dctrl

周邊設備存取控管

周邊設備存取控管會規範對連線到電腦的外部儲存裝置與網路資源的存取。周邊設備存取控管有助於防止資料遺失與外洩,並且可與檔案掃瞄搭配使用,以協助防禦安全威脅。

您可以為內部和外部用戶端設定「周邊設備存取控管」策略。OfficeScan 管理員通常會針對外部用戶端設定較嚴格的策略。

策略是 OfficeScan 用戶端樹狀結構中的詳細設定。您可以對用戶端群組或個別用戶端強制執行特定的策略。您也可以對所有用戶端強制執行單一策略。

部署策略之後,用戶端會使用您在「電腦位置」畫面(請參閱電腦位置)中設定的位置條件來判斷其位置和要套用的策略。用戶端會在每次位置變更時切換策略。

重要:

http://docs.trendmicro.com/zh-tw/enterprise/officescan.aspx

儲存裝置的權限

當您執行下列動作時會使用儲存裝置的「周邊設備存取控管」權限:

下表列出權限:

儲存裝置的周邊設備存取控管權限

權限

裝置上的檔案

輸入的檔案

完整存取權

允許的作業:
複製、移動、開啟、儲存、刪除、執行

允許的作業:
儲存、移動、複製

這表示檔案可以儲存、移動與複製到裝置上。

修改

允許的作業:
複製、移動、開啟、儲存、刪除

禁止的作業:執行

允許的作業:
儲存、移動、複製

讀取和執行

允許的作業:
複製、開啟、執行

禁止的作業:
儲存、移動、刪除

禁止的作業:
儲存、移動、複製

讀取

允許的作業:
複製、開啟

禁止的作業:
儲存、移動、刪除、執行

禁止的作業:
儲存、移動、複製

僅列出裝置內容

禁止的作業:
所有作業

向使用者顯示裝置與其包含的檔案(例如,從 Windows 檔案總管)。

禁止的作業:
儲存、移動、複製

封鎖

禁止的作業:
所有作業

不向使用者顯示裝置與其包含的檔案(例如,從 Windows 檔案總管)。

禁止的作業:
儲存、移動、複製

OfficeScan 中的檔案型掃瞄功能可彌補裝置權限之不足,甚至加以覆寫。例如,如果權限允許開啟檔案,但 OfficeScan 偵測到檔案已感染惡意程式,則會對該檔案執行特定的中毒處理行動,以消除惡意程式。如果中毒處理行動為「清除」,檔案將會在清除後開啟。但是,如果中毒處理行動為「刪除」,則會刪除檔案。

儲存裝置的進階權限

進階權限適用於已授與有限的權限給儲存裝置的情況。權限可以是下列任一種:

您可以繼續維持受限的權限,但將進階權限授與儲存裝置和本機電腦上的某些程式。

如果要定義程式,請設定下列程式清單:

程式清單

程式清單

說明

有效的輸入

對儲存裝置具有讀取和寫入權限的程式

此清單包含的本機程式和儲存裝置上的程式,對裝置具有讀取和寫入權限。

Microsoft Word (winword.exe) 是本機程式的範例,它通常位於 C:\Program Files\Microsoft Office\Office。如果 USB 儲存裝置的權限是「僅列出裝置內容」,但 "C:\Program Files\Microsoft Office\Office\winword.exe" 包含於此清單:

  • 使用者將具有從 Microsoft Word 存取之 USB 儲存裝置上所有檔案的讀取和寫入權限。

  • 使用者可以儲存、移動或複製 Microsoft Word 檔案到 USB 儲存裝置。

程式路徑和名稱

如需詳細資訊,請參閱指定程式路徑和名稱

儲存裝置上允許執行的程式:

此清單包含使用者或系統可以在儲存裝置上執行的程式。

例如,如果您要允許使用者從 CD 安裝軟體,請將安裝程式路徑和名稱(例如 "E:\Installer\Setup.exe")新增到此單。

程式路徑和名稱或數位簽章提供者

如需詳細資訊,請參閱指定程式路徑和名稱指定數位簽章提供者

以下是當您需要新增程式到這兩種清單時的建議。考慮使用 USB 儲存裝置的資料鎖定功能,啟動此功能後,會提示使用者輸入有效的使用者名稱和密碼才能解除鎖定裝置。資料鎖定功能使用裝置上名為 "Password.exe" 的程式,必須允許此程式執行,使用者才能成功解除鎖定裝置。"Password.exe" 也必須具有裝置的讀取和寫入權限,使用者才能變更使用者名稱或密碼。

使用者介面的每個程式清單可容納多達 100 個程式。如果您要新增更多程式到程式清單,請新增至 ofcscan.ini 檔案,該檔案可容納多達 1,000 個程式。如需新增程式到 ofcscan.ini 檔案的指示,請參閱如果要使用 ofcscan.ini 檔案將程式新增到周邊設備存取控管程式清單:

指定數位簽章提供者

指定您所信任由其發行之程式的數位簽章提供者。例如,輸入 Microsoft Corporation 或 Trend Micro, Inc.。您可以透過檢查程式的內容(例如,在程式上按一下滑鼠右鍵並選取「內容」)取得數位簽章提供者。

 

OfficeScan 用戶端程式 (PccNTMon.exe) 的數位簽章提供者

指定程式路徑和名稱

程式路徑和名稱的長度上限為 259 個字元,並且只能包含英數字元 (A-Z、a-z、0-9)。您不能只指定程式名稱。

您可以使用萬用字元取代磁碟機代號和程式名稱。使用問號 (?) 代表單一字元資料(例如:磁碟機代號)。使用星號 (*) 代表多字元資料(例如:程式名稱)。

下列是正確使用萬用字元的範例:

正確的萬用字元用法

範例

符合的資料

?:\Password.exe

位於任何磁碟機根目錄的 "Password.exe" 檔案

C:\Program Files\Microsoft\*.exe

C:\Program Files\Microsoft 中的所有 .exe 檔案

C:\Program Files\*.*

C:\Program Files 中所有具有副檔名的檔案

C:\Program Files\a?c.exe

C:\Program Files 中主檔名為 3 個字元,且開頭字母為 "a"、結尾字母為 "c" 的所有 .exe 檔案

C:\*

位於 C:\ 磁碟機根目錄的所有檔案(含或不含副檔名)

下列是不正確使用萬用字元的範例:

不正確的萬用字元用法

範例

原因

??:\Buffalo\Password.exe

?? 代表兩個字元,但磁碟機代號只能有一個字母字元。

*:\Buffalo\Password.exe

* 代表多字元資料,但磁碟機代號只能有一個字母字元。

C:\*\Password.exe

您不能使用萬用字元代表資料夾名稱。必須指定資料夾的確實名稱。

C:\?\Password.exe
非儲存裝置的權限

您可以允許或封鎖對非儲存裝置的存取。這些裝置沒有細微或進階權限。

如果要管理對外部裝置的存取(已註冊「資料安全防護」):

  1. 在用戶端樹狀結構中,按一下根網域圖示 以包含全部用戶端,或者選取特定域或用戶端。

  2. 按一下「設定|周邊設備存取控管設定」。>

  3. 按一下「外部用戶端」標籤以設定外部用戶端的設定,或按一下「內部用戶端」標籤以設定內部用戶端的設定。

  4. 選取「啟動周邊設備存取控管」

  5. 如果您使用的是「外部用戶端」標籤,則可以透過選取「套用所有設定至內部用戶端」將設定套用至內部用戶端。

    6. 如果您使用的是「內部用戶端」標籤,則可以透過選取「套用所有設定至外部用戶端」將設定套用至外部用戶端。

  6. 選擇允許或封鎖 USB 儲存裝置的自動執行功能 (autorun.inf)。

  7. 設定存裝置的設定。

    1. 為每個儲存裝置選取權限。如需有關權限的詳細資訊,請參閱儲存裝置的權限

    2. 如果儲存裝置的權限是下列任一種,請設定進階權限與通知:

      3. 雖然您可以設定使用者介面上特定儲存裝置的進階權限與通知,但權限與通知實際上會套用至所有儲存裝置。這表示當您按一下 CD/DVD 的「進階權限與通知」時,實際上是定義所有儲存裝置的權限與通知。

      1. 按一下「進階權限與通知」。接著會開啟一個新畫面。

      2. 在「對儲存裝置具有讀取和寫入權限的程式」下方,輸入程式路徑和檔案名稱,然後按一下「新增」。不接受數位簽章提供者。

      3. 在「儲存裝置上允許執行的程式」下方,輸入程式路徑和名稱或數位簽章提供者,然後按一下「新增」

      4. 選取「當 OfficeScan 偵測到未經授權的裝置存取時,會在用戶端電腦上顯示通知訊息」

        • 未經授權的裝置存取是指禁止的裝置作業。例如,如果裝置權限是「讀取」,使用者將無法儲存、移動、刪除或執行裝置上的檔案。如需依據權限而禁止之裝置作業的清單,請參閱儲存裝置的權限

        • 您可以修改通知訊息。如需詳細資訊,請參閱周邊設備存取控管通知

      5. 按一下「上一步」

    3. 如果 USB 儲存裝置的權限是「封鎖」,請設定核可裝置的清單。使用者可以存取這些裝置,而您可以使用權限來控制存取等級。

      1. 按一下「核可的裝置」

      2. 輸入裝置廠商。

      3. 輸入裝置型號和序號 ID。

        • 使用「裝置清單工具」查詢連接至端點的裝置。此工具可以提供每個裝置的裝置廠商、型號和序號 ID。如需詳細資訊,請參閱裝置清單工具

      4. 為裝置選取權限。如需有關權限的詳細資訊,請參閱儲存裝置的權限

      5. 如果要新增更多裝置,請按一下 圖示。

      6. 按一下「上一步」

  8. 針對每個非儲存裝置,選取「允許」或「封鎖」

  9. 如果在用戶端樹狀結構中選取網域或用戶端,請按一下「儲存」。如果按下了根網域圖示,則從下列選項進行選擇:

如果要管理對外部裝置的存取(未註冊「資料安全防護」):

  1. 在用戶端樹狀結構中,按一下根網域圖示 以包含全部用戶端,或者選取特定域或用戶端。

  2. 按一下「設定|周邊設備存取控管設定」>

  3. 按一下「外部用戶端」標籤以設定外部用戶端的設定,或按一下「內部用戶端」標籤以設定內部用戶端的設定。

  4. 選取「啟動周邊設備存取控管」

  5. 如果您使用的是「外部用戶端」標籤,則可以透過選取「套用所有設定至內部用戶端」將設定套用至內部用戶端。

    6. 如果您使用的是「內部用戶端」標籤,則可以透過選取「套用所有設定至外部用戶端」將設定套用至外部用戶端。

  6. 選擇允許或封鎖 USB 儲存裝置的自動執行功能 (autorun.inf)。

  7. 為每個裝置選取權限。如需有關權限的詳細資訊,請參閱儲存裝置的權限

  8. 如果裝置的權限是下列任一種,請設定進階權限與通知:

    9. 如果所有裝置的權限是「完整存取權」,則無需設定進階權限與通知。

    1. 在「對儲存裝置具有讀取和寫入權限的程式」下方,輸入程式路徑和檔案名稱,然後按一下「新增」。不接受數位簽章提供者。

    2. 在「儲存裝置上允許執行的程式」下方,輸入程式路徑和名稱或數位簽章提供者,然後按一下「新增」

    3. 選取「當 OfficeScan 偵測到未經授權的裝置存取時,會在用戶端電腦上顯示通知訊息」

  9. 如果在用戶端樹狀結構中選取網域或用戶端,請按一下「儲存」。如果按下了根網域圖示,則從下列選項進行選擇:

如果要使用 ofcscan.ini 檔案將程式新增到周邊設備存取控管程式清單:

  1. 在 OfficeScan 伺服器電腦上,瀏覽至 < 伺服器安裝資料夾 >\PCCSRV。

  2. 使用文字編輯器開啟 ofcscan.ini。

  3. 如果要新增對儲存裝置具有讀取和寫入權限的程式:

    1. 找到下列各行:

      2. [DAC_APPROVED_LIST]

      Count=x

    2. 將 "x" 取代為程式清單中程式的數目。

    3. 在 "Count=x" 下面,輸入下列命令以新增程式:

    Item<編號>=<程式路徑和名稱或數位簽章提供者> 

    例如:

    [DAC_APPROVED_LIST]

    Count=3

    Item0=C:\Program Files\program.exe

    Item1=?:\password.exe

    Item2=Microsoft Corporation

  4. 如果要新增儲存裝置上允許執行的程式:

    1. 找到下列各行:

      2. [DAC_EXECUTABLE_LIST]

      Count=x

    2. 將 "x" 取代為程式清單中程式的數目。

    3. 在 "Count=x" 下面,輸入下列命令以新增程式:

    Item<編號>=<程式路徑和名稱或數位簽章提供者>

    例如:

    [DAC_EXECUTABLE_LIST]

    Count=3

    Item0=?:\Installer\Setup.exe

    Item1=E:\*.exe

    Item2=Trend Micro, Inc.

  5. 儲存並關閉 ofcscan.ini 檔案。

  6. 開啟 OfficeScan Web 主控台上,並移至「用戶端電腦|全域用戶端設定」>

  7. 按一下「儲存」,將程式清單套用至所有用戶端。

請參閱: