dctrl
Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza.
È possibile configurare i criteri di Controllo dispositivo per i client interni ed esterni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per i client esterni.
I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibile applicare determinati criteri a gruppi di client o a singoli client. È possibile anche applicare un singolo criterio a tutti i client.
Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nella schermata Località computer (vedere Località computer) per determinarne la località e il criterio da applicare. I client cambiano criteri ogni volta che cambia la località.
Importante:
Controllo dispositivo supporta solo piattaforme a 32 bit.
Per impostazione predefinita, Controllo dispositivo è disattivato nelle versioni a 32 bit di Windows Server 2003 e Windows Server 2008. Prima di attivare Controllo dispositivo su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi client.
I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso in licenza separatamente che deve essere attivato prima dell'utilizzo. Per maggiori dettagli sulla licenza di Protezione dati, consultare Licenza di Protezione dati.
|
Tipi di dispositivo |
|
Tipo di dispositivo |
Protezione dati attivata |
Protezione dati non attivata |
|
Dispositivi di archiviazione |
||
|
CD/DVD |
Monitorato |
Monitorato |
|
Dischi floppy |
Monitorato |
Monitorato |
|
Unità di rete |
Monitorato |
Monitorato |
|
Dispositivi USB di archiviazione |
Monitorato |
Monitorato |
|
Dispositivi non di archiviazione |
||
|
Porte COM e LPT |
Monitorato |
Non monitorato |
|
Interfaccia IEEE 1394 |
Monitorato |
Non monitorato |
|
Dispositivi per l'acquisizione di immagini |
Monitorato |
Non monitorato |
|
Dispositivi a infrarossi |
Monitorato |
Non monitorato |
|
Modem |
Monitorato |
Non monitorato |
|
Scheda PCMCIA |
Monitorato |
Non monitorato |
|
Tasto Stamp |
Monitorato |
Non monitorato |
Per un elenco dei modelli di dispositivi supportati, vedere:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono utilizzate per:
Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare il livello di accesso.
Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione, ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.
La seguente tabella contiene un elenco delle autorizzazioni:
|
Autorizzazioni |
File nel dispositivo |
File in entrata |
|
Accesso completo |
Operazioni consentite: |
Operazioni consentite: Ciò significa che un file può essere salvato, spostato e copiato nel dispositivo. |
|
Modifica |
Operazioni consentite: Operazioni non consentite: Esecuzione |
Operazioni consentite: |
|
Lettura ed esecuzione |
Operazioni consentite: Operazioni non consentite: |
Operazioni non consentite: |
|
Lettura |
Operazioni consentite: Operazioni non consentite: |
Operazioni non consentite: |
|
Elenca solo contenuto dispositivo |
Operazioni non consentite: il dispositivo e i file che contiene sono visibili all'utente (ad esempio, da Esplora risorse di Windows). |
Operazioni non consentite: |
|
Blocca |
Operazioni non consentite: il dispositivo e i file che contiene non sono visibili all'utente (ad esempio, da Esplora risorse di Windows). |
Operazioni non consentite: |
La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file, ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia, l'azione di scansione è Elimina, il file viene eliminato.
Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per i dispositivi di archiviazione. È possibile applicare una delle autorizzazioni seguenti:
Modifica
Lettura ed esecuzione
Lettura
Elenca solo contenuto dispositivo
È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per determinati programmi sui dispositivi di archiviazione e sul computer locale.
Per definire i programmi, configurare gli elenchi di programmi seguenti:
|
Elenchi di programmi |
|
Elenco di programmi |
Descrizione |
Valori validi |
|
Programmi con accesso in lettura e scrittura ai dispositivi di archiviazione |
Questo elenco contiene i programmi locali e i programmi dei dispositivi di archiviazione che hanno accesso in lettura e scrittura ai dispositivi. Un esempio di programma locale è Microsoft Word (winword.exe), di solito installato in C:\Programmi\Microsoft Office\Office. Se l'autorizzazione per i dispositivi di archiviazione USB è "Elenca solo contenuto dispositivo", ma "C:\Programmi\Microsoft Office\Office\winword.exe" è incluso nell'elenco:
|
Nome e percorso del programma Per maggiori dettagli, vedere Specifica di nome e percorso del programma. |
|
Programmi che è consentito eseguire sui dispositivi di archiviazione |
Questo elenco contiene i programmi dei dispositivi di archiviazione che possono essere eseguiti dagli utenti o dal sistema. Ad esempio, per consentire agli utenti di installare il software da un CD, aggiungere a questo elenco il nome e il percorso del programma di installazione, ad esempio "E:\Installer\Setup.exe". |
Nome e percorso del programma o provider della firma digitale Per maggiori dettagli, vedere Specifica di nome e percorso del programma o Specifica di un provider della firma digitale. |
In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi. Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se attivato, richiede agli utenti di specificare un nome utente e una password validi prima che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un programma del dispositivo denominato "Password.exe", che è necessario autorizzare affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere accesso in lettura e scrittura la dispositivo in modo tale che gli utenti possano modificare il nome utente o la password.
Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100 programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Per aggiungere programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini:.
I programmi aggiunti al file ofcscan.ini vengono implementati nel dominio principale (root) e sovrascrivono i programmi nei singoli domini e nei client.
Specifica di un provider della firma digitale
Specificare un provider di firma digitale se si ritengono affidabili i programmi del provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile conoscere il provider della firma digitale verificando le proprietà di un programma (ad esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).
Provider della firma digitale per il programma del client OfficeScan (PccNTMon.exe)
Specifica di nome e percorso del programma
Il nome e il percorso di un programma devono essere composti da un massimo di 259 caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile specificare solo il nome del programma.
È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo, come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere multiplo, come un nome di un programma.
I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella.
Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:
|
Uso corretto dei caratteri jolly |
|
Esempio |
Dati corrispondenti |
|
?:\Password.exe |
Il file "Password.exe" si trova direttamente sotto una qualsiasi unità |
|
C:\Programmi\Microsoft\*.exe |
Qualsiasi file.exe in C:\Programmi\Microsoft |
|
C:\Programmi\*.* |
Qualsiasi file in C:\Programmi che abbia un'estensione di file |
|
C:\Programmi\a?c.exe |
Qualsiasi file .exe in C:\Programmi composto da 3 caratteri che inizi con la lettera "a" e termini con la lettera "c" |
|
C:\* |
Qualsiasi file che si trovi direttamente sotto l'unità C:\, con o senza un'estensione di file |
Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:
|
Uso scorretto dei caratteri jolly |
|
Esempio |
Motivo |
|
??:\Buffalo\Password.exe |
?? rappresenta due caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. |
|
*:\Buffalo\Password.exe |
* rappresenta dati con più caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. |
|
C:\*\Password.exe |
I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. |
|
C:\?\Password.exe |
L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.
Per gestire l'accesso ai dispositivi esterni (Protezione dati attivata):
Computer collegati in rete > Gestione client
Nella struttura dei client, fare clic sull'icona del dominio principale 
per includere tutti i client oppure selezionare domini o client specifici.
Fare clic su Impostazioni > Impostazioni di controllo dispositivo.
Fare clic sulla scheda Client esterni per configurare le impostazioni per i client esterni o sulla scheda Client interni per configurare le impostazioni per i client interni.
Selezionare Attiva controllo dispositivo.
Nella scheda Client esterni, è possibile applicare le impostazioni ai client interni selezionando Applica tuttele impostazioni ai client interni.
Nella scheda Client interni, è possibile applicare le impostazioni ai client esterni selezionando Applica tuttele impostazioni ai client esterni.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB.
Configurare le impostazioni per i dispositivi di archiviazione.
Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni i dispositivi di archiviazione.
Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo di archiviazione è una delle seguenti:
Modifica
Lettura ed esecuzione
Lettura
Elenca solo contenuto dispositivo
Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.
Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di archiviazione.
Fare clic su Notifiche e autorizzazioni avanzate. Viene visualizzata una nuova schermata.
Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato.
Sotto Programmi su dispositivi a cui è consentito eseguire:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi.
Selezionare Visualizza un messaggio di notifica sul computer client quando OfficeScan rileva un accesso non autorizzato ai dispositivi.
L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura", gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione.
È possibile modificare il messaggio di notifica. Per maggiori dettagli, consultare Notifiche di Controllo dispositivo.
Fare clic su Indietro.
Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurare un elenco dei dispositivi approvati. Gli utenti possono accedere a questi dispositivi e possono controllare il livello di accesso usando le autorizzazioni.
Fare clic su Dispositivi approvati.
Immettere il fornitore del dispositivo.
Immettere il modello e il numero di serie del dispositivo.
Usare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agli endpoint. Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di serie di ogni dispositivo. Per ulteriori informazioni, vedere Strumento elenco dispositivi.
Selezionare l'autorizzazione per il dispositivo. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni i dispositivi di archiviazione.
Per aggiungere altri dispositivi, fare clic sull'icona 
.
Fare clic su Indietro.
Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.
Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito:
Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni.
Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente.
Per gestire l'accesso ai dispositivi esterni (Protezione dati non attivata):
Computer collegati in rete > Gestione client
Nella struttura dei client, fare clic sull'icona del dominio principale 
per includere tutti i client oppure selezionare domini o client specifici.
Fare clic su Impostazioni > Impostazioni. controllo dispositivo.
Fare clic sulla scheda Client esterni per configurare le impostazioni per i client esterni o sulla scheda Client interni per configurare le impostazioni per i client interni.
Selezionare Attiva controllo dispositivo.
Nella scheda Client esterni, è possibile applicare le impostazioni ai client interni selezionando Applica tuttele impostazioni ai client interni.
Nella scheda Client interni, è possibile applicare le impostazioni ai client esterni selezionando Applica tuttele impostazioni ai client esterni.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB.
Selezionare l'autorizzazione per ciascun dispositivo. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni i dispositivi di archiviazione.
Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo è una delle seguenti:
Modifica
Lettura ed esecuzione
Lettura
Elenca solo contenuto dispositivo
Se l'autorizzazione per tutti i dispositivi è Accesso completo, non è necessario configurare le notifiche e le autorizzazioni avanzate.
Per maggiori dettagli sulle autorizzazioni avanzate e su come definire correttamente i programmi per le autorizzazioni avanzate, vedere Autorizzazioni avanzate per i dispositivi di archiviazione.
Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato.
Sotto Programmi su dispositivi a cui è consentito eseguire:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi.
Selezionare Visualizza un messaggio di notifica sul computer client quando OfficeScan rileva un accesso non autorizzato ai dispositivi.
L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura", gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione.
È possibile modificare il messaggio di notifica. Per maggiori dettagli, consultare Notifiche di Controllo dispositivo.
Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito:
Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni.
Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente.
Per aggiungere programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini:
Per maggiori dettagli sugli elenchi di programmi e su come definire i programmi che possono essere aggiunti agli elenchi, vedere Autorizzazioni avanzate per i dispositivi di archiviazione.
Nel computer server OfficeScan, passare a < Cartella di installazione del server >\PCCSRV.
Aprire il file ofcscan.ini usando un editor di testo.
Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di archiviazione:
Individuare le righe seguenti:
[DAC_APPROVED_LIST]
Count=x
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<number>=<nome e percorso del programma o provider della firma digitale>
Ad esempio:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Programmi\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Per aggiungere i programmi che è consentito eseguire sui dispositivi di archiviazione:
Individuare le righe seguenti:
[DAC_EXECUTABLE_LIST]
Count=x
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<number>=<nome e percorso del programma o provider della firma digitale>
Ad esempio:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Salvare e chiudere il file ofcscan.ini.
Aprire la console Web OfficeScan e andare a Computer collegati in rete > Impostazioni client globali.
Fare clic su Salva per implementare gli elenchi di programmi in tutti i client.
Vedere anche: