dctrl
Controllo dispositivo
Controllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorse di rete collegate ai computer. Controllo dispositivo aiuta a prevenire la perdita e la dispersione di dati e, insieme alla scansione dei file, contribuisce a proteggere dai rischi per la sicurezza.
È possibile configurare i criteri di Controllo dispositivo per i client interni ed esterni. Gli amministratori OfficeScan in genere configurano criteri più rigidi per i client esterni.
I criteri sono impostazioni flessibili nella struttura client OfficeScan. È possibile applicare determinati criteri a gruppi di client o a singoli client. È possibile anche applicare un singolo criterio a tutti i client.
Dopo aver implementato i criteri, i client utilizzano i parametri della località definiti nella schermata Località computer (vedere Località computer) per determinarne la località e il criterio da applicare. I client cambiano criteri ogni volta che cambia la località.
Importante:
Controllo dispositivo supporta solo piattaforme a 32 bit.
Per impostazione predefinita, Controllo dispositivo è disattivato nelle versioni a 32 bit di Windows Server 2003 e Windows Server 2008. Prima di attivare Controllo dispositivo su queste piattaforme server, leggere le linee guida e le migliori pratiche descritte in Servizi client.
-
I tipi di dispositivi che possono essere monitorati mediante OfficeScan dipendono dall'attivazione della licenza di Protezione dati. Protezione dati è un modulo concesso in licenza separatamente che deve essere attivato prima dell'utilizzo. Per maggiori dettagli sulla licenza di Protezione dati, consultare Licenza di Protezione dati.
|
|
|
|
|
Dispositivi di archiviazione |
|
CD/DVD |
Monitorato |
Monitorato |
|
Dischi floppy |
Monitorato |
Monitorato |
|
Unità di rete |
Monitorato |
Monitorato |
|
Dispositivi USB di archiviazione |
Monitorato |
Monitorato |
|
Dispositivi non di archiviazione |
|
Porte COM e LPT |
Monitorato |
Non monitorato |
|
Interfaccia IEEE 1394 |
Monitorato |
Non monitorato |
|
Dispositivi per l'acquisizione di immagini |
Monitorato |
Non monitorato |
|
Dispositivi a infrarossi |
Monitorato |
Non monitorato |
|
Modem |
Monitorato |
Non monitorato |
|
Scheda PCMCIA |
Monitorato |
Non monitorato |
|
Tasto Stamp |
Monitorato |
Non monitorato |
Per un elenco dei modelli di dispositivi supportati, vedere:
http://docs.trendmicro.com/it-it/enterprise/officescan.aspx
Autorizzazioni per i dispositivi di archiviazione
Le autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione vengono utilizzate per:
Consentire l'accesso a dispositivi USB di archiviazione, CD/DVD, dischi floppy e unità di rete. È possibile consentire l'accesso completo a questi dispositivi o limitare il livello di accesso.
Configurare l'elenco dei dispositivi USB di archiviazione approvati. Controllo dispositivo consente di bloccare l'accesso a tutti i dispositivi USB di archiviazione, ad eccezione di quelli aggiunti all'elenco dei dispositivi approvati. È possibile consentire l'accesso completo ai dispositivi approvati o limitare il livello di accesso.
La seguente tabella contiene un elenco delle autorizzazioni:
|
Autorizzazioni di Controllo dispositivo per i dispositivi di archiviazione |
|
|
|
|
|
Accesso completo |
Operazioni consentite:
Copia, spostamento, apertura, salvataggio, eliminazione, esecuzione |
Operazioni consentite:
Salvataggio, spostamento, copia
Ciò significa che un file può essere salvato, spostato e copiato nel dispositivo. |
|
Modifica |
Operazioni consentite:
Copia, spostamento, apertura, salvataggio, eliminazione
Operazioni non consentite: Esecuzione |
Operazioni consentite:
Salvataggio, spostamento, copia |
|
Lettura ed esecuzione |
Operazioni consentite:
Copia, apertura, esecuzione
Operazioni non consentite:
Salvataggio, spostamento, eliminazione |
Operazioni non consentite:
Salvataggio, spostamento, copia |
|
Lettura |
Operazioni consentite:
Copia, apertura
Operazioni non consentite:
Salvataggio, spostamento, eliminazione, esecuzione |
Operazioni non consentite:
Salvataggio, spostamento, copia |
|
Elenca solo contenuto dispositivo |
Operazioni non consentite:
Tutte le operazioni
il dispositivo e i file che contiene sono visibili all'utente (ad esempio, da Esplora risorse di Windows). |
Operazioni non consentite:
Salvataggio, spostamento, copia |
|
Blocca |
Operazioni non consentite:
Tutte le operazioni
il dispositivo e i file che contiene non sono visibili all'utente (ad esempio, da Esplora risorse di Windows). |
Operazioni non consentite:
Salvataggio, spostamento, copia |
La funzione di scansione dei file di OfficeScan integra le autorizzazioni ai dispositivi e può prevalere su di esse. Ad esempio, se l'autorizzazione consente l'apertura di un file, ma OfficeScan rileva che il file è infetto per la presenza di minacce informatiche, viene eseguita un'azione di scansione sul file per eliminare tali minacce informatiche. Se l'azione di scansione è Disinfetta, il file viene aperto dopo la disinfezione. Se, tuttavia, l'azione di scansione è Elimina, il file viene eliminato.
Autorizzazioni avanzate per i dispositivi di archiviazione
Le autorizzazioni avanzate si applicano quando si concedono autorizzazioni limitate per i dispositivi di archiviazione. È possibile applicare una delle autorizzazioni seguenti:
È possibile limitare le autorizzazioni, ma concedere autorizzazioni avanzate per determinati programmi sui dispositivi di archiviazione e sul computer locale.
Per definire i programmi, configurare gli elenchi di programmi seguenti:
|
|
|
|
|
Programmi con accesso in lettura e scrittura ai dispositivi di archiviazione |
Questo elenco contiene i programmi locali e i programmi dei dispositivi di archiviazione che hanno accesso in lettura e scrittura ai dispositivi.
Un esempio di programma locale è Microsoft Word (winword.exe), di solito installato in C:\Programmi\Microsoft Office\Office. Se l'autorizzazione per i dispositivi di archiviazione USB è "Elenca solo contenuto dispositivo", ma "C:\Programmi\Microsoft Office\Office\winword.exe" è incluso nell'elenco:
L'utente avrà accesso in lettura e scrittura a tutti i file del dispositivo di archiviazione USB a cui Microsoft Word ha accesso. L'utente può salvare, spostare o copiare un file Microsoft Word sul dispositivo di archiviazione USB.
|
Nome e percorso del programma
Per maggiori dettagli, vedere Specifica di nome e percorso del programma. |
|
Programmi che è consentito eseguire sui dispositivi di archiviazione |
Questo elenco contiene i programmi dei dispositivi di archiviazione che possono essere eseguiti dagli utenti o dal sistema.
Ad esempio, per consentire agli utenti di installare il software da un CD, aggiungere a questo elenco il nome e il percorso del programma di installazione, ad esempio "E:\Installer\Setup.exe". |
Nome e percorso del programma o provider della firma digitale
Per maggiori dettagli, vedere Specifica di nome e percorso del programma o Specifica di un provider della firma digitale. |
In alcuni casi, può essere necessario aggiungere un programmi a entrambi gli elenchi. Considerare la funzione di blocco dei dati in un dispositivo di archiviazione USB, che, se attivato, richiede agli utenti di specificare un nome utente e una password validi prima che il dispositivo possa essere sbloccato. La funzione di blocco dei dati utilizza un programma del dispositivo denominato "Password.exe", che è necessario autorizzare affinché gli utenti possano sbloccare il dispositivo. "Password.exe" deve anche avere accesso in lettura e scrittura la dispositivo in modo tale che gli utenti possano modificare il nome utente o la password.
Ciascun elenco di programmi sull'interfaccia utente può contenere fino a 100 programmi. Se si desidera aggiungere altri programmi ad un elenco, è necessario aggiungerli al file ofcscan.ini, che può contenere fino a 1.000 programmi. Per istruzioni su come aggiungere i programmi al file ofcscan.ini, vedere Per aggiungere programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini:.
Specifica di un provider della firma digitale
Specificare un provider di firma digitale se si ritengono affidabili i programmi del provider. Ad esempio, digitare Microsoft Corporation o Trend Micro, Inc. È possibile conoscere il provider della firma digitale verificando le proprietà di un programma (ad esempio, facendo clic con il pulsante destro del mouse e selezionando Proprietà).
Provider della firma digitale per il programma del client OfficeScan (PccNTMon.exe)
Specifica di nome e percorso del programma
Il nome e il percorso di un programma devono essere composti da un massimo di 259 caratteri e devono contenere solo caratteri alfanumerici (A-Z, a-z, 0-9). Non è possibile specificare solo il nome del programma.
È possibile utilizzare i caratteri jolly al posto delle lettere delle unità e dei nomi dei programmi. Usare un punto interrogativo (?) per rappresentare dati a carattere singolo, come la lettera di un'unità. Usare un asterisco (*) per rappresenta dati a carattere multiplo, come un nome di un programma.
Negli esempi seguenti è indicato l'uso corretto dei caratteri jolly:
|
Uso corretto dei caratteri jolly |
|
|
|
|
?:\Password.exe |
Il file "Password.exe" si trova direttamente sotto una qualsiasi unità |
|
C:\Programmi\Microsoft\*.exe |
Qualsiasi file.exe in C:\Programmi\Microsoft |
|
C:\Programmi\*.* |
Qualsiasi file in C:\Programmi che abbia un'estensione di file |
|
C:\Programmi\a?c.exe |
Qualsiasi file .exe in C:\Programmi composto da 3 caratteri che inizi con la lettera "a" e termini con la lettera "c" |
|
C:\* |
Qualsiasi file che si trovi direttamente sotto l'unità C:\, con o senza un'estensione di file |
Negli esempi seguenti è indicato l'uso scorretto dei caratteri jolly:
|
Uso scorretto dei caratteri jolly |
|
|
|
|
??:\Buffalo\Password.exe |
?? rappresenta due caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. |
|
*:\Buffalo\Password.exe |
* rappresenta dati con più caratteri, mentre le lettere delle unità sono costituite da un solo carattere alfabetico. |
|
C:\*\Password.exe |
I caratteri jolly non possono essere usati per rappresentare nomi di cartelle. È necessario specificare il nome esatto di una cartella. |
|
C:\?\Password.exe |
Autorizzazioni per dispositivi non di archiviazione
L'utente può consentire o bloccare l'accesso ai dispositivi non di archiviazione. Per questi dispositivi, non è possibile concedere autorizzazioni flessibili o avanzate.
Per gestire l'accesso ai dispositivi esterni (Protezione dati attivata):
Nella struttura dei client, fare clic sull'icona del dominio principale 
per includere tutti i client oppure selezionare domini o client specifici.
Fare clic su Impostazioni > Impostazioni di controllo dispositivo.
Fare clic sulla scheda Client esterni per configurare le impostazioni per i client esterni o sulla scheda Client interni per configurare le impostazioni per i client interni.
Selezionare Attiva controllo dispositivo.
Nella scheda Client esterni, è possibile applicare le impostazioni ai client interni selezionando Applica tuttele impostazioni ai client interni.
Nella scheda Client interni, è possibile applicare le impostazioni ai client esterni selezionando Applica tuttele impostazioni ai client esterni.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB.
Configurare le impostazioni per i dispositivi di archiviazione.
Selezionare un'autorizzazione per ciascun dispositivo di archiviazione. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni i dispositivi di archiviazione.
Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo di archiviazione è una delle seguenti:
Anche se è possibile configurare notifiche e autorizzazioni avanzate per un determinato dispositivo di archiviazione sull'interfaccia utente, le notifiche e le autorizzazioni vengono in realtà applicate a tutti i dispositivi di archiviazione. Questo significa che facendo clic su Notifiche e autorizzazioni avanzate per un CD/DVD, in realtà si definiscono le notifiche e le autorizzazioni per tutti i dispositivi di archiviazione.
Fare clic su Notifiche e autorizzazioni avanzate. Viene visualizzata una nuova schermata.
Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato.
Sotto Programmi su dispositivi a cui è consentito eseguire:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi.
Selezionare Visualizza un messaggio di notifica sul computer client quando OfficeScan rileva un accesso non autorizzato ai dispositivi.
L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura", gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione.
È possibile modificare il messaggio di notifica. Per maggiori dettagli, consultare Notifiche di Controllo dispositivo.
Fare clic su Indietro.
Se l'autorizzazione per i dispositivi di archiviazione USB è Blocca, configurare un elenco dei dispositivi approvati. Gli utenti possono accedere a questi dispositivi e possono controllare il livello di accesso usando le autorizzazioni.
Fare clic su Dispositivi approvati.
Immettere il fornitore del dispositivo.
Immettere il modello e il numero di serie del dispositivo.
Usare lo Strumento elenco dispositivi per inviare query ai dispositivi connessi agli endpoint. Lo strumento contiene il fornitore del dispositivo, il modello e l'ID di serie di ogni dispositivo. Per ulteriori informazioni, vedere Strumento elenco dispositivi.
Selezionare l'autorizzazione per il dispositivo. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni i dispositivi di archiviazione.
Per aggiungere altri dispositivi, fare clic sull'icona 
.
Fare clic su Indietro.
Per ciascun dispositivo non di archiviazione, selezionare Consenti o Blocca.
Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito:
Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni.
Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente.
Per gestire l'accesso ai dispositivi esterni (Protezione dati non attivata):
Nella struttura dei client, fare clic sull'icona del dominio principale 
per includere tutti i client oppure selezionare domini o client specifici.
Fare clic su Impostazioni > Impostazioni. controllo dispositivo.
Fare clic sulla scheda Client esterni per configurare le impostazioni per i client esterni o sulla scheda Client interni per configurare le impostazioni per i client interni.
Selezionare Attiva controllo dispositivo.
Nella scheda Client esterni, è possibile applicare le impostazioni ai client interni selezionando Applica tuttele impostazioni ai client interni.
Nella scheda Client interni, è possibile applicare le impostazioni ai client esterni selezionando Applica tuttele impostazioni ai client esterni.
Scegliere di consentire o bloccare la funzione AutoRun (autorun.inf) in un dispositivo di archiviazione USB.
Selezionare l'autorizzazione per ciascun dispositivo. Per maggiori dettagli sulle autorizzazioni, consultare Autorizzazioni i dispositivi di archiviazione.
Configurare le notifiche e le autorizzazioni avanzate se l'autorizzazione per il dispositivo è una delle seguenti:
Se l'autorizzazione per tutti i dispositivi è Accesso completo, non è necessario configurare le notifiche e le autorizzazioni avanzate.
Sotto Programmi con accesso in lettura e scrittura ai dispositivi, digitare il percorso ed il nome file del programma e fare clic su Aggiungi. Il provider della firma digitale non viene accettato.
Sotto Programmi su dispositivi a cui è consentito eseguire:, digitare il percorso ed il nome file del programma oppure il provider della firma digitale e fare clic su Aggiungi.
Selezionare Visualizza un messaggio di notifica sul computer client quando OfficeScan rileva un accesso non autorizzato ai dispositivi.
L'accesso non autorizzato al dispositivo si riferisce alle operazioni vietate sul dispositivo. Ad esempio, se l'autorizzazione al dispositivo è "Lettura", gli utenti non potranno salvare, spostare, eliminare o eseguire un file sul dispositivo. Per un elenco delle operazioni vietate sui dispositivi in base alle autorizzazioni, vedere Autorizzazioni per dispositivi di archiviazione.
È possibile modificare il messaggio di notifica. Per maggiori dettagli, consultare Notifiche di Controllo dispositivo.
Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito:
Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni.
Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente.
Per aggiungere programmi agli elenchi di programmi di Controllo dispositivo usando il file ofcscan.ini:
Nel computer server OfficeScan, passare a < Cartella di installazione del server >\PCCSRV.
Aprire il file ofcscan.ini usando un editor di testo.
Per aggiungere programmi con accesso in lettura e scrittura ai dispositivi di archiviazione:
Individuare le righe seguenti:
[DAC_APPROVED_LIST]
Count=x
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<number>=<nome e percorso del programma o provider della firma digitale>
Ad esempio:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Programmi\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Per aggiungere i programmi che è consentito eseguire sui dispositivi di archiviazione:
Individuare le righe seguenti:
[DAC_EXECUTABLE_LIST]
Count=x
Sostituire "x" con il numero di programmi dell'elenco dei programmi.
Sotto "Count=x", aggiungere i programmi digitando quanto segue:
Item<number>=<nome e percorso del programma o provider della firma digitale>
Ad esempio:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Salvare e chiudere il file ofcscan.ini.
Aprire la console Web OfficeScan e andare a Computer collegati in rete > Impostazioni client globali.
Fare clic su Salva per implementare gli elenchi di programmi in tutti i client.
Vedere anche:
