter des programmes aux listes de programmes de contrôle des dispositifs à l'aide du fichier ofcscan.ini :
Pour plus d'informations sur les listes de programmes et la manière de définir correctement les programmes pouvant être ajoutés à la liste, voir Autorisations avancées pour les périphériques de stockage.
Sur l'ordinateur du serveur OfficeScan, accédez au < Dossier d'installation du serveur >\PCCSRV.
Ouvrez le fichier « ofcscan.ini » à l'aide d'un éditeur de texte.
Pour ajouter des programmes disposant d'un accès en lecture et écriture sur les périphériques de stockage :
Localisez les lignes suivantes:
[DAC_APPROVED_LIST]
Count=x
Remplacez "x" par le nombre de programmes de la liste de programmes.
Sous "Count=x", ajoutez des programmes en entrant :
Élément<numéro>=<chemin d'accès et nom du programme ou fournisseur de la signature numérique>
Par exemple :
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Pour ajouter des programmes présents sur les périphériques de stockage et autorisés à s'exécuter :
Localisez les lignes suivantes:
[DAC_EXECUTABLE_LIST]
Count=x
Remplacez "x" par le nombre de programmes de la liste de programmes.
Sous "Count=x", ajoutez des programmes en entrant :
Élément<numéro>=<chemin d'accès et nom du programme ou fournisseur de la signature numérique>
Par exemple :
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Enregistrez et fermez le fichier ofcscan.ini.
Ouvrez OfficeScan Web Console et accédez à Ordinateurs en réseau > Paramètres clients généraux.
Cliquez sur Enregistrer pour déployer les listes de programmes vers tous les clients.
Consultez aussi: