dctrl
Kontrola urządzeń zapewnia dostęp do zewnętrznych urządzeń pamięci masowej oraz do zasobów sieciowych połączonych z komputerami. Funkcja kontroli urządzeń ułatwia zapobieganie utracie i wyciekowi danych oraz, w połączeniu z funkcją skanowania plików, wzmacnia ochronę przed zagrożeniami bezpieczeństwa.
Reguły kontroli urządzeń można skonfigurować dla klientów wewnętrznych i zewnętrznych. Administratorzy programu OfficeScan z reguły wprowadzają ściślejsze reguły dla klientów zewnętrznych.
Reguły to szczegółowe ustawienia w drzewie klientów OfficeScan. Określone reguły można zastosować do grup klientów lub poszczególnych klientów. Można także zastosować jedną regułę do wszystkich klientów.
Po wdrożeniu reguł klienty używają kryteriów lokalizacji, które zostały ustawione na ekranie Lokalizacja komputera (patrz Lokalizacja komputera), aby określić swoją lokalizację i reguły do zastosowania. Każda zmiana lokalizacji klientów oznacza przełączenie reguł.
Ważne:
Kontrola urządzeń obsługuje wyłącznie platformy 32-bitowe.
Kontrola urządzeń jest domyślnie wyłączone w 32-bitowych wersjach systemów Windows Server 2003 i Windows Server 2008. Przed włączeniem kontroli urządzeń na tych platformach serwerowych należy zapoznać się z wytycznymi i sprawdzonymi metodami przedstawionymi w sekcji Usługi klienta.
Typy urządzeń, które mogą być monitorowane przez program OfficeScan, są zależne od tego, czy aktywowano licencję usługi Data Protection. Usługa Data Protection to moduł licencjonowany oddzielnie, który musi zostać aktywowany, zanim będzie możliwe jego użycie. Szczegółowe informacje o licencji usługi Data Protection zawiera temat Licencja usługi Data Protection.
|
Typy urządzeń |
|
Typ urządzenia |
Usługa Data Protection aktywowana |
Usługa Data Protection nieaktywowana |
|
Urządzenia pamięci masowej |
||
|
CD/DVD |
Monitorowane |
Monitorowane |
|
Dyskietki |
Monitorowane |
Monitorowane |
|
Dyski sieciowe |
Monitorowane |
Monitorowane |
|
Urządzenia pamięci masowej USB |
Monitorowane |
Monitorowane |
|
Urządzenia inne niż pamięci masowe |
||
|
Porty COM i LPT |
Monitorowane |
Nie monitorowane |
|
Interfejs IEEE 1394 |
Monitorowane |
Nie monitorowane |
|
Urządzenia do przetwarzania obrazu |
Monitorowane |
Nie monitorowane |
|
Urządzenia na podczerwień |
Monitorowane |
Nie monitorowane |
|
Modemy |
Monitorowane |
Nie monitorowane |
|
Karty PCMCIA |
Monitorowane |
Nie monitorowane |
|
Klawisz Print Screen |
Monitorowane |
Nie monitorowane |
Listę obsługiwanych modeli urządzeń zamieszczono pod adresem:
http://docs.trendmicro.com/pl-pl/enterprise/officescan.aspx
Uprawnienia kontroli urządzeń pamięci masowej są używane w następujących przypadkach:
Podczas przyznawania dostępu do urządzeń pamięci masowej USB, napędów CD/DVD, napędów dyskietek i dysków sieciowych. Dla tych urządzeń można przyznać pełny dostęp lub ograniczyć poziom dostępu.
Skonfiguruj listę zatwierdzonych urządzeń pamięci masowej USB. Kontrola urządzeń umożliwia blokowanie dostępu do wszystkich urządzeń pamięci masowej USB z wyjątkiem tych, które dodano do listy urządzeń zatwierdzonych. Dla tych urządzeń można przyznać pełny dostęp lub ograniczyć poziom dostępu.
Poniższa tabela zawiera listę uprawnień:
|
Uprawnienia |
Pliki na urządzeniu |
Pliki przychodzące |
|
Pełny dostęp |
Dozwolone operacje: |
Dozwolone operacje: Oznacza to, że plik można zapisywać, przenosić oraz kopiować na urządzenie. |
|
Modyfikuj |
Dozwolone operacje: Niedozwolone operacje: wykonywanie |
Dozwolone operacje: |
|
Odczyt i wykonywanie |
Dozwolone operacje: Niedozwolone operacje: |
Niedozwolone operacje: |
|
Odczyt |
Dozwolone operacje: Niedozwolone operacje: |
Niedozwolone operacje: |
|
Wyświetl wyłącznie zawartość urządzenia |
Niedozwolone operacje: Urządzenie oraz zapisane na nim pliki są widoczne dla użytkownika (np. z programu Windows Explorer). |
Niedozwolone operacje: |
|
Blokuj |
Niedozwolone operacje: Urządzenie oraz zapisane na nim pliki nie są widoczne dla użytkownika (np. z programu Windows Explorer). |
Niedozwolone operacje: |
Funkcja skanowania plików w programie OfficeScan uzupełnia uprawnienia urządzenia i może je zastępować. Jeśli na przykład uprawnienie zezwala na otwieranie pliku, ale program OfficeScan wykryje, że plik jest zarażony przez złośliwe oprogramowanie, zostanie wykonana określona operacja skanowania w celu usunięcia złośliwego kodu. Jeśli operacja skanowania to Wyczyść, plik jest otwierany po jego wyczyszczeniu. Jednak jeśli operacja skanowania to Usuń, plik jest usuwany.
Uprawnienia zaawansowane są stosowane w przypadku zapewniania ograniczonych uprawnień do urządzeń pamięci masowej. Mogą to być:
Modyfikuj
Odczyt i wykonywanie
Odczyt
Wyświetl wyłącznie zawartość urządzenia
Można zachować uprawnienia ograniczone, ale przyznać uprawnienia zaawansowane do niektórych programów na urządzeniach pamięci masowej i na komputerze lokalnym.
Aby zdefiniować programy, należy skonfigurować następujące listy programów:
|
Listy programów |
|
Lista programów |
Opis |
Nieprawidłowe dane |
|
Programy z uprawnieniem do odczytu z urządzeń pamięci masowej i zapisu na tych urządzeniach |
Ta lista zawiera programy lokalne i programy na urządzeniach pamięci masowej, które dysponują uprawnieniami do odczytu i zapisu na tych urządzeniach. Przykładem takiego programu jest program Microsoft Word (winword.exe), który zwykle znajduje się w folderze C:\Program Files\Microsoft Office\Office. Jeśli uprawnieniem dla urządzeń pamięci masowej USB jest "Wyświetl wyłącznie zawartość urządzenia", ale program "C:\Program Files\Microsoft Office\Office\winword.exe" znajduje się na liście:
|
Ścieżka programu i nazwa pliku Szczegółowe informacje zawarto w temacie Określanie ścieżki programu i nazwy. |
|
Programy na urządzeniach pamięci masowej, które można wykonywać |
Ta lista zawiera programy na urządzeniach pamięci masowej, które mogą być wykonywane przez użytkowników lub system. Przykładowo: aby zezwolić użytkownikom na instalowanie oprogramowania z dysku CD, do listy należy dodać ścieżkę instalacyjną programu i nazwę, np. "E:\Installer\Setup.exe". |
Ścieżka do programu i nazwa pliku lub dostawca podpisu cyfrowego Szczegółowe informacje zawarto w temacie Określanie ścieżki programu i nazwy lub Określanie dostawcy podpisu cyfrowego. |
Występują sytuacje, gdy program należy dodać do obydwu list. Przykładowo: funkcja zabezpieczenia danych w urządzeniach pamięci masowej USB, która po włączeniu, wyświetla monity o wprowadzenie prawidłowej nazwy użytkownika i hasła, co pozwala na odblokowanie urządzenia. Funkcja blokady danych korzysta z programu "Password.exe", który musi mieć możliwość wykonania, co pozwoli użytkownikom na odblokowanie urządzenia. Program "Password.exe" musi również mieć możliwość odczytu i zapisu danych w urządzeniu, aby użytkownicy mogli zmienić nazwę użytkownika i hasło.
Każda lista programów w interfejsie użytkownika może zawierać do 100 programów. Aby dodać więcej programów do listy, należy dodać je do pliku ofcscan.ini, w którym można zapisać do 1000 programów. Instrukcje dotyczące dodawania programów do pliku ofcscan.ini przedstawiono w temacie Dodawanie programów do listy Kontrola urządzeń przy użyciu pliku ofcscan.ini:.
Programy dodane do pliku ofcscan.ini zostaną wprowadzone do domeny głównej i zastąpią programy w poszczególnych domenach i klientach.
Określanie dostawcy podpisu cyfrowego
Jeśli użytkownik ufa programom wydanym przez dostawcę, należy określić dostawcę podpisu cyfrowego. Należy na przykład wpisać Microsoft Corporation lub Trend Micro Inc. Dostawcę podpisu cyfrowego można poznać przez sprawdzenie właściwości programu (na przykład klikając prawym przyciskiem myszy program i wybierając pozycję Właściwości).
Dostawca podpisu cyfrowego klienta programu OfficeScan (PccNTMon.exe)
Określanie ścieżki programu i nazwy
Ścieżka programu i nazwa powinny się składać z maksymalnie 259 znaków i zawierać tylko znaki alfanumeryczne (A-Z, a-z, 0-9). Nie ma możliwości określenia tylko nazwy programu.
W miejscach liter dysków i nazw programów można używać symboli wieloznacznych. Znak zapytania (?) może być użyty do przedstawienia danych jednoznakowych, takich jak litery dysku. Znak gwiazdki (*) może być użyty do przedstawienia danych wieloznakowych, takich jak nazwy programów.
Symboli wieloznacznych nie można używać do reprezentowania nazw folderów. Należy wprowadzić dokładną nazwę folderu.
Prawidłowe użycie symboli wieloznacznych:
|
Prawidłowe użycie symboli wieloznacznych |
|
Przykład |
Odpowiadające dane |
|
?:\Password.exe |
Plik "Password.exe" zapisany w katalogu głównym dowolnego dysku |
|
C:\Program Files\Microsoft\*.exe |
Dowolny plik .exe w położeniu C:\Program Files\Microsoft |
|
C:\Program Files\*.* |
Dowolny plik w położeniu C:\Program Files zawierający rozszerzenie pliku |
|
C:\Program Files\a?c.exe |
Dowolny plik .exe w położeniu C:\Program Files składający się z trzech znaków, którego pierwsza litera to "a", a ostatnia to "c" |
|
C:\* |
Dowolny plik zapisany w katalogu głównym dysku C:\ zawierający rozszerzenie lub też niezawierający go |
Nieprawidłowe użycie symboli wieloznacznych:
|
Nieprawidłowe użycie symboli wieloznacznych |
|
Przykład |
Przyczyna |
|
??:\Buffalo\Password.exe |
?? oznacza dwa znaki, a nazwa dysku składa się tylko z jednej litery. |
|
*:\Buffalo\Password.exe |
* oznacza dane wieloznakowe, a nazwa dysku składa się tylko z jednej litery. |
|
C:\*\Password.exe |
Symboli wieloznacznych nie można używać do reprezentowania nazw folderów. Należy wprowadzić dokładną nazwę folderu. |
|
C:\?\Password.exe |
Dostęp do urządzeń innych niż pamięci masowe można zablokować lub zezwolić na niego. Nie istnieją żadne zaawansowane ani dokładne uprawnienia dla tych urządzeń.
Aby zarządzać dostępem do urządzeń zewnętrznych (usługa Data Protection aktywowana):
Komputery w sieci > Zarządzanie klientem
W drzewie klientów kliknij ikonę domeny głównej 
, aby dołączyć wszystkie klienty, lub wybierz określone domeny lub klienty.
Kliknij kolejno opcje Ustawienia > Ustawienia kontroli urządzeń.
Kliknij kartę Klienty zewnętrzne, aby skonfigurować ustawienia dla klientów zewnętrznych, lub kartę Klienty wewnętrzne, aby skonfigurować ustawienia dla klientów wewnętrznych.
Wybierz opcję Włącz kontrolę urządzeń.
Jeśli wyświetlana jest karta Klienty zewnętrzne, można zastosować ustawienia do klientów wewnętrznych, wybierając opcję Zastosuj ustawienia do klientów wewnętrznych.
Jeśli wyświetlana jest karta Klienty wewnętrznemożna zastosować ustawienia do klientów zewnętrznych, wybierając opcję Zastosuj wszystkieustawienia do klientów zewnętrznych.
Zdecyduj, czy chcesz zablokować funkcję AutoRun (autorun.inf) w urządzeniach pamięci masowej USB.
Skonfiguruj ustawienia urządzeń pamięci masowej.
Wybierz uprawnienia każdego urządzenia pamięci masowej. Szczegółowe informacje o uprawnieniach zawarto w temacie Uprawnienia urządzeń pamięci masowej.
Skonfiguruj zaawansowane uprawnienia i powiadomienia, jeśli uprawnieniem dla urządzenia pamięci masowej jest jedno z poniższych:
Modyfikuj
Odczyt i wykonywanie
Odczyt
Wyświetl wyłącznie zawartość urządzenia
Zaawansowane uprawnienia i powiadomienia dla określonego urządzenia pamięci masowej można skonfigurować w interfejsie użytkownika, jednak uprawnienia i powiadomienia są w rzeczywistości stosowane do wszystkich urządzeń pamięci masowej. Oznacza to, że po kliknięciu pozycji Zaawansowane uprawnienia i powiadomienia dla napędów CD/DVD, w rzeczywistości określane są uprawnienia i powiadomienia dla wszystkich urządzeń pamięci masowej.
Szczegółowe informacje o zaawansowanych uprawnieniach i prawidłowym definiowaniu programów za pomocą uprawnień zaawansowanych zawarto w temacie Zaawansowane uprawnienia urządzeń pamięci masowej.
Kliknij pozycję Zaawansowane uprawnienia i powiadomienia. Zostanie wyświetlony nowy ekran.
Poniżej pozycji Programy z uprawnieniem odczytu z urządzeń pamięci masowej i zapisu na tych urządzeniach wpisz ścieżkę do programu i nazwę pliku, a następnie kliknij przycisk Dodaj. Dostawca podpisu cyfrowego nie został zaakceptowany
Poniżej pozycji Programy na urządzeniach pamięci masowej, które można wykonywać wpisz ścieżkę do programu i nazwę dostawcy podpisu cyfrowego, a następnie kliknij przycisk Dodaj.
Wybierz opcję Wyświetlaj powiadomienie na komputerze klienta, gdy program OfficeScan wykryje nieupoważniony dostęp do urządzenia.
Nieupoważniony dostęp do urządzenia oznacza zabronione operacje na urządzeniu. Przykładowo: jeśli uprawnieniem dla urządzenia jest "Odczyt", użytkownicy nie będą mogli zapisywać, przenosić, usuwać ani wykonać plików na tym urządzeniu. Lista operacji zabronionych na urządzeniach w oparciu o uprawnienia znajduje się w temacie Uprawnienia dla urządzeń pamięci masowej.
Powiadomienie można zmodyfikować. Szczegółowe informacje zawiera temat Powiadomienia kontroli urządzeń.
Kliknij przycisk Wstecz.
Jeżeli uprawnienie dla urządzeń pamięci masowej USB to Zablokuj, należy skonfigurować listę zatwierdzonych urządzeń. Dzięki uprawnieniom użytkownicy mogą uzyskać dostęp do tych urządzeń i sterować poziomem dostępu.
Kliknij pozycję Dozwolone urządzenia.
Wpisz producenta urządzenia.
Wpisz model urządzenia i numer seryjny.
Użyj narzędzia Lista urządzeń w celu wyszukania urządzeń podłączonych do punktów końcowych. Narzędzie dostarcza informacje o producencie, modelu i numerze seryjnym każdego urządzenia. Szczegółowe informacje zawiera temat Narzędzie Lista urządzeń.
Wybierz uprawnienie dla urządzenia. Szczegółowe informacje o uprawnieniach zawarto w temacie Uprawnienia urządzeń pamięci masowej.
Aby dodać więcej urządzeń, kliknij ikonę 
.
Kliknij przycisk Wstecz.
W przypadku wszystkich urządzeń innych niż urządzenia pamięci masowej wybierz opcję Zezwól lub Zablokuj.
Jeśli w drzewie klientów wybrano domeny lub klienty, kliknij przycisk Zapisz. Jeśli kliknięto ikonę domeny głównej, należy wybrać spośród następujących opcji:
Zastosuj do wszystkich klientów: Stosuje ustawienia dla wszystkich istniejących klientów oraz dla wszystkich nowych klientów dodanych do istniejącej/przyszłej domeny. Przyszłe domeny są to takie domeny, które w momencie konfiguracji ustawień nie zostały jeszcze utworzone.
Zastosuj tylko do przyszłych domen: Stosuje ustawienia tylko dla klientów dodanych do przyszłych domen. Opcja ta nie będzie stosować ustawień dla nowych klientów dodanych do istniejącej domeny.
Aby zarządzać dostępem do urządzeń zewnętrznych (usługa Data Protection nieaktywowana):
Komputery w sieci > Zarządzanie klientem
W drzewie klientów kliknij ikonę domeny głównej 
, aby dołączyć wszystkie klienty, lub wybierz określone domeny lub klienty.
Kliknij kolejno Ustawienia > Kontrola urządzeń. kontroli urządzeń.
Kliknij kartę Klienty zewnętrzne, aby skonfigurować ustawienia dla klientów zewnętrznych, lub kartę Klienty wewnętrzne, aby skonfigurować ustawienia dla klientów wewnętrznych.
Wybierz opcję Włącz kontrolę urządzeń.
Jeśli wyświetlana jest karta Klienty zewnętrzne, można zastosować ustawienia do klientów wewnętrznych, wybierając opcję Zastosuj ustawienia do klientów wewnętrznych.
Jeśli wyświetlana jest karta Klienty wewnętrznemożna zastosować ustawienia do klientów zewnętrznych, wybierając opcję Zastosuj wszystkieustawienia do klientów zewnętrznych.
Zdecyduj, czy chcesz zablokować funkcję AutoRun (autorun.inf) w urządzeniach pamięci masowej USB.
Wybierz uprawnienie dla każdego urządzenia. Szczegółowe informacje o uprawnieniach zawarto w temacie Uprawnienia urządzeń pamięci masowej.
Skonfiguruj zaawansowane uprawnienia i powiadomienia, jeśli uprawnieniem dla urządzenia jest jedno z poniższych:
Modyfikuj
Odczyt i wykonywanie
Odczyt
Wyświetl wyłącznie zawartość urządzenia
Nie ma potrzeby konfigurowania zaawansowanych uprawnień i powiadomień, jeśli uprawnienia dla wszystkich urządzeń to Pełny dostęp.
Szczegółowe informacje o zaawansowanych uprawnieniach i prawidłowym definiowaniu programów za pomocą uprawnień zaawansowanych zawarto w temacie Zaawansowane uprawnienia urządzeń pamięci masowej.
Poniżej pozycji Programy z uprawnieniem odczytu z urządzeń pamięci masowej i zapisu na tych urządzeniach wpisz ścieżkę do programu i nazwę pliku, a następnie kliknij przycisk Dodaj. Dostawca podpisu cyfrowego nie został zaakceptowany
Poniżej pozycji Programy na urządzeniach pamięci masowej, które można wykonywać wpisz ścieżkę do programu i nazwę dostawcy podpisu cyfrowego, a następnie kliknij przycisk Dodaj.
Wybierz opcję Wyświetlaj powiadomienie na komputerze klienta, gdy program OfficeScan wykryje nieupoważniony dostęp do urządzenia.
Nieupoważniony dostęp do urządzenia oznacza zabronione operacje na urządzeniu. Przykładowo: jeśli uprawnieniem dla urządzenia jest "Odczyt", użytkownicy nie będą mogli zapisywać, przenosić, usuwać ani wykonać plików na tym urządzeniu. Lista operacji zabronionych na urządzeniach w oparciu o uprawnienia znajduje się w temacie Uprawnienia dla urządzeń pamięci masowej.
Powiadomienie można zmodyfikować. Szczegółowe informacje zawiera temat Powiadomienia kontroli urządzeń.
Jeśli w drzewie klientów wybrano domeny lub klienty, kliknij przycisk Zapisz. Jeśli kliknięto ikonę domeny głównej, należy wybrać spośród następujących opcji:
Zastosuj do wszystkich klientów: Stosuje ustawienia dla wszystkich istniejących klientów oraz dla wszystkich nowych klientów dodanych do istniejącej/przyszłej domeny. Przyszłe domeny są to takie domeny, które w momencie konfiguracji ustawień nie zostały jeszcze utworzone.
Zastosuj tylko do przyszłych domen: Stosuje ustawienia tylko dla klientów dodanych do przyszłych domen. Opcja ta nie będzie stosować ustawień dla nowych klientów dodanych do istniejącej domeny.
Dodawanie programów do listy Kontrola urządzeń przy użyciu pliku ofcscan.ini:
Szczegółowe informacje o listach programów i prawidłowym definiowaniu programów, które można dodać do list, zawarto w temacie Zaawansowane uprawnienia dla urządzeń pamięci masowej.
Na komputerze serwera OfficeScan przejdź do lokalizacji < folder instalacyjny serwera >>\PCCSRV.
Za pomocą edytora tekstu otwórz plik ofcscan.ini.
Aby dodać programy z uprawnieniem do odczytu z urządzeń pamięci masowej i zapisu na tych urządzeniach:
Znajdź następujące wiersze:
[DAC_APPROVED_LIST]
Count=x
Zastąp znak "x" liczbą programów na liście programów.
Poniżej ciągu "Count=x" dodaj programy, wpisując:
Numer<pozycji>=<ścieżka do programu i nazwa lub dostawca podpisu cyfrowego>
Na przykład:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Aby dodać programy na urządzeniach pamięci masowej, które można wykonywać:
Znajdź następujące wiersze:
[DAC_EXECUTABLE_LIST]
Count=x
Zastąp znak "x" liczbą programów na liście programów.
Poniżej ciągu "Count=x" dodaj programy, wpisując:
Numer<pozycji>=<ścieżka do programu i nazwa lub dostawca podpisu cyfrowego>
Na przykład:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Zapisz i zamknij plik ofcscan.ini.
Otwórz konsolę Web serwera OfficeScan i przejdź do ekranu Komputery w sieci > Ogólne ustawienia klienta.
Kliknij pozycję Zapisz, aby zastosować listy programów na wszystkich klientach.
Zobacz również: