dctrl
Контроль устройств управляет доступом к внешним устройствам хранения и сетевым ресурсам, подключенным к компьютерам. Контроль устройств помогает предотвратить потерю и утечку данных, а в сочетании с функцией сканирования файлов способствует защите от угроз безопасности.
Политики контроля устройств можно настроить для внутренних и внешних клиентов. Обычно для внешних клиентов администраторы OfficeScan настраивают более строгую политику.
Политики — это детализированные параметры в дереве клиентов OfficeScan. Можно принудительно применить определенные политики к группам клиентов или отдельным клиентам. Также можно принудительно применить одну политику ко всем клиентам.
После развертывания политики клиенты используют критерии местоположения, заданные в окне «Расположение компьютера» (см. раздел Расположение компьютера), для определения своего местоположения и политики, которую следует применять. При каждом изменении расположения происходит переключение политик клиентами.
Важно!
Контроль устройств поддерживает только 32-разрядные платформы.
По умолчанию контроль устройств отключен на 32-разрядных версиях ОС Windows Server 2003 и Windows Server 2008. Перед включением контроля устройств на этих серверных платформах следует ознакомиться с рекомендациями и передовыми методиками, которые приведены в разделе Службы клиента.
Типы устройств, которые OfficeScan может отслеживать, зависят от того, активирована ли лицензия Data Protection. Data Protection — это отдельно лицензируемый модуль, который необходимо активировать перед использованием. Подробные сведения о лицензии Data Protection см. в разделе Лицензия Data Protection.
|
Типы устройств |
|
Тип устройства |
Лицензия Data Protection активирована |
Лицензия Data Protection не активирована |
|
Устройства хранения |
||
|
Компакт-диск/DVD-диск |
Отслеживается |
Отслеживается |
|
Гибкие диски |
Отслеживается |
Отслеживается |
|
Сетевые диски |
Отслеживается |
Отслеживается |
|
USB-накопители |
Отслеживается |
Отслеживается |
|
Устройства, не являющиеся устройствами для хранения |
||
|
Порты COM и LPT |
Отслеживается |
Не отслеживается |
|
Интерфейс IEEE 1394 |
Отслеживается |
Не отслеживается |
|
Устройства для создания изображений |
Отслеживается |
Не отслеживается |
|
Инфракрасные устройства |
Отслеживается |
Не отслеживается |
|
Модемы |
Отслеживается |
Не отслеживается |
|
Карта PCMCIA |
Отслеживается |
Не отслеживается |
|
Клавиша Print screen |
Отслеживается |
Не отслеживается |
Для просмотра списка поддерживаемых моделей устройств см.:
http://docs.trendmicro.com/ru-ru/enterprise/officescan.aspx
Разрешения контроля устройств для устройств хранения используются при выполнении нижеприведенных операций.
Предоставление разрешения на доступ к USB-накопителям, компакт-дискам/DVD-дискам, гибким дискам и сетевым дискам. Можно предоставить право на полный доступ к этим устройствам или ограничить уровень доступа к ним.
Настройка списка разрешенных USB-накопителей. Функция контроля устройств позволяет блокировать доступ ко всем USB-накопителям, кроме тех, которые добавлены в список разрешенных устройств. Можно предоставить право на полный доступ к разрешенным устройствам или ограничить уровень доступа к ним.
В нижеприведенной таблице перечислены разрешения.
|
Разрешения |
Файлы на устройстве |
Входящие файлы |
|
Полный доступ |
Разрешенные операции: |
Разрешенные операции: Это означает, что файл можно сохранять, перемещать и копировать на устройство |
|
Изменение |
Разрешенные операции: Запрещенные операции: выполнение |
Разрешенные операции: |
|
Чтение и выполнение |
Разрешенные операции: Запрещенные операции: |
Запрещенные операции: |
|
Чтение |
Разрешенные операции: Запрещенные операции: |
Запрещенные операции: |
|
Отображать только содержимое устройства |
Запрещенные операции: Устройство и содержащиеся в нем файлы отображаются для пользователя (например, в проводнике Windows). |
Запрещенные операции: |
|
Заблокировать |
Запрещенные операции: Устройство и содержащиеся в нем файлы не отображаются для пользователя (например, в проводнике Windows). |
Запрещенные операции: |
Функция сканирования на основе файлов в программе OfficeScan дополняет и может переопределять разрешения на доступ к устройствам. Например, если разрешение предусматривает возможность открытия какого-либо файла, но программа OfficeScan обнаруживает, что этот файл заражен вредоносной программой, то выполняется определенное действие сканирования файла с целью удаления такой вредоносной программы. Если таким действием является лечение, то файл открывается после того, как был вылечен. Однако, если действием сканирования является удаление, то выполняется удаление файла.
Расширенные разрешения применяются в случаях предоставления ограниченных разрешений на доступ к устройствам хранения. Возможны следующие варианты разрешений.
Изменение
Чтение и выполнение
Чтение
Отображать только содержимое устройства
Можно сохранять ограничения разрешений, но предоставлять расширенные разрешения на доступ к некоторым программам на устройствах хранения и на локальном компьютере.
Для определения программ настройте указанные ниже списки программ.
|
Списки программ |
|
Список программ |
Описание |
Действительные вводимые данные |
|
Программы с правами чтения и записи в устройствах хранения |
Этот список содержит локальные программы и программы на устройствах хранения, которые имеют права чтения и записи на устройствах. Примером локальной программы является программа Microsoft Word (winword.exe), обычно находящаяся в следующем расположении: C:\Program Files\Microsoft Office\Office. Если для USB-накопителей задано разрешение «Отображать только содержимое устройства», но программа «C:\Program Files\Microsoft Office\Office\winword.exe» не включена в этот список, то применяется следующее.
|
Путь и имя программы Для получения дополнительной информации см. Указание пути и имени программы. |
|
Программы на устройствах хранения, выполнение которых разрешено |
Этот список содержит программы на устройствах хранения, которые могут выполняться пользователями или системой. Например, если необходимо разрешить пользователям установить программное обеспечение с компакт-диска, добавьте в этот список путь и имя программы установки, например E:\Installer\Setup.exe. |
Путь и имя программы или поставщик цифровой подписи Для получения дополнительной информации см. Указание пути имени программы или Указание поставщика цифровой подписи. |
В некоторых случаях необходимо добавить программу в оба списка. В таких случаях рекомендуется использовать функцию блокировки данных на USB-накопителе, после включения которой для разблокировки устройства пользователям будет необходимо указать действительное имя пользователя и пароль. Функция блокировки данных использует находящуюся на устройстве программу Password.exe, выполнение которой необходимо разрешить, чтобы пользователи могли успешно разблокировать устройство. Программа Password.exe также должна обладать правами чтения и записи на устройстве, чтобы пользователи могли изменять имя пользователя или пароль.
Каждый список программ в пользовательском интерфейсе может содержать до 100 программ. Если необходимо добавить в список программ дополнительные программы, следует добавить их в файл ofcscan.ini, который может содержать до 1000 программ. Для получения инструкций по добавлению программ в файл ofcscan.ini см. Добавление программ в списки программ контроля устройств с помощью файла ofcscan.ini.
Программы, добавленные в файл ofcscan.ini, будут развернуты в корневом домене и заменят программы в отдельных доменах и на отдельных клиентах.
Указание поставщика цифровой подписи
Указывайте поставщика цифровой подписи, если доверяете программам, выпущенным таким поставщиком. Например, введите Microsoft Corporation или Trend Micro, Inc. Чтобы узнать поставщика цифровой подписи, просмотрите свойства программы (например, щелкните по программе правой кнопкой мыши и выберите пункт Свойства).
Поставщик цифровой подписи для программы клиента OfficeScan (PccNTMon.exe)
Указание пути и имени программы
Длина пути и имени программы не должна превышать 259 символов. Путь и имя программы могут содержать только буквенно-цифровые символы (A-Z, a-z, 0-9). Невозможно указать только имя программы.
Вместо букв дисков и имен программ можно использовать подстановочные символы. Вопросительный знак (?) используется для замены одиночного символа, например буквенного обозначения диска. Звездочка (*) используется для замены нескольких символов, например имени программы.
Не допускается использование подстановочных символов для замены имен папок. Необходимо указывать точное имя папки.
Подстановочные символы правильно использованы в приведенных ниже примерах.
|
Правильное использование подстановочных символов |
|
Пример |
Соответствующие данные |
|
?:\Password.exe |
Файл Password.exe, расположенный непосредственно в корне любого диска |
|
C:\Program Files\Microsoft\*.exe |
Любой файл .exe в расположении C:\Program Files\Microsoft |
|
C:\Program Files\*.* |
Любой файл в расположении C:\Program Files, имеющий расширение файла |
|
C:\Program Files\a?c.exe |
Любой файл .exe в расположении C:\Program Files, имя которого состоит из трех символов, первый из которых — буква «a», а последний — буква «c». |
|
C:\* |
Любой файл, расположенный непосредственно в корне диска C:\, у которого есть или нет расширения |
Подстановочные символы неправильно использованы в приведенных ниже примерах.
|
Неправильное использование подстановочных символов |
|
Пример |
Причина |
|
??:\Buffalo\Password.exe |
?? заменяет два символа, а буквенные обозначения дисков состоят только из одного буквенного символа. |
|
*:\Buffalo\Password.exe |
* заменяет несколько символов, а буквенные обозначения дисков состоят только из одного буквенного символа. |
|
C:\*\Password.exe |
Не допускается использование подстановочных символов для замены имен папок. Необходимо указывать точное имя папки. |
|
C:\?\Password.exe |
Можно разрешать или блокировать доступ к устройствам, не являющимся устройствами хранения. Для таких устройств не могут задаваться детализированные или расширенные разрешения.
Чтобы управлять доступом к внешним устройствам (лицензия Data Protection активирована), выполните нижеприведенные действия.
Сетевые компьютеры > Управление клиентами
В дереве клиентов щелкните значок корневого домена 
, чтобы выбрать всех клиентов, или выберите определенные домены или клиенты.
Щелкните Параметры > Настройки контроля устройств.
Выберите вкладку Внешние клиенты, чтобы настроить параметры для внешних клиентов, или вкладку Внутренние клиенты, чтобы настроить параметры для внутренних клиентов.
Выберите элемент Включить контроль устройств.
Находясь на вкладке Внешние клиенты, можно применить настройки к внутренним клиентам, выбрав команду Применить все настройки к внутренним клиентам.
Находясь на вкладке Внутренние клиенты, можно применить настройки к внешним клиентам, выбрав пункт Применить все настройки к внешним клиентам
Выберите действие (разрешить или блокировать), которое необходимо выполнять по отношению к функции автозапуска (autorun.inf) на USB-накопителях.
Настройте параметры для устройств хранения.
Выберите разрешение для каждого устройства хранения. Дополнительные сведения о разрешениях см. в разделе Разрешения для устройств хранения.
Настройте расширенные разрешения и уведомления, если для устройства хранения выбрано одно из следующих разрешений.
Изменение
Чтение и выполнение
Чтение
Отображать только содержимое устройства
Несмотря на то, что в пользовательском интерфейсе можно настраивать расширенные разрешения и уведомления для конкретных устройств хранения, на самом деле, разрешения и уведомления применяются ко всем устройствам хранения. Это означает, что при нажатии на кнопку Расширенные разрешения и уведомления для компакт-диска или DVD-диска происходит определение разрешений и уведомлений для всех устройств хранения.
Дополнительные сведения о расширенных разрешениях и о правильном порядке определения программ с расширенными разрешениями см. раздел Расширенные разрешения для устройств хранения.
Нажмите кнопку Расширенные разрешения и уведомления. Откроется новое окно.
В разделе Программы с правами чтения и записи в устройствах хранения введите путь к программе и имя файла, а затем нажмите кнопку Добавить. Поставщик цифровой подписи не принимается.
В разделе Программы на устройствах хранения, выполнение которых разрешено введите путь к программе и имя файла или имя поставщика цифровой подписи, а затем нажмите кнопку Добавить.
Выберите элемент Показать уведомление на клиентской машине в случае обнаружения OfficeScan несанкционированного устройства доступа.
Несанкционированный доступ к устройствам указывает на запрещенные операции на устройстве. Например, если для устройства задано разрешение на чтение, пользователи не смогут сохранять, перемещать, удалять или выполнять файл на таком устройстве. Для просмотра списка запрещенных операций на устройстве на основании разрешений см. раздел Разрешения для устройств хранения.
Можно изменить уведомление. Подробные сведения см. в разделе Уведомления контроля устройств.
Нажмите кнопку Назад.
Если для USB-накопителей задано разрешение «Блокировать», настройте список разрешенных устройств. Пользователи смогут получать доступ к таким устройствам, и уровень доступа можно будет контролировать с помощью разрешений.
Нажмите кнопку Разрешенные устройства.
Укажите поставщика устройства.
Укажите модель устройства и серийный номер.
Воспользуйтесь средством создания списка устройств для запроса устройств, подключенных к локальным компьютерам. Данное средство предоставляет сведения о поставщике, модели и серийном номере каждого устройства. Дополнительные сведения см. в разделе Средство создания списка устройств.
Выберите уровень разрешений для устройства. Дополнительные сведения о разрешениях см. в разделе Разрешения для устройств хранения.
Чтобы добавить дополнительные устройства, щелкните значок 
.
Нажмите кнопку Назад.
Для каждого устройства, не являющегося устройством хранения, выберите пункт Разрешить или Блокировать.
Если были выбраны домены или клиенты в дереве клиентов, нажмите кнопку Сохранить. Если был выбран значок корневого домена, выберите один из следующих параметров.
Применить ко всем клиентам — применение параметров ко всем имеющимся клиентам и ко всем новым клиентам, добавляемым к существующему или будущему домену. Будущие домены — это домены, которые еще не были созданы в момент настройки параметров.
Применить только к будущим доменам — применение параметров только к клиентам, добавляемым в будущие домены. Выбор этого параметра не приведет к применению параметров к новым клиентам, добавленным в существующий домен.
Чтобы управлять доступом к внешним устройствам (лицензия Data Protection не активирована), выполните нижеприведенные действия.
Сетевые компьютеры > Управление клиентами
В дереве клиентов щелкните значок корневого домена 
, чтобы выбрать всех клиентов, или выберите определенные домены или клиенты.
Выберите Параметры > Настройки контроля устройств.
Выберите вкладку Внешние клиенты, чтобы настроить параметры для внешних клиентов, или вкладку Внутренние клиенты, чтобы настроить параметры для внутренних клиентов.
Выберите элемент Включить контроль устройств.
Находясь на вкладке Внешние клиенты, можно применить настройки к внутренним клиентам, выбрав команду Применить все настройки к внутренним клиентам.
Находясь на вкладке Внутренние клиенты, можно применить настройки к внешним клиентам, выбрав пункт Применить все настройки к внешним клиентам
Выберите действие (разрешить или блокировать), которое необходимо выполнять по отношению к функции автозапуска (autorun.inf) на USB-накопителях.
Выберите уровень разрешений для каждого из устройств. Дополнительные сведения о разрешениях см. в разделе Разрешения для устройств хранения.
Настройте расширенные разрешения и уведомления, если для устройства выбрано одно из следующих разрешений.
Изменение
Чтение и выполнение
Чтение
Отображать только содержимое устройства
Нет необходимости настраивать расширенные разрешения и уведомления, если для всех устройств задано разрешение «Полный доступ».
Дополнительные сведения о расширенных разрешениях и о правильном порядке определения программ с расширенными разрешениями см. раздел Расширенные разрешения для устройств хранения.
В разделе Программы с правами чтения и записи в устройствах хранения введите путь к программе и имя файла, а затем нажмите кнопку Добавить. Поставщик цифровой подписи не принимается.
В разделе Программы на устройствах хранения, выполнение которых разрешено введите путь к программе и имя файла или имя поставщика цифровой подписи, а затем нажмите кнопку Добавить.
Выберите элемент Показать уведомление на клиентской машине в случае обнаружения OfficeScan несанкционированного устройства доступа.
Несанкционированный доступ к устройствам указывает на запрещенные операции на устройстве. Например, если для устройства задано разрешение на чтение, пользователи не смогут сохранять, перемещать, удалять или выполнять файл на таком устройстве. Для просмотра списка запрещенных операций на устройстве на основании разрешений см. раздел Разрешения для устройств хранения.
Можно изменить уведомление. Подробные сведения см. в разделе Уведомления контроля устройств.
Если были выбраны домены или клиенты в дереве клиентов, нажмите кнопку Сохранить. Если был выбран значок корневого домена, выберите один из следующих параметров.
Применить ко всем клиентам — применение параметров ко всем имеющимся клиентам и ко всем новым клиентам, добавляемым к существующему или будущему домену. Будущие домены — это домены, которые еще не были созданы в момент настройки параметров.
Применить только к будущим доменам — применение параметров только к клиентам, добавляемым в будущие домены. Выбор этого параметра не приведет к применению параметров к новым клиентам, добавленным в существующий домен.
Добавление программ в списки программ контроля устройств с помощью файла ofcscan.ini
Дополнительные сведения о списках программ и о правильном порядке определения программ, которые можно добавлять в эти списки, см. в разделе Расширенные разрешения для устройств хранения.
На компьютере OfficeScan Server откройте папку < папка установки сервера >\PCCSRV.
Откройте файл ofcscan.ini в текстовом редакторе.
Добавление программ с правами чтения и записи в устройствах хранения
Найдите следующие строки.
[DAC_APPROVED_LIST]
Count=x
Замените "x" на количество программ в списке программ.
Под строкой "Count=x" добавьте программы, введя следующую строку:
Item<номер>=<путь к программе и имя поставщика цифровой подписи>
Например:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
Добавление программ на устройствах хранения, выполнение которых разрешено
Найдите следующие строки.
[DAC_EXECUTABLE_LIST]
Count=x
Замените "x" на количество программ в списке программ.
Под строкой "Count=x" добавьте программы, введя следующую строку:
Item<номер>=<путь к программе и имя поставщика цифровой подписи>
Например:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
Сохраните и закройте файл ofcscan.ini.
Откройте веб-консоль OfficeScan и последовательно выберите пункты Сетевые компьютеры > Глобальные параметры клиента.
Нажмите кнопку Сохранить, чтобы выполнить развертывание списков программ на всех клиентах.
См. также: