dctrl
设备控制能够控制对连接到计算机的外部存储设备与网络资源的访问。设备控制有助于防止数据丢失和泄露,与文件扫描组合使用时可帮助防御安全风险。
您可以为内部和外部客户端配置设备控制策略。防毒墙网络版管理员通常会对外部客户端配置更严格的策略。
策略是防毒墙网络版客户端树中的粒度设置。您可对客户端组或各个客户端强制执行特定策略。也可对所有客户端强制执行一个策略。
部署策略之后,客户端会使用您在“计算机位置”窗口(请参阅计算机位置)中已设置的位置条件来确定其位置和要应用的策略。客户端会在每次位置更改时切换策略。
重要:
设备控制仅支持 32 位平台。
缺省情况下,设备控制在 32 位版本的 Windows Server 2003 和 Windows Server 2008 上处于禁用状态。在这些服务器平台上启用设备控制之前,请先阅读客户端服务中所述的指导方针和最佳做法信息。
防毒墙网络版可监控的设备类型取决于是否已激活数据保护使用授权。数据保护模块是另行授权的,必须先激活此模块才能使用它。有关数据保护使用授权的详细信息,请参阅数据保护使用授权。
|
设备类型 |
|
设备类型 |
数据保护已激活 |
数据保护未激活 |
|
存储设备 |
||
|
CD/DVD |
已监控 |
已监控 |
|
软盘 |
已监控 |
已监控 |
|
网络驱动器 |
已监控 |
已监控 |
|
USB 存储设备 |
已监控 |
已监控 |
|
非存储设备 |
||
|
COM 和 LPT 端口 |
已监控 |
未监控 |
|
IEEE 1394 接口 |
已监控 |
未监控 |
|
图像处理设备 |
已监控 |
未监控 |
|
红外设备 |
已监控 |
未监控 |
|
调制解调器 |
已监控 |
未监控 |
|
PCMCIA 卡 |
已监控 |
未监控 |
|
打印屏幕键 |
已监控 |
未监控 |
有关支持的设备型号的列表,请参阅:
http://docs.trendmicro.com/zh-cn/enterprise/officescan.aspx
当您执行下列操作时会使用存储设备的设备控制权限:
允许访问 USB 存储设备、CD/DVD、软盘和网络驱动器。您可以授予对这些设备的完全访问权限,或限制访问级别。
配置允许的 USB 存储设备的列表。设备控制可让您阻止对所有 USB 存储设备的访问,但对于已添加至允许设备列表的设备除外。您可以授予对这些允许设备的完全访问权限,或限制访问级别。
下表列出权限:
|
权限 |
设备上的文件 |
传入文件 |
|
完全访问 |
允许的操作: |
允许的操作: 这意味着可以将文件保存、移动和复制到设备。 |
|
修改 |
允许的操作: 禁止的操作:执行 |
允许的操作: |
|
读取和执行 |
允许的操作: 禁止的操作: |
禁止的操作: |
|
读取 |
允许的操作: 禁止的操作: |
禁止的操作: |
|
仅列出设备内容 |
禁止的操作: 设备及其包含的文件对用户可见(例如,在 Windows 资源管理器中对用户可见)。 |
禁止的操作: |
|
阻止 |
禁止的操作: 设备及其包含的文件对用户不可见(例如,在 Windows 资源管理器中对用户不可见)。 |
禁止的操作: |
防毒墙网络版中基于文件的扫描功能对设备权限起补充作用,并有可能覆盖这些设备权限。例如,如果权限允许打开某文件,但是防毒墙网络版检测到该文件感染了恶意软件,则将对该文件执行特定的扫描处理措施,以清除恶意软件。如果扫描处理措施是“清除”,则文件将在清除恶意软件后打开。但是,如果扫描处理措施是“删除”,该文件将会被删除。
高级权限适用于对存储设备授予的权限受限时。权限可能是以下任一项:
修改
读取和执行
读取
仅列出设备内容
您可以保持权限受限,但对存储设备和本地计算机上的特定程序授予高级权限。
要定义程序,请配置以下程序列表:
|
程序列表 |
|
程序列表 |
描述 |
有效输入 |
|
对存储设备具有读写访问权限的程序 |
此列表包含本地程序和存储设备上对设备具有读写访问权限的程序。 Microsoft Word (winword.exe) 就是这样的本地程序,此程序通常位于 C:\Program Files\Microsoft Office\Office。如果 USB 存储设备的权限为“仅列出设备内容”,但 "C:\Program Files\Microsoft Office\Office\winword.exe" 包含在此列表中:
|
程序路径和名称 有关详细信息,请参阅指定程序路径和名称。 |
|
存储设备上允许执行的程序 |
此列表包含存储设备上用户或系统可以执行的程序。 例如,如果要允许用户从 CD 安装软件,请将安装程序路径和名称(如 "E:\Installer\Setup.exe")添加到此列表。 |
程序路径和名称或数字签名提供程序 有关详细信息,请参阅指定程序路径和名称或指定数字签名提供程序。 |
存在需要将程序同时添加到这两个列表的情况。考虑 USB 存储设备中的数据锁定功能(如果已启用),该功能在解锁设备之前提示用户输入有效用户名和密码。数据锁定功能使用设备上称为 "Password.exe" 的程序,必须允许执行该程序用户才可以成功解锁设备。"Password.exe" 还必须对设备具有读写访问权限,以便用户可以更改用户名或密码。
用户界面上的每个程序列表最多可以包含 100 个程序。如果要将更多程序添加到程序列表,您需要将程序添加到 ofcscan.ini 文件(最多可容纳 1,000 个程序)。有关将程序添加到 ofcscan.ini 文件的说明,请参阅使用 ofcscan.ini 文件将程序添加到设备控制程序列表:。
添加到 ofcscan.ini 文件的程序将被部署到根域且将覆盖各个域和客户端上的程序。
如果您信任提供程序发布的程序,则指定数字签名提供程序。例如,键入 Microsoft Corporation 或 Trend Micro, Inc.。通过检查程序属性(例如,右键单击程序并选择属性)可以获取数字签名提供程序。
防毒墙网络版客户端程序的数字签名提供程序 (PccNTMon.exe)
程序路径和名称最多具有 259 个字符,且必须只包含字母数字字符(A-Z、a-z、0-9)。不能仅指定程序名称。
您可以使用通配符替换驱动器盘符和程序名称。使用问号 (?) 表示单个字符数据,如驱动器盘符。使用星号 (*) 表示多个字符数据,如程序名称。
通配符不能用于表示文件夹名称。必须指定文件夹的准确名称。
在以下示例中通配符用法正确:
|
通配符的正确用法 |
|
示例 |
匹配的数据 |
|
?:\Password.exe |
直接位于任意驱动器下的 "Password.exe" 文件 |
|
C:\Program Files\Microsoft\*.exe |
C:\Program Files\Microsoft 中的任意 .exe 文件 |
|
C:\Program Files\*.* |
C:\Program Files 中带有文件扩展名的任意文件 |
|
C:\Program Files\a?c.exe |
C:\Program Files 中带有 3 个字符(其中开头字母为 "a",结尾字母为 "c")的任意 .exe 文件 |
|
C:\* |
直接位于 C:\ 驱动器下带有或不带有文件扩展名的任意文件 |
在以下示例中通配符用法错误:
|
通配符的错误用法 |
|
示例 |
原因 |
|
??:\Buffalo\Password.exe |
?? 表示两个字符,但驱动器盘符只有一个字母字符。 |
|
*:\Buffalo\Password.exe |
* 表示多字符数据,但驱动器盘符只有一个字母字符。 |
|
C:\*\Password.exe |
通配符不能用于表示文件夹名称。必须指定文件夹的准确名称。 |
|
C:\?\Password.exe |
您可以允许或阻止对非存储设备的访问。这些设备没有粒度或高级权限。
联网计算机 > 客户端管理
在客户端树中,单击根域图标 
以包含所有客户端,或者选择特定域或客户端。
单击设置 > 设备控制设置。
单击外部客户端选项卡以配置外部客户端的设置,或单击内部客户端选项卡以配置内部客户端的设置。
选择启用设备控制。
如果您位于外部客户端选项卡上,则可以选择将所有设置应用到内部客户端以将设置应用到内部客户端。
如果您位于内部客户端选项卡上,则可以选择将所有设置应用到外部客户端以将设置应用到外部客户端。
选择在 USB 存储设备上允许还是阻止自动运行功能 (autorun.inf)。
配置存储设备的设置
选择每个存储设备的权限。有关权限的详细信息,请参阅存储设备的权限。
如果存储设备权限为以下任意一项,则配置高级权限和通知:
修改
读取和执行
读取
仅列出设备内容
虽然您可以在用户界面上为特定存储设备配置高级权限和通知,但是权限和通知实际上应用于所有存储设备。这意味着单击 CD/DVD 的高级权限和通知时,实际上是定义所有存储设备的权限和通知。
有关高级权限以及如何使用高级权限正确定义程序的详细信息,请参阅存储设备的高级权限。
单击高级权限和通知。此时打开一个新窗口。
在对存储设备具有读写访问权限的程序下方,键入程序路径和文件名,然后单击添加。不接受数字签名提供程序。
在存储设备上允许执行的程序下方,键入程序路径和名称或数字签名提供程序,然后单击添加。
选择当防毒墙网络版检测到未授权的设备访问时,会在客户端计算机上显示通知消息。
未经授权的设备访问指的是禁止的设备操作。例如,如果设备权限为“读取”,用户将不能保存、移动、删除或执行设备上的文件。有关基于权限的禁止设备操作的列表,请参阅存储设备的权限。
您可以修改通知消息。有关详细信息,请参阅设备控制通知。
单击上一步。
如果 USB 存储设备的权限为“阻止”,请配置允许设备的列表。用户可以访问这些设备,您可以使用权限控制访问级别。
对于每个非存储设备,选择允许或阻止。
如果在客户端树中选择了域或客户端,请单击保存。如果单击了根域图标,请从下列选项进行选择:
应用到全部客户端:将设置应用到所有现有客户端和添加到现有/将来域的任何新客户端。将来域是在您配置设置时还未创建的域。
仅应用到将来的域:仅将设置应用到添加到将来域的客户端。此选项不会将设置应用到添加到现有域的新客户端。
管理对外部设备的访问(未激活数据保护):
联网计算机 > 客户端管理
在客户端树中,单击根域图标 
以包含所有客户端,或者选择特定域或客户端。
单击设置 > 设备控制。设置。
单击外部客户端选项卡以配置外部客户端的设置,或单击内部客户端选项卡以配置内部客户端的设置。
选择启用设备控制。
如果您位于外部客户端选项卡上,则可以选择将所有设置应用到内部客户端以将设置应用到内部客户端。
如果您位于内部客户端选项卡上,则可以选择将所有设置应用到外部客户端以将设置应用到外部客户端。
选择在 USB 存储设备上允许还是阻止自动运行功能 (autorun.inf)。
选择每个设备的权限。有关权限的详细信息,请参阅存储设备的权限。
如果设备权限为以下任意一项,则配置高级权限和通知:
修改
读取和执行
读取
仅列出设备内容
如果所有设备的权限均为“完全访问”,则无需配置高级权限和通知。
有关高级权限以及如何使用高级权限正确定义程序的详细信息,请参阅存储设备的高级权限。
在对存储设备具有读写访问权限的程序下方,键入程序路径和文件名,然后单击添加。不接受数字签名提供程序。
在存储设备上允许执行的程序下方,键入程序路径和名称或数字签名提供程序,然后单击添加。
选择当防毒墙网络版检测到未授权的设备访问时,会在客户端计算机上显示通知消息。
未经授权的设备访问指的是禁止的设备操作。例如,如果设备权限为“读取”,用户将不能保存、移动、删除或执行设备上的文件。有关基于权限的禁止设备操作的列表,请参阅存储设备的权限。
您可以修改通知消息。有关详细信息,请参阅设备控制通知。
如果在客户端树中选择了域或客户端,请单击保存。如果单击了根域图标,请从下列选项进行选择:
应用到全部客户端:将设置应用到所有现有客户端和添加到现有/将来域的任何新客户端。将来域是在您配置设置时还未创建的域。
仅应用到将来的域:仅将设置应用到添加到将来域的客户端。此选项不会将设置应用到添加到现有域的新客户端。
使用 ofcscan.ini 文件将程序添加到设备控制程序:
有关程序列表以及如何正确定义可以添加到列表中的程序的详细信息,请参阅存储设备的高级权限。
使用文本编辑器打开 ofcscan.ini 文件。
添加对存储设备具有读写访问权限的程序:
找到以下几行:
[DAC_APPROVED_LIST]
Count=x
使用程序列表中的程序数替换 "x"。
在 "Count=x" 下,通过键入以下内容添加程序:
Item<数量>=<程序路径和名称或数字签名提供程序>
例如:
[DAC_APPROVED_LIST]
Count=3
Item0=C:\Program Files\program.exe
Item1=?:\password.exe
Item2=Microsoft Corporation
添加在存储设备上允许执行的程序:
找到以下几行:
[DAC_EXECUTABLE_LIST]
Count=x
使用程序列表中的程序数替换 "x"。
在 "Count=x" 下,通过键入以下内容添加程序:
Item<数量>=<程序路径和名称或数字签名提供程序>
例如:
[DAC_EXECUTABLE_LIST]
Count=3
Item0=?:\Installer\Setup.exe
Item1=E:\*.exe
Item2=Trend Micro, Inc.
保存并关闭 ofcscan.ini 文件。
打开防毒墙网络版 Web 控制台,转至联网计算机 > 全局客户端设置。
单击保存将程序列表部署到所有客户端。
另请参阅:
图标。